Seguridad en TalenIA

Cifrado en tránsito (HTTPS/TLS 1.2+)

Toda la comunicación entre el navegador del usuario y los servidores de TalenIA se cifra con TLS 1.2 como mínimo. Los certificados se gestionan automáticamente a través de Vercel.

Cifrado en reposo

Los datos se almacenan en Neon PostgreSQL, que aplica cifrado en reposo AES-256 gestionado por la infraestructura cloud subyacente (AWS).

Infraestructura serverless (Vercel)

La aplicación se despliega en Vercel usando funciones serverless en la región de Europa Occidental. No existen servidores administrados manualmente.

Base de datos PostgreSQL gestionada (Neon)

Neon gestiona backups automáticos, alta disponibilidad y parches de seguridad de la base de datos. Los datos residen en la región US East (Virginia) con opción de migración a EU.

Hashing de contraseñas con scrypt + sal

Las contraseñas de usuarios nunca se almacenan en texto claro. Se aplica el algoritmo scrypt con parámetros N=16384, r=8, p=1 y sal aleatoria de 16 bytes.

Sesiones con cookie HttpOnly

Las sesiones de usuario se gestionan mediante una cookie de sesión HttpOnly. No se usan tokens en localStorage.

Panel de administración con 2FA (OTP por email)

El acceso al panel de administración requiere un código OTP de un solo uso enviado al email del administrador, además de la contraseña hash.

Verificación de email obligatoria

Los nuevos usuarios deben verificar su dirección de email antes de poder crear procesos de evaluación. Los tokens de verificación expiran en 24 horas.

Bloqueo de cuentas por administrador

El administrador puede bloquear cuentas de usuario desde el panel de administración. Las cuentas bloqueadas no pueden acceder a la plataforma.

SSO empresarial (SAML / OIDC)

Integración con proveedores de identidad corporativos como Okta, Azure AD o Google Workspace.

Pseudonimización de candidatos

Los candidatos se identifican internamente mediante un código de iniciales generado por TalenIA (ej. 'AGL'). El nombre real no se almacena en el perfil de candidato ni aparece en los resultados de evaluación.

Neutralización del nombre del CV

El nombre del archivo CV (que a menudo contiene el nombre del candidato) se sustituye por 'cv.pdf' en el momento de la subida. El nombre original nunca se almacena.

Email del candidato scope-limited

El email del candidato solo se almacena si el reclutador lo facilita para enviar el test psicométrico, o si el propio candidato lo proporciona opcionalmente al finalizar el test. No existe campo de email en el perfil de candidato.

Consentimiento explícito para test psicométrico

El candidato debe aceptar explícitamente los términos antes de iniciar el test. Se registra la marca de tiempo del consentimiento (consentAt).

Sin datos de categorías especiales

TalenIA no procesa ni solicita datos de categorías especiales (salud, origen racial, religión, orientación sexual, etc.) según el art. 9 RGPD.

Purga de PII post-archivo (RGPD)

Los CVs, datos de perfil y correos de candidatos se eliminan irreversiblemente 60 días tras el archivo de la sesión. Las respuestas brutas de tests psicométricos se eliminan al completar el test. Los scores y reportes agregados se conservan para trazabilidad. Operación ejecutada manualmente por el administrador.

Revisión de dependencias en cada despliegue

Las dependencias del proyecto se auditan con cada ciclo de desarrollo. Los avisos de seguridad de npm y GitHub Dependabot se revisan periódicamente.

Notificación de brechas de seguridad

En caso de violación de seguridad que afecte a datos personales, TalenIA notificará a los clientes afectados en un plazo máximo de 72 horas desde su detección, conforme al art. 33 RGPD.

Programa de bug bounty

Si detectas una vulnerabilidad de seguridad, repórtala responsablemente a [email protected]. Revisamos todos los informes en un plazo de 5 días hábiles.

Penetration testing externo

Auditoría de seguridad externa por un tercero especializado.

RGPD (Reglamento UE 2016/679)

TalenIA opera bajo el RGPD. Los clientes actúan como Responsables del tratamiento; TalenIA como Encargado. Ver el DPA para detalles.

EU AI Act (Reglamento UE 2024/1689)

TalenIA está preparando su proceso de conformidad con el Reglamento de IA. Los sistemas de evaluación de candidatos pueden clasificarse como alto riesgo. Ver nuestra página de cumplimiento EU AI Act.

SOC 2 Type II

Auditoría formal de controles de seguridad, disponibilidad y confidencialidad por un auditor externo.