Saltar al contenido principal
Confianza

Seguridad en Nexu HR

Cómo protegemos los datos que tu equipo nos confía.

Cifrado

Todo el tráfico entre tu navegador y Nexu HR se cifra con TLS 1.3. Los datos en reposo en nuestra base de datos Postgres y el almacenamiento de archivos se cifran con AES-256 mediante Supabase. Los secretos y tokens de actualización OAuth se guardan en columnas cifradas.

Seguridad a nivel de fila

Cada tabla en nuestra base de datos multiinquilino aplica políticas de Row-Level Security de Postgres a nivel del motor. Un usuario nunca puede leer ni escribir filas de otra empresa: la propia base de datos rechaza la consulta, sin importar que exista algún bug en la aplicación.

Control de acceso

Control de acceso basado en roles con seis roles integrados (Super Admin, HR Admin, Reclutador, Hiring Manager, Entrevistador, Empleado). Las vacantes confidenciales pueden restringirse a un panel de contratación específico para que sean invisibles para el resto de la empresa.

Copias de seguridad

Se realizan copias automáticas diarias mediante Supabase con recuperación a un punto en el tiempo de las últimas 24 horas. Probamos los procedimientos de restauración trimestralmente. Los clientes pueden exportar sus propios datos en cualquier momento con los botones de exportación presentes en cada tabla.

Registro de auditoría

Las acciones sensibles —publicación de vacantes, cambios de fase de candidatos, actualizaciones de datos de empleados, cambios de configuración— se registran en un log de actividad dentro de cada empresa. Los logs son inmutables desde la aplicación y accesibles para los administradores en revisiones de cumplimiento.

Seguridad de proveedores

Cada subencargado que utilizamos (Supabase, Vercel, Stripe, Anthropic, Resend, Cloudflare, Google) está sujeto a un Acuerdo de Tratamiento de Datos y hereda las mismas obligaciones de confidencialidad y seguridad que Nexu HR asume con sus clientes. La lista completa está en /sub-processors.

Hoja de ruta de cumplimiento

Nexu HR se construye sobre infraestructura que ya hereda el cumplimiento de SOC 2, ISO 27001 y RGPD de nuestros socios de alojamiento (Supabase, Vercel y Cloudflare). Nuestra propia hoja de ruta de controles:

  • Inicio de la auditoría SOC 2 Tipo II tras la disponibilidad general
  • Alcance de la certificación ISO 27001 en paralelo con SOC 2
  • Test de penetración externo antes de cada versión mayor
  • Programa de bug bounty una vez superados los 100 clientes de pago

Reportar una vulnerabilidad

Si cree haber encontrado una vulnerabilidad de seguridad en Nexu HR, repórtela de forma privada a security@nexuhr.com. Acusamos recibo de los reportes en 1 día hábil, no emprendemos acciones legales contra investigadores que actúen de buena fe y acreditamos a los reportantes en nuestros avisos salvo que pidan permanecer en el anonimato.