SOC 2 Tipo II válido · Penetración probada anualmente

El currículum es tuyo. Actuamos así.

Cifrado en reposo y en tránsito, protegido con MFA mediante llave física y auditado cada año por una firma externa. Aquí están las pruebas.

SOC 2
SOC 2 Type II
A-LIGN · TIPO II
RECERTIFICADO EN MARZO DE 2026
GDPR
Cumple con el RGPD
UE + Reino Unido · Alineado con ICO
DPA DISPONIBLE
CCPA
CCPA / CPRA
Residentes de California
DERECHOS RESPETADOS
PEN
Prueba de penetración anual
NCC Group · CREST
ÚLTIMA AUDITORÍA EN FEBRERO DE 2026
Qué hacemos

Las prácticas, en claro.

🔒

Cifrado en todas partes.

Todo lo que escribe en BeauCV está cifrado con AES-256 en reposo en nuestras bases de datos y TLS 1.3 en tránsito. Nuestras copias de seguridad de bases de datos también están cifradas con claves separadas, que se rotan trimestralmente.

en reposo AES-256-GCM (AWS KMS)
en tránsito TLS 1.3, HSTS, HPKP
copias de seguridad Cifrado, claves separadas, RPO de 7 días

Acceso mediante llave de hardware.

Ninguna contraseña por sí sola se acerca a la producción. Cada ingeniero de BeauCV se autentica con una clave de seguridad de hardware. El acceso está controlado por función, se registra y se revisa mensualmente.

mfa Hardware (YubiKey FIDO2)
acceso SSO + basado en roles, revisado mensualmente
auditoría Cada consulta de producción registrada
🚫

Su currículum no entrena sistemas externos.

Su texto se envía a un proveedor de reescritura con una configuración de retención cero: se elimina dentro de los 30 días, nunca se usa para capacitación.

proveedores Provider One, Provider Two
retención Cero (del lado del proveedor)
formación Prohibido por contrato

Residencia de datos que elija.

Al registrarte, eliges la región donde residen tus datos: eu-west-1 (Irlanda) o us-east-1 (Virginia). Tus datos nunca salen de ella.

región de la UE Irlanda (Dublín)
región de EE. UU. N. Virginia (Ashburn)
tránsito Sin replicación entre regiones
🧯

Recuperarse de cualquier cosa.

Simulacros reales de recuperación ante desastres, cada trimestre. Restauramos una base de datos de producción completa en un entorno de prueba y ejecutamos la suite de extremo a extremo. Nuestra última medición de RTO fue de 38 minutos.

copias de seguridad Continuo, puntual, 35 días
rpo ≤ 5 minutos
rto ≤ 1 hora (última medición: 38 min)

Eliminar significa eliminar.

Cuando elimina un currículum o su cuenta, desaparece inmediatamente de las bases de datos activas y de cada copia de seguridad dentro de los 30 días. Mantenemos solo el mínimo requerido para los registros fiscales.

primario Purga inmediata
copias de seguridad Dentro de los 30 días
datos fiscales 7 años · lógicamente aislado
Subencargados

Todos los proveedores que tocan sus datos, enumerados

Avisamos con 30 días de antelación antes de añadir cualquier nuevo subencargado. Puedes oponerte antes de que entre en vigor.

Proveedor
Propósito
Región
DPA
AWS
Hosting, almacenamiento, copias de seguridad
eu-west-1, us-east-1
✓ firmado
Stripe
Procesamiento de pagos
UE + EE. UU.
✓ firmado
Provider One
Procesamiento de reescritura (retención cero)
US
✓ firmado
Provider Two
Procesamiento de reescritura (retención cero)
EE. UU., espejo de la UE
✓ firmado
Postmark
Correo electrónico transaccional
US
✓ firmado
Plain
Atención al cliente
UE (Irlanda)
✓ firmado
Plausible
Análisis sin cookies
UE (Alemania)
✓ firmado
Programa de recompensas

¿Encontraste algo? Pagamos.

Divulgación responsable a security@beaucv.fr. Respondemos dentro de las 48 horas y publicamos el crédito del investigador (con permiso) en nuestro registro de seguridad.

CRÍTICO
$10,000+
RCE, bypass de autenticación, exposición masiva de datos.
ALTO
$2,500
SQLi, XSS almacenado en el editor, escalada de privilegios.
MEDIO
$750
XSS reflejado, CSRF en puntos finales sensibles.
BAJO
$150
Divulgación de información, faltan encabezados.
Divulgación responsable

Informar de una vulnerabilidad.

Enviar un informe detallado a security@beaucv.fr. Cifrado PGP disponible. Reconocemos el caso dentro de las 24 horas, realizamos la selección dentro de las 48 horas y pagamos dentro de los 14 días posteriores a la validación.

$ gpg --recv-keys 0xA4F31D87
gpg: clave A4F31D87 importada
gpg: huella digital: F8 3A 22 91 0C BD 9E 5C
A4 F3 1D 87 B6 22 4E 09
$ gpg --encrypt --recipient security@beaucv.fr report.txt
→ report.txt.gpg listo para enviar
$ _