- 静态加密
- 所有简历和分析记录均存储在采用 AES-256 加密的 Google Cloud Storage 上。加密由 Google Cloud 管理,并默认应用于每个文件。
- 传输加密
- 您的浏览器、我们的服务与存储之间的所有流量均通过 TLS 1.2+ 传输。我们不允许明文 HTTP 连接。
- 租户隔离
- 设计上即为多租户,在访问控制层按租户 ID 隔离。您的查询只能返回您自己的记录--在服务器端强制执行,而非仅在界面中隐藏。
- 身份验证
- 邮箱 + 密码(含强密码要求),Enterprise 还提供可选的 SSO(SAML 2.0 / OIDC)。会话过期后,所有访问均需重新认证。
- 数据驻留地
- 默认区域为美国(Google Cloud us-central1)。Enterprise 客户可在其 DPA 下申请欧盟或加拿大数据驻留。
- 备份
- 加密的每日备份,并提供 30 天的时间点恢复。备份保存在与您实时数据相同的驻留区域内。
- 保留与删除
- 只要您保留分析,简历就会被保留。删除某次分析会立即清除其简历;备份将在 30 天内滚动删除。应要求进行的账户级删除是永久性的。
- 不训练、不共享
- 我们不会使用客户简历训练任何模型。我们绝不会为营销或基准测试目的,将简历、分析或任何候选人数据共享给第三方。
- 子处理方
- 我们仅使用一小批经审核的基础设施提供商(存储与计算用 Google Cloud;付费套餐计费用 Stripe;事务性邮件用一家邮件服务商)。当前清单可应要求提供,并将在任何变更前公布。
- 访问控制(内部)
- 访问生产数据需经实名审批、全程记录,且仅在您开启的明确支持工单下授予。不存在「随便看看」的途径来接触您的数据。
- 事件响应
- 若发生影响您数据的安全事件,我们将在 72 小时内以书面形式通知您,并附上描述、影响范围和补救计划。
- 合规态势
- 我们在数据最小化、访问和删除方面遵循 GDPR 原则。Enterprise 合同可包含数据处理附录(DPA)。正式的 SOC 2 / ISO 27001 认证已列入路线图;如需我们当前的安全问卷,请与我们联系。