KCk-cv
Seguridad ante todo

Tus datos,
protegidos

Tu currículum contiene información personal, historial laboral y detalles de tu carrera — datos sensibles que merecen una protección seria. Así es exactamente cómo los mantenemos seguros.

Cifrado TLS 1.3
Conforme con RGPD
Soporte 2FA / TOTP
Tokens API SHA-256
SSO vía Krokanti Account
Registro completo de auditoría

Seguridad en profundidad

La seguridad no es una sola función — es un conjunto de controles superpuestos. Aquí está cada capa de protección que k-cv aplica a tus datos.

Cifrado en tránsito y en reposo

Todos los datos transmitidos entre tu navegador y los servidores de Krokanti están protegidos por TLS 1.3. El contenido de tu currículum, información personal y datos de cuenta están cifrados en reposo en nuestra base de datos Neon Postgres alojada en infraestructura cloud segura. Nunca almacenamos datos sensibles en texto plano.

  • TLS 1.3 para todas las conexiones HTTP
  • Almacenamiento cifrado en base de datos vía Neon Postgres
  • HTTPS obligatorio — las conexiones HTTP se redirigen automáticamente
  • Cloudflare R2 para almacenamiento cifrado de archivos (imágenes de perfil, adjuntos)

Autenticación de dos factores (2FA)

Protege tu cuenta con contraseñas de un solo uso basadas en tiempo (TOTP). Una vez activada, iniciar sesión requiere tus credenciales y un código de 6 dígitos de una app de autenticación como Google Authenticator, Authy o 1Password. Se generan códigos de respaldo en la configuración que puedes usar si pierdes acceso a tu dispositivo.

  • 2FA basado en TOTP (conforme con RFC 6238)
  • Compatible con cualquier app TOTP (Google Authenticator, Authy, 1Password, Bitwarden)
  • 8 códigos de respaldo de un solo uso generados al activar
  • Flujo de recuperación de cuenta para dispositivos perdidos

SSO vía Krokanti Account — Sin contraseñas almacenadas

k-cv utiliza inicio de sesión único (SSO) a través de Krokanti Account, el centro de autenticación centralizado para todas las apps de Krokanti. Tus credenciales son gestionadas completamente por Krokanti Account — k-cv nunca recibe ni almacena contraseñas. La autenticación se realiza mediante tokens OIDC seguros, por lo que no hay ninguna contraseña que comprometer en k-cv.

  • Inicio de sesión único vía Krokanti Account (OIDC)
  • Cero contraseñas almacenadas en k-cv
  • Tokens de sesión JWT (expiración de 7 días, cookies HTTP-only)
  • Configuración de seguridad (contraseña, 2FA) gestionada centralmente en accounts.krokanti.com

Cumplimiento del RGPD

Krokanti cumple plenamente con el Reglamento General de Protección de Datos (RGPD) de la UE. Tienes derecho a acceder a todos los datos que tenemos sobre ti, exportarlos en formato legible por máquinas y solicitar la eliminación completa de tu cuenta y todos los datos asociados. Nunca vendemos tus datos personales a terceros.

  • Exportación de datos: descarga todos tus datos de cuenta y currículos como JSON
  • Derecho al olvido: elimina tu cuenta y todos los datos instantáneamente desde Ajustes > Datos
  • Minimización de datos: solo recopilamos lo necesario para proporcionar el servicio
  • Datos nunca vendidos a terceros — jamás
  • Gestión del consentimiento de cookies en la primera visita

Registro de auditoría de seguridad

Cada acción relevante para la seguridad en tu cuenta se registra — inicios de sesión, cambios de contraseña, activación de 2FA, creación de tokens API y exportaciones de datos. El registro de auditoría está disponible en la configuración de tu cuenta para que puedas revisar la actividad reciente y detectar accesos no autorizados de inmediato.

  • Intentos de inicio de sesión (exitosos y fallidos) registrados con IP y marca de tiempo
  • Cambios de contraseña, activación/desactivación de 2FA y uso de códigos de recuperación registrados
  • Creación y revocación de tokens API registradas
  • Solicitudes de exportación y eliminación de datos registradas
  • Accesible desde Ajustes > Seguridad > Registro de auditoría

Seguridad de tokens API

Los tokens API para desarrolladores usan el prefijo kcv_ para fácil identificación y se almacenan como hashes SHA-256 — nunca almacenamos el valor del token en bruto. Los tokens solo se muestran una vez al crearlos. Si se comprometen, revócalos instantáneamente desde la sección de Tokens API en Ajustes.

  • Hashing SHA-256 — los valores de tokens en bruto nunca se almacenan
  • Tokens mostrados solo una vez al crearlos; no se pueden recuperar después
  • Revocación instantánea desde Ajustes > Tokens API
  • Límite de velocidad: 100 solicitudes/minuto por token
  • Prefijo kcv_ para fácil identificación en registros y revisiones de código

Seguridad de infraestructura

Krokanti funciona en la red edge de Vercel con protección automática contra DDoS y distribución CDN global. La base de datos funciona en Neon Postgres — un proveedor de PostgreSQL serverless y autoescalable con copias de seguridad automáticas y recuperación a un punto en el tiempo.

  • Red edge de Vercel con protección DDoS
  • Neon Postgres con copias de seguridad diarias automatizadas
  • Recuperación a un punto en el tiempo (PITR) disponible
  • Secretos de entorno gestionados vía variables de entorno cifradas de Vercel
  • Acceso zero-trust: credenciales de BD de producción nunca expuestas en código

Controles de privacidad

Cada currículum que creas es privado por defecto. Tú controlas qué currículos son accesibles públicamente mediante una URL compartible y cuáles permanecen visibles solo para ti. Los currículos públicos se pueden cambiar a privados en cualquier momento, lo que los elimina inmediatamente del visor público.

  • Todos los currículos privados por defecto
  • Alternar público/privado por currículum en Ajustes
  • Currículos públicos accesibles solo en la URL específica — no indexados a menos que lo elijas
  • Analíticas de currículos públicos respetuosas con la privacidad (sin PII almacenada de los visitantes)
  • Elimina un currículum público para revocar inmediatamente todo el acceso

Nuestros principios

Más allá de los controles técnicos, estos son los valores que guían cada decisión que tomamos sobre tus datos.

Recogida mínima de datos

Solo recopilamos lo necesario para proporcionar el servicio. El contenido de tu currículum es tuyo — no lo analizamos con fines publicitarios ni lo vendemos a nadie.

Sin rastreo de terceros

Usamos Vercel Analytics (respetuoso con la privacidad, sin cookies) y Google Analytics (opcional). Sin Facebook Pixel, sin LinkedIn Insight Tag, sin redes publicitarias.

Divulgación responsable

¿Encontraste un problema de seguridad? Envía un email a security@krokanti.com. Respondemos en 24 horas y parcheamos problemas críticos en 72 horas.

Tus derechos RGPD

Si estás en la Unión Europea o el Espacio Económico Europeo, tienes derechos específicos bajo el RGPD respecto a tus datos personales. Hemos integrado herramientas directamente en tu cuenta para ejercer estos derechos sin contactar con soporte.

Lee nuestra documentación RGPD

Derecho de acceso

Ajustes > Datos > Exportar tus datos

Derecho al olvido

Ajustes > Datos > Eliminar cuenta

Derecho a la portabilidad

Exporta todos los datos como JSON desde Ajustes

Derecho de rectificación

Edita cualquier información directamente en la app

Derecho de oposición al tratamiento

Contacta a privacy@krokanti.com

Divulgación responsable

¿Encontraste una vulnerabilidad de seguridad? Tomamos todos los informes en serio y respondemos en 24 horas. security@krokanti.com

Crea tu currículum con confianza

Tus datos profesionales están en buenas manos. Comienza a crear tu currículum profesional hoy — gratis, seguro y sin compromisos.

Empieza gratis

¿Preguntas sobre seguridad? Contáctanos