Trust Hub

Zbiór zasobów prawnych w PeopleForce

Przewodnik bezpieczeństwa

PeopleForce oferuje rozwiązanie typu Oprogramowanie jako Usługa (ang. Software as a Service, SaaS), które ma na celu zaspokojenie różnych potrzeb biznesowych dla tysięcy użytkowników na całym świecie. Bezpieczeństwo jest fundamentalnym aspektem naszych usług i obejmuje nasz personel, procedury i produkty. Niniejszy dokument omawia kwestie takie jak bezpieczeństwo danych, bezpieczeństwo operacyjne oraz bezpieczeństwo fizyczne naszych produktów tak aby wyjaśnić, w jaki sposób zapewniamy bezpieczeństwo naszym klientom.

1. Podsumowanie

Nasze podejście do bezpieczeństwa obejmuje następujące, kluczowe elementy:

  • Bezpieczeństwo organizacyjne
  • Bezpieczeństwo fizyczne
  • Bezpieczeństwo infrastruktury
  • Bezpieczeństwo danych
  • Identyfikacja i kontrola dostępu
  • Bezpieczeństwo operacyjne
  • Zarządzanie incydentami
  • Odpowiedzialne zgłaszanie
  • Zarządzanie dostawcami

1.1 Czy Twoje dane są bezpieczne?

W PeopleForce przykładamy ogromną wagę do zagadnień związanych z bezpieczeństwem. Nasz produkt i uczciwość firmy opierają się na przestrzeganiu najbardziej rygorystycznych standardów w zakresie bezpieczeństwa informacji i prywatności:

  • Certyfikacje Zgodności: Nasze zaangażowanie w zgodność z obowiązującymi przepisami prawa obejmuje przestrzeganie uznanych struktur branżowych w zakresie bezpieczeństwa i prywatności oraz wykorzystywanie najlepszych praktyk i powszechnie akceptowanych standardów. Dzięki temu możemy wspomagać naszych klientów w spełnianiu ich własnych wymagań w zakresie zgodności z obowiązującymi przepisami prawa.
  • Integracja z najlepszymi praktykami bezpieczeństwa w branży: Integracja z wiodącymi standardami bezpieczeństwa w branży: PeopleForce stale kładzie nacisk na ochronę Twoich danych, przeznaczając zasoby na ich ochronę. Wdrażamy środki bezpieczeństwa, utrzymujemy wszechstronne polityki i ustanawiamy procedury, tak aby dostosować się do przyjętych standardów bezpieczeństwa danych. Naszym priorytetem jest nieustanne zaangażowanie w podnoszenie poziomu bezpieczeństwa przekazywanych nam informacji. Warto zaznaczyć, że PeopleForce posiada certyfikat ISO 27001:2013.
  • Pełna kontrola nad Twoimi danymi:  Twoje dane są dla nas w pełni poufne. Jesteś jedyną osobą, która posiada klucze dostępu do swoich informacji. Dzięki naszej strukturze uprawnień udostępniasz tylko te dane, które są niezbędne odpowiednim osobom w odpowiednim czasie. Twoje dane są chronione przez PeopleForce przez cały czas, na każdym etapie ich wykorzystania.
  • Zarządzanie Kontrolą Dostępu: Nasza firma stworzyła kompleksowy system do zarządzania i nadzorowania uprawnień każdego pracownika do różnych poziomów danych, oprogramowania, aplikacji i wszystkich zasobów korporacyjnych, bez żadnych wyjątków. W rezultacie, dostęp do naszego systemu i informacji klienta jest szczegółowo ograniczany i monitorowany. Nasi pracownicy nie są uprawnieni do dostępu do danych klienta przechowywanych na platformie PeopleForce, z wyjątkiem Dyrektora ds. Technologii (ang. Chief Technology Officer, CTO) firmy lub tych pracowników, którzy otrzymali wyraźną zgodę od klientów na rozwiązanie konkretnego zadania bądź problemu.

2. Jak PeopleForce zapewnia przestrzeganie standardów bezpieczeństwa?

Jako firma SaaS, nieustannie pracujemy nad spełnianiem najwyższych standardów bezpieczeństwa. Naszym celem jest zapewnienie, że nasi klienci są zawsze chronieni przed potencjalnymi zagrożeniami bezpieczeństwa.

2.1 Przestrzeganie przepisów dotyczących bezpieczeństwa

  • Certyfikat ISO 27001:2013
  • Certyfikat zgodności z Rozporządzeniem o Ochronie Danych Osobowych (RODO, GDPR)
  • Przeprowadzamy regularne audyty w celu uzyskania aktualnych certyfikacji ISO 27001 oraz zgodności z RODO, które udostępniamy na życzenie i pod warunkiem zawarcia umowy o zachowaniu poufności (NDA).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

3. Certyfikaty

3.1 Jakie rodzaje certyfikatów i materiałów mogę uzyskać?

Nasze certyfikaty i materiały mogą być udostępniane na życzenie. Niektóre zasoby mogą wymagać podpisania umowy o zachowaniu poufności (NDA). Dostępne są następujące dokumenty:

3.2 Dostępne zasoby:

image

IISO/IEC 27001 jest międzynarodowym standardem powszechnie akceptowanym w dziedzinie bezpieczeństwa. Ten certyfikat otrzymują tylko i wyłącznie organizacje, które spełniają rygorystyczne globalne wymagania ISO.

PeopleForce uzyskał akredytację ISO/IEC 27001:2013 w zakresie Aplikacji, Systemów, Ludzi, Technologii i Procesów.

image

RODO to europejska regulacja wymagająca od firm ochrony danych osobowych i prywatności obywateli UE podczas przetwarzania danych.

PeopleForce zawsze wychodzi ponad branżowe normy, aby priorytetyzować prywatność danych użytkowników. Traktujemy RODO nie jako przeszkodę, ale jako wzmocnienie naszej kultury pierwszeństwa prywatności.

Platforma PeopleForce jest zgodna z RODO w zakresie prywatności.

3.3 Materiały objęte umową o zachowaniu poufności (NDA):

3.4 Dostęp do danych

Rozważmy dwie kategorie podmiotów, które potencjalnie mają dostęp do Twoich danych:

  • Ty i Twoi upoważnieni pracownicy: Twoi wyznaczeni pracownicy będą mogli uzyskać dostęp do danych osobowych za pomocą dostarczonych danych dostępu.
  • Nasz zespół: nasz CTO lub określeni członkowie zespołu (osoby regularnie szkolone i upoważnione przez PeopleForce) będą mieli dostęp do danych tylko wtedy, gdy TY wyrazisz zgodę na wykonanie przez nich konkretnych zadań. Każde działanie personelu PeopleForce w takich zadaniach będzie miało na celu dokładne, audytowalne cele, zgodnie z Twoim żądaniem przekazanym przez nasze biuro obsługi klienta i tylko po uzyskaniu Twojej wyraźnej zgody.

3.5 Zapytanie o kopię zapasową danych

Czy posiadacie system wykonujący kopie zapasowe moich danych? Bądź pewny, że dane w PeopleForce są poddawane procedurom wykonywania kopii zapasowej co najmniej raz dziennie. Niemniej jednak, zalecamy rozważenie wprowadzenia tworzenia regularnych kopii zapasowych danych również w systemie HRIS.

3.6 Omówienie przechowywania i bezpieczeństwa danych

Jak i gdzie są przechowywane i zabezpieczane moje dane? Twoje dane są zarządzane i chronione w następujący sposób.

4. Infrastruktura i lokalizacja hostingu danych

4.1 Europa

W celu zapewnienia bezpieczeństwa Danych Osobowych, w tym ich przechowywania na zasobach w chmurze, korzystamy wyłącznie z bezpiecznych i niezawodnych dostawców.

Zgodnie z wymaganiami RODO, bezpiecznie przechowujemy wszystkie dane należące do naszych klientów, którzy są rezydentami lub obywatelami Unii Europejskiej. Dane te są przechowywane w centrum danych zlokalizowanym w Unii Europejskiej, a dokładniej we Frankfurcie nad Menem, w Niemczech.

Kazachstan i Uzbekistan

Przestrzegamy przepisów Republiki Uzbekistanu, w szczególności ustawy "O danych osobowych i ich przetwarzaniu", bezpiecznie przechowując dane klientów, którzy są mieszkańcami i obywatelami Uzbekistanu. Dane te są przechowywane w centrum danych serwera z siedzibą w Uzbekistanie.Podobnie przestrzegamy prawa Republiki Kazachstanu, w szczególności ustawy "O danych osobowych i ich przetwarzaniu", chroniąc dane klientów, którzy są mieszkańcami i obywatelami KZ. Dane te są przechowywane w centrum danych serwera znajdującym się w KZ.Ponadto dla klientów, którzy chcą mieć pełną kontrolę nad przetwarzaniem danych, mamy możliwość świadczenia usługi On-premise.

4.2 Środki bezpieczeństwa sieci

Jakie środki bezpieczeństwa sieci zostały wdrożone? PeopleForce stosuje sprawdzone strategie bezpieczeństwa sieciowego wraz z różnymi innymi technologiami ochronnymi, tak aby chronić Twoje dane. Środki te obejmują:

4.3 Środki bezpieczeństwa

Nieustannie umacniamy naszą sieć, korzystając z istotnych usług bezpieczeństwa AWS, przeprowadzając regularne audyty i wykorzystując zaawansowane technologie inteligencji sieciowej. Te technologie ciągle monitorują i odstraszają rozpoznane złośliwe ruchy i potencjalne ataki sieciowe.

4.4 Struktura architektoniczna

Nasza architektura bezpieczeństwa sieciowego opiera się na odrębnych strefach bezpieczeństwa. Szczególnie serwery na których zgromadzone są bazy danych znajdują się w najbezpieczniejszej strefie, położonej we Frankfurcie nad Menem w Niemczech - tj. w miejscu o zaufanej reputacji.

4.5 Ocena podatności sieciowej

Nasze podejście obejmuje kompleksowe skanowanie sieciowe w celu uzyskania wszystkich niezbędnych informacji. Pozwala to na szybkie zidentyfikowanie systemów, które mogą nie być zgodne lub podatne na zagrożenia bezpieczeństwa.

4.6 Oceny bezpieczeństwa zewnętrznego

Oprócz naszej corocznej, wewnętrznej inicjatywy skanowania i testowania, PeopleForce korzysta z usług specjalistów ds. bezpieczeństwa zewnętrznego do przeprowadzenia szeroko zakrojonego testu penetracyjnego, obejmującego zarówno produkcję PeopleForce, jak i sieci korporacyjne.

4.7 Zarządzanie incydentami bezpieczeństwa

Stworzyliśmy metodyczną strategię, zdefiniowany ciąg działań i zestaw narzędzi, które stosujemy, aby skutecznie identyfikować, rozwiązywać i minimalizować skutki incydentów bezpieczeństwa. To podejście pozwala nam sprawnie zarządzać i synchronizować nasze działania w odpowiedzi na zagrożenia związane z bezpieczeństwem, naruszenia lub inne problemy związane z bezpieczeństwem informacji.

4.8 Dostęp logiczny

Dostęp do sieci produkcyjnej PeopleForce jest ograniczony do osób, którym udostępniane informacje są absolutnie niezbędne i wykorzystuje zasadę przyznawania jak najmniejszych uprawnień. Oznacza to, że osoby otrzymują dostęp na minimalny poziom dostępu niezbędny do wykonywania swoich zadań. Aby zapewnić bezpieczeństwo, pracownicy, którzy potrzebują dostępu do sieci produkcyjnej PeopleForce, muszą korzystać z wielu czynników uwierzytelniających.

4.9 Reagowanie na incydenty bezpieczeństwa

Stworzyliśmy mechanizm, który umożliwia naszym odpowiednim specjalistom technicznym i personelowi ds. bezpieczeństwa szybkie reagowanie na incydenty. Pracownicy odpowiedzialni za obszar bezpieczeństwa przechodzą szkolenia z zakresu protokołów reagowania na incydenty bezpieczeństwa, w tym skutecznych metod komunikacji i procedur eskalacji problemów.

4.10 Zapobieganie atakom DDoS

Stosujemy konkretne taktyki, metody i rozwiązania technologiczne w celu ochrony przed rozproszonymi atakami blokującymi serwis (ang. Distributed Denial of Service, DDoS).

4.11 Wykrywanie i zapobieganie włamaniom

Stworzyliśmy konkretne protokoły, technologie i konfiguracje, które pozwalają na identyfikację i zapobieganie nieautoryzowanym lub szkodliwym działaniom w sieci komputerowej lub systemie. Powyższe strategie wzajemnie ze sobą współpracują i uzupełniają się w celu zwiększenia bezpieczeństwa ekosystemu cyfrowego poprzez rozpoznawanie potencjalnych zagrożeń i podejmowanie działań prewencyjnych w celu ich powstrzymania.

4.12 Wirtualna sieć prywatna (VPN)

Stworzyliśmy wirtualną sieć prywatną (ang. Virtual Private Network, VPN), która tworzy bezpieczne i zaszyfrowane połączenie, często nazywane tunelem, do zdalnego serwera. Dzięki temu połączeniu możemy bezpiecznie korzystać z Internetu i zasobów sieci wewnętrznej, jednocześnie zachowując prywatność i bezpieczeństwo.

4.13 Firewall aplikacji internetowych (WAF)

Korzystamy z narzędzia Web Application Firewall (WAF) aby chronić aplikacje internetowe przed różnymi zagrożeniami i atakami online. Działa ono jako bariera ochronna między aplikacją internetową a potencjalnymi atakującymi, filtrując i kontrolując ruch przychodzący i wychodzący.

4.14 Walidacja danych wejściowych

Stosujemy walidację danych wejściowych w celu sprawdzenia i weryfikacji dostarczanych przez Ciebie danych, tak aby upewnić się, że spełniają one określone kryteria, zasady lub formaty, zanim zostaną przetworzone lub zaakceptowane przez system, aplikację lub bazę danych. Walidacja pomaga nam zapobiegać błędom, złośliwym lub nieoczekiwanym danym, które mogą powodować błędy, podatności lub awarie systemu.

4.15 Ciągłe monitorowanie i zarządzanie bezpieczeństwem

Ta praktyka pozwala nam wprowadzić spójny, ciągły nadzór nad środkami bezpieczeństwa, tak aby identyfikować, reagować i redukować ryzyko w miarę jego pojawiania się, zapewniając ogólny stan bezpieczeństwa aktywów cyfrowych firmy.

4.16 Chętnie wyjaśnimy Ci szyfrowanie

Wdrażamy szyfrowanie zarówno podczas przechowywania danych, jak i podczas ich przesyłania. Wszystkie punkty końcowe i połączenia są zobowiązane do korzystania z połączeń SSL o przynajmniej wersji TLS 1.2. Dla danych w spoczynku zapewniamy pełne szyfrowanie wszystkich danych przesłanych i przechowywanych w naszym Blob Storage (S3), zgodnie z normami szyfrowania ustalonymi przez AWS.

Jeśli chodzi o Zarządzanie Kluczami, wprowadziliśmy rygorystyczny system obsługi, dostępu i rotacji kluczy szyfrowania. Podejście to wzmacnia skuteczność naszych technik szyfrowania.

4.17 Czy możesz potwierdzić, że oferujecie usługi dostępności i ciągłości?

Planowanie kontynuacji działalności firmy (ang. Business Continuity Planning, BCP). Posiadamy kompleksowy proces BCP. Ten strategiczny proces polega na rozpoznawaniu możliwych ryzyk i opracowywaniu strategii gwarantujących nieprzerwaną realizację kluczowych funkcji biznesowych w trakcie i po zakłóceniach. Naszym celem jest zmniejszenie skutków takich incydentów dla działalności firmy. Chociaż wznowienie działalności po incydencie (ang. Disaster Recovery, DR) jest ściśle związane z BCP, BCP obejmuje szerszy zakres, podkreślając ciągłość działalności całego przedsiębiorstwa, a nie tylko przywracanie systemów informatycznych i danych.

5. Jak zapewniamy bezpieczeństwo aplikacji PeopleForce?

5.1 Bezpieczny Cykl Życia Rozwoju Oprogramowania (SDLC)

Wdrożyliśmy Bezpieczny Cykl Życia Rozwoju Oprogramowania (ang. Secure Software Development Life Cycle, SDLC), który ma na celu uwzględnienie aspektów związanych z bezpieczeństwem na każdym etapie procesu rozwoju oprogramowania. Głównym celem jest systematyczne uwzględnianie kwestii związanych z bezpieczeństwem od początkowych faz rozwoju aż po wdrożenie i utrzymanie. To podejście ma na celu identyfikację, zapobieganie i minimalizowanie podatności i wad w aplikacjach. Ostatecznym celem jest stworzenie oprogramowania, które jest odporne na ataki, chroni wrażliwe dane i zapewnia jak najbezpieczniejszą obsługę użytkownika.

5.2 Odrębne środowiska

Zachowujemy wyraźne rozróżnienie pomiędzy środowiskami testowymi a produkcyjnymi, które są oddzielone od siebie. Nasze środowiska rozwojowe i testowe nie wykorzystują żadnych danych klientów.

5.3 Statyczna analiza kodu

Wykorzystujemy zintegrowane narzędzia analizy statycznej do skanowania repozytoriów kodu źródłowego naszej platformy i aplikacji mobilnych w poszukiwaniu podatności związanych z bezpieczeństwem.

5.4 Zewnętrzne testy penetracyjne przeprowadzane przez osoby trzecie

Oprócz naszej wszechstronnej inicjatywy wewnętrznego skanowania i testowania, PeopleForce współpracuje z zewnętrznymi specjalistami ds. bezpieczeństwa w celu przeprowadzenia dokładnych testów penetracyjnych oprogramowania PeopleForce, w tym wszystkich aplikacji wchodzących w jego skład.

5.5 Jakie dodatkowe środki bezpieczeństwa zostały wdrożone?

Oto kilka dodatkowych środków bezpieczeństwa, które stosujemy:

  • Dwuskładnikowa autoryzacja (2FA): PeopleForce zaleca integrację przedsiębiorstwa z dwuskładnikową (2FA) autoryzacją.
  • Kontrole dostępu oparte na rolach: Dostęp do aplikacji PeopleForce jest regulowany za pomocą systemu kontroli dostępu opartego na rolach (ang. role-based access control, RBAC).

6. Świadomość bezpieczeństwa

6.1 Polityki

W PeopleForce stworzyliśmy obszerną kolekcję polityk bezpieczeństwa, które obejmują różnorodne tematy. Te polityki są rozprowadzane i dostępne dla wszystkich pracowników i kontrahentów, którzy mają dostęp do zasobów informacyjnych PeopleForce.

6.2 Szkolenia i edukacja

Każdy pracownik bierze udział w szkoleniach z zakresu świadomości bezpieczeństwa przy przyjęciu do firmy a następnie raz w roku podczas corocznych szkoleń. Nasz zespół ds. bezpieczeństwa zapewnia ciągłe aktualizacje dotyczące świadomości bezpieczeństwa za pośrednictwem komunikatów e-mail, postów na blogach i prezentacji podczas wewnętrznych wydarzeń.

6.3 Audyt ISMS

Audyt wewnętrznego systemu zarządzania bezpieczeństwem informacji (ang. Audit of the Internal Information Security Management System, ISMS). Przeprowadzamy coroczny audyt praktyk, polityk, procedur i kontroli dotyczących bezpieczeństwa informacji organizacji, aby zapewnić zgodność z ustalonymi standardami i przepisami. Celem takiego audytu jest ocena skuteczności wdrożenia systemu zarządzania bezpieczeństwem informacji oraz identyfikacja obszarów do usprawnienia.

6.4 Jak przeprowadzacie weryfikację pracowników?

Weryfikacja referencji. PeopleForce przeprowadza weryfikację referencji dla wszystkich nowych pracowników zgodnie z lokalnymi przepisami.

Umowa o zachowanie poufności. Każda nowo zatrudniona osoba i kontrahent jest zobowiązana do przeczytania naszej Polityki Prywatności i podpisania Umów o Zachowaniu Poufności (ang. Non Disclosure Agreements).

7. Zgodność z RODO

Reakcja PeopleForce na RODO. W PeopleForce zawsze priorytetem było dbanie o prywatność i bezpieczeństwo Twoich danych, często w zakresie znacznie przekraczającym standardy branżowe. Zbieramy tylko niezbędne dane osobowe potrzebne do działania naszego produktu, i to się nie zmienia. Nasz zespół zawsze na pierwszym miejscu stawiał prywatność, a RODO jest dla nas kolejnym sposobem na wzmocnienie naszych wartości.

7.1 Co to jest RODO?

RODO oznacza Ogólne Rozporządzenie o Ochronie Danych Osobowych. Jest to kompleksowa regulacja dotycząca ochrony prywatności i danych osobowych, obowiązująca w całej Unii Europejskiej. Rozporządzenie to reguluje sposób, w jaki firmy gospodarują i chronią dane mieszkańców UE, dając jednostkom większą kontrolę nad ich danymi osobowymi. 

Co istotne, RODO nie dotyczy tylko i wyłącznie firm z siedzibą w UE oraz mieszkańców UE; to rozporządzenie jest istotne dla każdej firmy o globalnej obecności. Cenimy dane naszych klientów, niezależnie od ich położenia, dlatego też przyjęliśmy kontrole RODO jako standard dla wszystkich naszych operacji na całym świecie. RODO obowiązuje od 25 maja 2018 roku.

7.2 Co jest uważane za dane osobowe?

Dane osobowe obejmują wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. RODO obejmuje szeroki zakres danych, które, samodzielnie lub w połączeniu z innymi informacjami, mogą służyć do zidentyfikowania osoby. Dane osobowe wykraczają poza tylko imię i adres e-mail danej osoby i mogą one obejmować również informacje takie jak: szczegóły finansowe, przekonania polityczne, informacje genetyczne, biometrykę, adresy IP, adresy fizyczne, orientację seksualną i pochodzenie etniczne.

7.3 Mapa Danych (ang. Data Inventory Map)

Opracowaliśmy rejestr, który zawiera aktualne i szczegółowe informacje dotyczące danych sklasyfikowanych według modułów, nazw, kategorii, poziomu wrażliwości i okresu retencji.

7.4 Zarządzanie kontrolą dostępu i macierz dostępu

Opracowaliśmy i wdrożyliśmy Politykę Zarządzania Dostępem (ang. Access Management Policy), która zawiera ogólne wymagania definiujące, jak jest zarządzany dostęp i kto ma dostęp do informacji i zasobów firmy oraz w jakich okolicznościach.

7.5 Przeprowadzamy regularne audyty:

  • Roczny Wewnętrzny Audyt Zgodności z RODO
  • Roczny Zewnętrzny Audyt Zgodności z RODO

Audyty zgodności z RODO odnoszą się do procesu systematycznego przeglądania i oceny praktyk, polityk i procedur firmy, tak aby zapewnić ich zgodność z wymaganiami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Audyt ten obejmuje ocenę sposobu, w jaki firma zbiera, przetwarza, przechowuje i zarządza danymi osobowymi, a także weryfikację, czy są wdrożone niezbędne środki i kontrole w celu ochrony praw osób w zakresie prywatności danych, zgodnie z zapisami RODO. Celem audytu jest zidentyfikowanie obszarów niezgodności i podjęcie działań korygujących w celu zapewnienia, że firma przestrzega zasad i obowiązków związanych z ochroną danych i prywatności określonych w RODO.

7.6 Powiadamiamy o incydentach

W przypadku incydentów dotyczących określonego użytkownika lub firmy, zawsze powiadamiamy zainteresowaną stronę za pośrednictwem e-maila lub Slacka.

7.7 Weryfikacja pracowników

Każdy pracownik przechodzi proces sprawdzania danych biograficznych i społecznych na etapie przyjęcia do pracy. Sprawdzanie dodatkowych kandydatów przeprowadza specjalistyczny personel z naszego działu HR.

7.8 Praca zdalna

Opracowaliśmy i wdrożyliśmy Politykę Urządzeń Mobilnych i Politykę Haseł dla pracowników pracujących zdalnie, zapewniając najwyższy poziom poufności i bezpieczeństwa danych. Wszyscy pracownicy pracują wyłącznie na laptopach firmy. Urządzenia mobilne używane do celów biznesowych są zarejestrowane w systemie zarządzania urządzeniami mobilnymi. Aby zapewnić zgodność ze standardami bezpieczeństwa, wszystkie urządzenia mobilne wyposażone są w autoryzację dwuskładnikową i hasła.

7.9 Fizyczne zabezpieczenia w miejscu pracy

Nasze biuro jest wyposażone w systemy zabezpieczeń przed pożarami, alarmy i całodobowy monitoring wideo. Dostęp do lokalu jest ściśle ograniczony i kontrolowany. Osoby z zewnątrz nie mają dostępu do biura. Tylko zarejestrowani pracownicy firmy mają do niego dostęp.

7.10 Bezpieczeństwo danych

Przechowywanie danych i ich usuwanie. Będziemy przechowywać Twoje dane osobowe tylko tak długo, jak będzie to konieczne do realizacji celów, dla których zostały zebrane i zgodnie z obowiązującymi przepisami prawa. Konkretny okres przechowywania Twoich danych osobowych może się różnić w zależności od kontekstu i rodzaju gromadzonych danych. Co do zasady, będziemy przechowywać Twoje dane osobowe tak długo, jak długo będziesz mieć u nas aktywne konto lub tak długo, jak będzie to konieczne do świadczenia Usług. Jeśli zdecydujesz się zamknąć swoje konto lub jeśli Twoje konto stanie się nieaktywne, możemy nadal przechowywać Twoje dane osobowe przez ograniczony okres czasu, zgodnie z wymogami prawa lub w uzasadnionych celach biznesowych.Po upływie okresu przechowywania Twoje dane osobowe zostaną bezpiecznie usunięte. Należy pamiętać, że niektóre dane mogą być przechowywane przez dłuższy okres, jeśli będzie to konieczne w celu wywiązania się z obowiązków prawnych, rozstrzygnięcia sporu, wyegzekwowania naszych umów lub dla innych zgodnych z prawem celów, w tym obowiązków rachunkowych lub podatkowych.W przeciwnym razie możesz skontaktować się z PeopleForce pod adresem security@peopleforce.io z prośbą o usunięcie przechowywanych przez nas danych osobowych. Rozpatrzymy Twoją prośbę i podejmiemy dalsze kroki w rozsądnym terminie i bez zbędnej zwłoki.

7.11 Tożsamość i kontrola dostępu

Jednolite logowanie (ang. Single Sign-On, SSO). Logowanie się do dowolnej usługi PeopleForce odbywa się wyłącznie za pośrednictwem zintegrowanego systemu Zarządzania Tożsamościami i Dostępem (ang. Identity and Access Management, IAM).

7.12 Bezpieczeństwo operacyjne

Ochrona przed złośliwym oprogramowaniem i spamem. Ochrona przed złośliwym oprogramowaniem i spamem obejmuje podejmowanie działań mających na celu zapobieganie, wykrywanie i łagodzenie ryzyka związanego ze złośliwym oprogramowaniem (malware) oraz niechcianymi lub szkodliwymi wiadomościami e-mail (spamem). Wykorzystujemy narzędzia, technologie i praktyki z zakresu bezpieczeństwa, tak aby chronić systemy, sieci i użytkowników przed negatywnymi skutkami działania złośliwego oprogramowania i spamu, zachowując integralność środowisk cyfrowych i ochronę danych wrażliwych.

7.13 Identyfikacja działań phishingowych i spamu

Wykrywanie działań phishingowych i spamu obejmuje procedurę różnicowania i identyfikacji podejrzanych lub wprowadzających w błąd prób nakłonienia osób do ujawnienia wrażliwych danych lub uczestnictwa w szkodliwym zachowaniu. Metody wykrywania, których używamy obejmują analizę treści, adresów URL, informacji o nadawcy oraz wykorzystywanie różnych technologii bezpieczeństwa w celu zapobiegania wpadnięcia w sidła oszustów.

Najczęściej zadawane pytania dotyczące bezpieczeństwa PeopleForce:

Czy PeopleForce przestrzega standardów bezpieczeństwa informacji?

Gdzie są przechowywane moje dane?

Czy pracownicy PeopleForce będą mieli dostęp do moich danych? Kto będzie miał dostęp do moich danych?

Czy dane przechowywane w produktach chmurowych PeopleForce są szyfrowane?

Jak osiągane jest rozdzielenie danych klientów w usługach chmurowych PeopleForce?

Czy PeopleForce jest chronione przed atakami DDoS?

Czy PeopleForce przeprowadza testy penetracyjne?

Czy PeopleForce ma program reagowania na incydenty i jaka jest procedura zgłaszania incydentu?

Co robi PeopleForce, jeśli wystąpi incydent bezpieczeństwa?

Czy PeopleForce jest zgodne z przepisami RODO?

Czy PeopleForce jest zgodne z normami ISO?

Jak długo są przechowywane dane klientów, jeśli przestaną oni korzystać z usług PeopleForce?

Czy w PeopleForce istnieje plan kontynuacji działalności i plan odzyskiwania po awarii?

Jaka jest polityka tworzenia kopii zapasowych danych?

Jakie środki są stosowane do zarządzania dostępem do danych klientów?

Czy możecie wyjaśnić proces oceny ryzyka PeopleForce i częstotliwość jego przeprowadzania?

Czy PeopleForce posiada proces weryfikacji pracowników?

Jakie certyfikaty posiada PeopleForce potwierdzające zgodność z normami?

Czy PeopleForce ujawni moje dane organom ścigania, jeśli będzie to konieczne?