Bezpieczeństwo i ochrona danych w HRnest
W temacie bezpieczeństwa danych nie ma miejsca na pomyłki ani półśrodki.
Data Center zlokalizowane są na terenie Europejskiego Obszaru Gospodarczego (EOG). Powierzone dane osobowe są przetwarzane w Polsce, Holandii (Data Center MS Azure) i Irlandii (Data Center MS Azure).
Szyfrujemy dane na poziomie interfejsów aplikacji z innymi systemami przy użyciu SSL TLS 1.2.
Szyfrujemy bazy danych przy wykorzystaniu TDE (AES 256), Dynamic data masking.
Każdy z użytkowników ma wgląd do zakresu swoich przetwarzanych danych. W trakcie umowy klient ma możliwość wyeksportowania wszystkich danych w dowolnym momencie. Po rozwiązaniu umowy dane są przez nas usuwane.
Korzystamy z technicznych i sieciowych zabezpieczeń, aby zapobiec przechwyceniu danych. Bezpieczeństwo systemu opiera się na logicznych mechanizmach uwierzytelniania i autoryzacji.
Aby zapewnić wysoki poziom bezpieczeństwa, wykorzystujemy różne narzędzia monitorujące, które służą do wykrywania i zapobiegania złośliwym zdarzeniom, zagrożeniom i próbom włamań.
Zgodność z RODO
Jako HRnest, jesteśmy dumni z faktu, że bezpieczeństwo jest naszym najwyższym priorytetem, a nasz system oferuje rozwiązania, które chronią prywatność danych osobowych, takie jak szyfrowanie, zasady minimalizacji danych oraz zarządzanie danymi użytkowników.
Jesteśmy przekonani, że dzięki naszym wysiłkom, nasza platforma jest jednym z najlepszych rozwiązań na rynku dla przedsiębiorstw, które cenią bezpieczeństwo danych.
Wszyscy nasi pracownicy przechodzą szkolenia z
Zasad przetwarzania danych osobowych zgodnych z RODO, w tym zasad bezpieczeństwa.
Wymagań prawa ochrony danych osobowych i zasad bezpieczeństwa informacji.
Zgłaszania i obsługi incydentów, w tym procedur szybkiego reagowania, analiz przyczyn i skutecznych metod naprawczych.
Zabezpieczenia dostępu do sprzętu mobilnego i ochrony przed złośliwym oprogramowaniem.
Bezpiecznej pracy zdalnej (na odległość), ucząc się jak stosować najlepsze praktyki dotyczące sieci Wi-Fi i korzystania z VPN.
Wykorzystania do zadań służbowych infrastruktury IT, w tym sprzętu komputerowego.
Do przetwarzania danych w HRnest są dopuszczone wyłącznie osoby upoważnione, które zostały zobowiązane do zachowania poufności danych oraz przestrzegania stosowanych przez nas zabezpieczeń.
Korzystamy z dostępów, zgodnych z pełnionymi funkcjami, na zamkniętych i zabezpieczonych sieciach VPN.
Przed podjęciem współpracy z dostawcami technologicznymi przeprowadzamy dokładną weryfikację, aby upewnić się, że spełniają nasze wymagania. Wdrożyliśmy procedury zarządzania naruszeniami ochrony danych i incydentami bezpieczeństwa informacji. Nasze podejście do bezpieczeństwa i ochrony danych jest transparentne, aby każdy nasz klient miał pewność, że jego dane są u nas bezpieczne.
Powołaliśmy Inspektora Ochrony Danych. Wdrożyliśmy szereg procedur i polityk wymaganych przez RODO. Między innymi: stworzyliśmy od podstaw politykę ochrony danych osobowych, prowadzimy rejestr czynności (i kategorii) przetwarzania, a także mamy zapisaną i wdrożoną metodykę oceny ryzyka, a sama ocena jest wykonywana okresowo. Metodyka, którą wykorzystujemy została stworzona na podstawie rekomendacji wydanych przez ENISĘ (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa).
Ochrona danych od początku do końca
Projektowanie systemu
Stosujemy zasady privacy by design i privacy by default w procesach projektowych i rozwojowych, co zapewnia, że zmiany i wydania naszego oprogramowania są przeprowadzane w sposób bezpieczny i kontrolowany.
Wdrożyliśmy zabezpieczenia przed szkodliwym oprogramowaniem (każda ze stacji roboczych posiada zainstalowany program antywirusowy z włączonymi automatycznymi aktualizacjami) oraz proces zarządzania podatnościami (patch managment).
Regularnie realizowane są testy penetracyjne systemu przez zewnętrzną firmę audytorską. Dodatkowo przeprowadzamy audyty bezpieczeństwa IT, aby przetestować nasze procedury z najlepszymi praktykami w dziedzinie bezpieczeństwa.
Mamy odseparowane środowiska produkcyjne od testowych i rozwojowych, dzięki czemu powierzone dane osobowe nie są wykorzystywane w środowiskach testowych i rozwojowych.
W celu zapewnienia bezpieczeństwa użytkownicy pracujący w systemie HRnest nie mają bezpośredniego dostępu do bazowej logiki biznesowej i warstw bazy danych.
Uprawnienia użytkowników i ról są dokładnie definiowane oraz zarządzane. Odczyt, zapis, aktualizacja i usuwanie są przypisane na poziomie użytkownika lub roli, co umożliwia precyzyjne zarządzanie nimi.
Infrastruktura, systemy operacyjne i aplikacje służące do przetwarzania danych osobowych są na bieżąco aktualizowane (pod kątem istniejących luk i podatności). Przy wprowadzaniu zmian w systemach IT uwzględniane są wymagania bezpieczeństwa oraz badany jest wpływ zmiany na funkcjonujące zabezpieczenia. Systemy i aplikacje, w których będą przetwarzane powierzone dane osobowe są testowane regularnie pod kątem bezpieczeństwa informacji (przeprowadzonego testu).
Bezpieczeństwo logowania do systemu
- Określ zasady tworzenia haseł tj. minimalną długość, częstotliwość zmiany i dotyczące jej powiadomienia.
- Aktywuj logowania zewnętrzne z użyciem kont Microsoft lub Google oraz włącz wymuszanie logowania przy pomocy tych kont.
- Wymuszaj stosowanie dwuskładnikowego uwierzytelniania (2FA) przez użytkowników.
Tworzenie kopii zapasowych i odzyskiwanie danych po awarii
- Tworzymy pełne kopie zapasowe baz danych naszych klientów co 24 godziny, a kopie przyrostowe co 5 minut. Testujemy procedurę odtwarzania danych co dwa miesiące
- Klienci mają możliwość tworzenia własnych kopii zapasowych w dowolnym momencie eksportując dane z systemu.
- Kopie zapasowe są przechowywane w lokalizacji innej niż główny serwer.
