- Шифрування під час зберігання
- Усі резюме та записи аналізів зберігаються в зашифрованому Google Cloud Storage з AES-256. Шифрування керується Google Cloud і застосовується до кожного файлу за замовчуванням.
- Шифрування під час передавання
- Увесь трафік між вашим браузером, нашим сервісом і сховищем іде по TLS 1.2+. Ми не дозволяємо звичайні HTTP-з'єднання.
- Ізоляція орендарів
- Мультитенантність за своєю суттю, ізоляція за tenant ID на рівні контролю доступу. Ваші запити можуть повертати лише ваші записи - це забезпечується на стороні сервера, а не просто приховано в інтерфейсі.
- Автентифікація
- E-mail + пароль зі суворими вимогами до пароля, плюс опціональний SSO (SAML 2.0 / OIDC) на Enterprise. Будь-який доступ потребує повторної автентифікації після завершення сесії.
- Розміщення даних
- Регіон за замовчуванням - США (Google Cloud us-central1). Клієнти Enterprise можуть запросити розміщення в ЄС або Канаді в межах свого DPA.
- Резервні копії
- Зашифровані щоденні резервні копії з відновленням на момент часу протягом 30 днів. Резервні копії зберігаються в тому самому регіоні розміщення, що й ваші активні дані.
- Зберігання та видалення
- Резюме зберігаються, поки ви зберігаєте аналіз. Видалення аналізу негайно стирає резюме; резервні копії зникають протягом 30 днів. Видалення на рівні облікового запису на запит незворотне.
- Жодного навчання, жодної передачі
- Ми не використовуємо резюме клієнтів для навчання будь-яких моделей. Ми ніколи не передаємо резюме, аналізи чи будь-які дані кандидатів третім сторонам для маркетингу чи бенчмаркінгу.
- Субпідрядники обробки
- Ми використовуємо невеликий набір перевірених постачальників інфраструктури (Google Cloud для зберігання та обчислень; Stripe для оплати на платних тарифах; поштовий провайдер для транзакційних листів). Поточний список доступний на запит і буде опублікований до будь-яких змін.
- Контроль доступу (внутрішній)
- Доступ до робочих даних потребує іменного схвалення, журналюється та надається лише для конкретних звернень у підтримку, відкритих вами. Немає шляху «просто подивитися» до ваших даних.
- Реагування на інциденти
- Якщо інцидент безпеки зачіпає ваші дані, ми повідомляємо вас письмово протягом 72 годин з описом, масштабом і планом усунення.
- Відповідність вимогам
- Ми дотримуємося принципів GDPR щодо мінімізації даних, доступу та видалення. Контракти Enterprise можуть включати Додаток про обробку даних (DPA). Офіційні атестації SOC 2 / ISO 27001 - у нашій дорожній карті; запитайте наш поточний опитувальник із безпеки.
Одна чесна фраза: ми молода компанія. Ми не заявляємо про сертифікати, яких у нас немає. Що в нас є - це зрозуміла політика, чиста архітектура та готовність викласти це для вас письмово.