安全性
ApplyAI 的安全措施
您的简历和申请数据是敏感的。我们认真对待这一责任——通过具体的技术控制,而不是营销承诺。
安全实践
我们如何保护您的数据
传输加密
所有传输中的数据均使用 TLS 1.3 加密。我们在所有层面强制执行 HTTPS——API 端点、Webhooks 和控制台。
行级安全
Supabase 行级安全 (RLS) 在每张数据表上均已启用。数据库策略确保任何用户都无法读取其他用户的数据——即使在基础设施层面也是如此。
AI 处理透明度
我们披露哪些 AI 供应商处理您的内容(简历文本、职位描述)以及在什么数据处理协议下。您的数据不会被用于训练第三方模型。
基础设施安全
托管在 Vercel(边缘 CDN)和 Supabase(SOC 2 Type II 认证)上。环境密钥通过平台保险库管理,从不提交到源代码中。
合规性
法规遵从
个人信息保护法(中国)
完全符合中国大陆用户的 PIPL 规定。AI 处理的明确同意、删除权、数据最小化以及跨境传输通知。
通用数据保护条例(欧盟)
符合欧盟居民的 GDPR 规定:处理的合法依据、数据主体权利、与所有处理方的 DPA 协议以及 72 小时违规通知。
SOC 2 Type II — 进行中
我们正在努力获得 SOC 2 Type II 认证。当前基础设施合作伙伴(Supabase、Vercel)均已获得 SOC 2 Type II 认证。
数据保留
您的数据,您说了算
账户删除后 90 天
删除账户后,您的数据将在 90 天内从我们的系统中完全清除,以防止意外删除。
数据不会出售
我们的商业模式是订阅制。您的数据不是我们的产品。任何数据都不会出售给第三方,无论是用于广告、招聘还是任何其他目的。
负责任披露
私下报告
发送邮件至 security@applyai.me,附上清晰的描述、复现步骤和影响评估。可应要求提供 PGP 加密。
48 小时内确认
我们将确认收到,评估严重性,并让您了解修复进度。
90 天披露窗口
我们要求在公开披露前有 90 天的调查和修复时间。我们将与您协调时间安排。
第三方处理方
数据处理方完整披露
以下是处理用户数据的所有第三方供应商。所有供应商均签订了数据处理协议 (DPA)。
| 供应商 | 用途 | 区域 | 认证 |
|---|---|---|---|
| Supabase | 数据库和身份验证 | US / EU | SOC 2 Type II |
| Vercel | Web 托管和边缘分发 | Global CDN | ISO 27001 |
| OpenAI / Anthropic | AI 内容处理(简历和 JD 分析) | US | SOC 2 Type II |
| Resend | 事务性邮件发送 | US | SOC 2 Type II |