Seguridad e Infraestructura
Cómo protegemos tus datos en todos los niveles.
Nuestro compromiso
En Hire24 nos tomamos muy en serio la seguridad de los datos. Procesamos información sensible de candidatos — CVs, entrevistas, evaluaciones — y entendemos la responsabilidad que eso conlleva. Esta página describe las medidas que tomamos para proteger esos datos.
Infraestructura
| Componente | Implementación |
|---|---|
| Alojamiento | Vercel (serverless) — Región UE (París, Francia) |
| Base de datos | Supabase (PostgreSQL) — Región UE (Fráncfort, Alemania) |
| Almacenamiento | Supabase Storage — Región UE (Fráncfort) |
| CDN | Vercel Edge Network — Distribución global con origen en la UE |
Todos los datos se almacenan en la Unión Europea.
Cifrado
| Tipo | Estándar |
|---|---|
| En tránsito | TLS 1.2+ (HTTPS) en todas las comunicaciones |
| En reposo | AES-256 (gestionado por Supabase / AWS) |
| Copias de seguridad | Cifradas (gestionado por Supabase) |
Control de Acceso
| Medida | Descripción |
|---|---|
| Autenticación | Supabase Auth con flujo PKCE |
| Aislamiento multi-tenant | Aislamiento completo por empresa mediante Row Level Security (RLS) en PostgreSQL |
| Acceso basado en roles | Sistema de roles (recruiter, admin, platform_admin) con permisos diferenciados |
| Acceso de candidatos | Token único por entrevista — sin necesidad de cuenta ni contraseña |
| Mínimo privilegio | Cada rol solo accede a los datos necesarios para su función |
Procesamiento de Datos con IA
| Medida | Descripción |
|---|---|
| Retención cero de datos | OpenAI no retiene datos de nuestras llamadas API. El registro de llamadas API está desactivado. |
| Sin entrenamiento | Los datos enviados a OpenAI no se usan para entrenar modelos |
| Minimización de datos | ElevenLabs (síntesis de voz) solo recibe el texto de las preguntas, nunca datos del candidato |
| Prompts versionados | Los prompts del sistema están versionados y son auditables en la base de datos |
Registro de Auditoría
- Registro automático de acciones: creación de candidatos, entrevistas, generación de informes, eliminación de datos
- Cada registro incluye: usuario, marca temporal, dirección IP, user agent
- Los registros son inmutables y se conservan durante 24 meses
- Los registros de IA registran: operación, modelo, tokens, duración
Retención y Eliminación de Datos
| Tipo de dato | Período de retención |
|---|---|
| Candidatos sin consentimiento | 30 días, después eliminación automática |
| Audio de entrevistas | 12 meses, después eliminación automática |
| Datos completos del candidato | 24 meses, después eliminación automática |
| Logs operacionales | 90 días |
Los candidatos pueden solicitar la eliminación de sus datos en cualquier momento a través del portal de derechos accesible desde la entrevista.
Gestión de Vulnerabilidades
- Dependencias actualizadas regularmente
- CI/CD con comprobaciones automáticas (formato, tipos, build) en cada pull request
- Despliegue automático vía Vercel con capacidad de rollback inmediato
- Rate limiting en endpoints sensibles (voz, transcripción)
Cumplimiento Normativo
| Normativa | Estado |
|---|---|
| RGPD (Reglamento UE 2016/679) | Cumplimiento activo — EIPD completada |
| LOPDGDD (LO 3/2018) | Cumplimiento activo |
| Ley de IA de la UE (Reglamento 2024/1689) | En curso — plazo agosto 2026 |
| ISO 27001 | Previsto para Q3-Q4 2026 |
| SOC 2 Type II | Previsto para 2027 |
Reportar una Vulnerabilidad
Si descubres una vulnerabilidad de seguridad en Hire24, por favor repórtala de forma responsable:
- Email: enric@pharmanewtalent.com
- Qué incluir: Descripción de la vulnerabilidad, pasos para reproducirla, impacto estimado
- Nuestro compromiso: Investigaremos y responderemos en un máximo de 5 días laborables
- Por favor, no publiques la vulnerabilidad hasta que hayamos tenido oportunidad de solucionarla
Pharma New Talent S.L.U. — CIF: B13711775 — Barcelona, España