Trust Hub

Юридические ресурсы в PeopleForce

Безопасность данных

PeopleForce предлагает программное обеспечение как услугу (SaaS) для решения различных бизнес-потребностей тысяч пользователей по всему миру. Безопасность является фундаментальным аспектом наших услуг, охватывающим персонал, процессы и продукты. На этой странице вы найдете информацию о безопасности данных, операционной безопасности и физической безопасности, чтобы понять, как мы предоставляем гарантии нашим клиентам.

1. Краткая справка

Наш подход к безопасности охватывает следующие ключевые элементы:

  • Организационная безопасность
  • Физическая безопасность
  • Безопасность инфраструктуры
  • Безопасность данных
  • Идентификация и контроль доступа
  • Операционная безопасность
  • Управление инцидентами
  • Ответственное раскрытие информации
  • Управление поставщиками

1.1 Безопасно ли хранятся ваши данные?

В PeopleForce безопасности придается большое значение. Целостность нашего продукта и компании основана на соблюдении самых серьезных стандартов информационной безопасности и конфиденциальности:

  • Сертификаты соответствия. Наша приверженность к соблюдению всех требований включает установленные отраслевые стандарты безопасности и конфиденциальности, использование лучших практик и общепринятых стандартов. Так мы помогаем клиентам выполнять их же требования по соответствию.
  • Интеграция с ведущими отраслевыми стандартами безопасности. PeopleForce уделяет постоянное внимание сохранности ваших данных, выделяя ресурсы для обеспечения их защиты. Мы внедряем меры безопасности, придерживаемся комплексных политик и устанавливаем процедуры, которые соответствуют основным стандартам безопасности данных. Наша приверженность повышению уровня информационной безопасности является главным приоритетом. В частности, PeopleForce имеет сертификат ISO 27001.
  • Полный контроль над вашими данными. Ваши данные полностью закрыты для нас. Только вы имеете ключи для доступа к вашей информации, предоставляя то, что нужно, определенным людям в нужное время, благодаря нашей надежной структуре передачи доступов. Это означает защищенность на каждом этапе, от начала до конца, на протяжении всего пути.
  • Управление контролем доступа. Наша компания создала комплексную систему управления и контроля за доступом каждого сотрудника к различным уровням данных, программного обеспечения, приложений и всех корпоративных ресурсов без каких-либо исключений. Как результат, доступ к нашей системе и информации о клиентах тщательно ограничивается и контролируется. Наши сотрудники не имеют права доступа к данным клиентов, хранящимся на платформе PeopleForce, за исключением технического директора компании или тех, кому клиенты предоставили разрешение на решение конкретных задач.

2. Как PeopleForce обеспечивает соблюдение стандартов безопасности?

Как SaaS-компания, мы постоянно работаем над тем, чтобы соответствовать и превосходить лучшие стандарты безопасности. Наша цель – гарантировать, что наши клиенты всегда защищены от любых потенциальных рисков и уязвимостей.

2.1 Соблюдение правил безопасности:

  • Сертифицированы по стандарту ISO 27001:2013
  • Сертифицированы по GDPR
  • Responsible disclosures
  • Проводим плановые аудиты для получения текущих оценок ISO 27001 и соответствия GDPR, доступ к которым предоставляется по запросу и при условии подписания соглашения о неразглашении (NDA).

3. Сертификаты

3.1 К каким типам сертификатов и материалов я могу получить доступ?

Наши сертификаты и материалы могут быть предоставлены по запросу. Некоторые ресурсы могут потребовать подписания соглашения о неразглашении (NDA). Доступны следующие варианты:

3.2 Доступные ресурсы:

image

ISO/IEC 27001 является общепризнанным международным стандартом безопасности. Организации, которые соответствуют строгим международным требованиям ISO, получают этот сертификат.

PeopleForce получила аккредитацию ISO/IEC 27001:2013 в сферах приложений, систем, людей, технологий и процессов.

image

GDPR – это общеевропейский регламент, который требует от компаний защищать персональные данные и конфиденциальность граждан ЕС при обработке данных.

PeopleForce выходит за рамки отраслевых норм, ставя конфиденциальность данных пользователей на первое место. Мы рассматриваем GDPR не как препятствие, а как усиление нашей крепкой культуры защиты данных, ставящей конфиденциальность на первое место.
Платформа PeopleForce имеет настройки конфиденциальности, которые соответствуют требованиям GDPR. При управлении данными клиентов мы строго придерживаемся принципов защиты данных, изложенных в регламенте.

3.3 Материалы, связанные соглашением о неразглашении (NDA)

3.4 Доступность данных.

Рассмотрим две категории субъектов, которые имеют потенциальный доступ к вашим данным:

  • Вы и ваш уполномоченный персонал. Назначенные вами сотрудники смогут получить доступ, используя предоставленные учетные данные.
  • Наша команда. Наш технический директор или отдельные члены команды (лица, которые регулярно проходят обучение и имеют соответствующие полномочия от PeopleForce) будут иметь доступ только при условии, что вы предоставите им разрешение на выполнение определенных задач. Каждый случай привлечения персонала PeopleForce к выполнению таких задач будет иметь четкие цели, которые можно проверить, в соответствии с вашим запросом через нашу службу поддержки, и только после получения вашего четкого разрешения.

3.5 Запрос на резервное копирование данных.

Существует ли система резервного копирования моих данных? Будьте уверены, данные в PeopleForce проходят процедуру резервного копирования как минимум один раз в день. Тем не менее, мы советуем рассмотреть возможность регулярного резервного копирования данных и для вашей HRIS-системы.

3.6 Обзор хранения и защиты данных. 

Как и где хранятся и защищаются мои данные? Ваши данные управляются и защищаются следующим образом.

4. Инфраструктура и месторасположение хостинга данных

4.1 Европа

Для обеспечения безопасности Персональных данных, в том числе их хранения на облачных ресурсах, мы используем исключительно безопасные и надежные средства. В соответствии с требованиями GDPR (Общего регламента о защите данных), мы надежно храним все данные, принадлежащие нашим клиентам, которые являются резидентами или гражданами Европейского Союза. Эти данные хранятся в дата-центре, расположенном в Европейском Союзе, в частности во Франкфурте-на-Майне, Германия.

Казахстан и Узбекистан 

Мы соблюдаем требования законодательства Республики Узбекистан, в частности закона "О персональных данных и их обработке", безопасно храня данные клиентов, которые являются резидентами и гражданами Узбекистана. Эти данные хранятся в серверном дата-центре, расположенном в Узбекистане. Так же мы соблюдаем законодательство Республики Казахстан, в частности закон "О персональных данных и их обработке", защищая данные клиентов, которые являются резидентами и гражданами Казахстана. Эти данные хранятся в серверном центре обработки данных, расположенном в Казахстане. Кроме того, для клиентов, желающих полностью контролировать обработку данных, мы предлагаем услугу On-premise.

4.2 Меры сетевой безопасности. 

Какие меры сетевой безопасности существуют? PeopleForce использует надежные стратегии сетевой безопасности вместе с другими защитными технологиями для защиты ваших данных. Эти меры включают в себя:

4.3 Меры безопасности

Мы защищаем нашу сеть, используя основные службы безопасности AWS, проводя регулярные аудиты и применяя передовые технологии сетевой разведки. Эти технологии непрерывно отслеживают и сдерживают распознанный злонамеренный сетевой трафик и потенциальные атаки.

4.4 Архитектурный фреймворк

Наша архитектура сетевой безопасности построена вокруг отдельных зон безопасности. В частности, серверы баз данных находятся в наиболее защищенной зоне, расположенной во Франкфурте-на-Майне (Германия) – месте, которому доверяют.

4.5 Оценка уязвимости сети

Наш подход предполагает комплексное сканирование сетевой безопасности, которое дает нам более глубокое понимание. Это позволяет быстро выявлять системы, которые могут не соответствовать требованиям или быть уязвимыми.

4.6 Внешние оценки безопасности

Наряду с нашей комплексной ежегодной инициативой внутреннего сканирования и тестирования, PeopleForce обращается к услугам сторонних специалистов по безопасности для проведения широкомасштабных тестов на проникновение, охватывающих как производственные, так и корпоративные сети PeopleForce.

4.7 Управление инцидентами безопасности

Мы разработали методическую стратегию, определенную последовательность действий и инструментарий, который используем для эффективного выявления, устранения и минимизации последствий инцидентов безопасности. Такой подход позволяет нам умело управлять и синхронизировать наши действия в ответ на угрозы кибербезопасности, нарушения или любые проблемы, связанные с информационной безопасностью.

4.8 Логический доступ

Доступ к производственной сети PeopleForce ограничен по принципу служебной необходимости, с использованием минимальных привилегий. Это означает, что лицам предоставляется минимальный уровень доступа, необходимый для выполнения их задач. Для обеспечения безопасности сотрудники, которым необходимо использовать производственную сеть PeopleForce, обязаны использовать несколько факторов аутентификации.

4.9 Реагирование на инциденты безопасности

Мы создали механизм, который позволяет нашим техническим специалистам и сотрудникам службы безопасности оперативно реагировать на инциденты. Ответственные сотрудники проходят обучение по протоколам реагирования на инциденты безопасности, включая эффективные методы коммуникации и процедуры эскалации проблем.

4.10 Предотвращение DDoS-атак

Мы умело применяем специальные тактики, методы и технологические решения для защиты от распределенных атак типа "отказ в обслуживании" (DDoS).

4.11 Обнаружение и предотвращение вторжений

Мы разработали специальные протоколы, технологии и настройки для обнаружения и предотвращения несанкционированных или вредоносных действий в компьютерной сети или системе. Эти стратегии способствуют повышению безопасности цифровой экосистемы, распознавая потенциальные риски и инициируя превентивные действия для их предотвращения.

4.12 Виртуальная частная сеть (VPN)

Мы создали виртуальную частную сеть (VPN), которая устанавливает безопасное и зашифрованное соединение, часто называемое "туннелем", с удаленным сервером. Благодаря этому соединению мы можем получить безопасный доступ к Интернету и внутренним сетевым ресурсам, сохраняя конфиденциальность и безопасность.

4.13 Брандмауэр веб-приложений (WAF)

Мы используем этот инструмент безопасности для защиты веб-приложений от широкого спектра онлайн-угроз и атак. Он действует как защитный барьер между веб-приложением и потенциальными злоумышленниками, фильтруя и контролируя входящий и исходящий трафик.

4.14 Проверка входных данных 

Мы используем валидацию входных данных для проверки и верификации предоставленных вами данных, чтобы убедиться, что они соответствуют предварительно определенным критериям, правилам или форматам, прежде чем они будут обработаны или приняты системой, приложением или базой данных. Этот этап проверки помогает нам предотвратить ввод ошибочных, злонамеренных или неожиданных данных, которые могут вызвать ошибки, уязвимости или сбои в работе системы.

4.15 Непрерывное управление и мониторинг безопасности

Эта практика позволяет нам осуществлять последовательный надзор за мерами безопасности в режиме реального времени для выявления, реагирования и смягчения рисков по мере их возникновения, обеспечивая общее состояние безопасности цифровых активов компании.

4.16 Мы будем рады объяснить вам, что такое шифрование.

Мы используем шифрование как при хранении данных, так и при их передаче. Все конечные точки и соединения должны использовать SSL-соединение с уровнем не ниже TLS 1.2. Для данных в состоянии покоя мы обеспечиваем полное шифрование всех данных, загружаемых и хранящихся в нашем блокчейн-репозитории (S3), следуя стандартам шифрования, установленным AWS.

Что касается управления ключами, мы создали строгую систему для обработки, доступа и ротации ключей шифрования. Такой подход повышает эффективность наших методов шифрования.

4.17 Планирование непрерывности бизнеса 

Можете ли вы подтвердить, что предоставляете услуги по обеспечению доступности и непрерывности?

Мы внедрили комплексное планирование непрерывности бизнеса (Business Continuity Planning, BCP). Этот стратегический процесс предусматривает распознавание возможных рисков, разработку стратегий, которые гарантируют бесперебойное выполнение критически важных бизнес-функций во время и после деструктивных инцидентов. Наша цель – уменьшить влияние таких инцидентов на деятельность компании. Хотя аварийное восстановление (DR) тесно связано с этим понятием, BCP охватывает более широкий спектр, подчеркивая непрерывную работу всего бизнеса, а не только на восстановлении IТ-систем и данных.

5. Как обеспечивается безопасность приложения PeopleForce?

5.1 Безопасный жизненный цикл разработки программного обеспечения (SDLC)

Мы внедрили Безопасный жизненный цикл разработки программного обеспечения (SDLC), который имеет целью учесть аспекты безопасности на каждом этапе процесса разработки программного обеспечения. Основной целью является систематическое решение проблем безопасности от начальных этапов разработки до развертывания и текущего обслуживания. Этот подход направлен на выявление, предотвращение и устранение уязвимостей и недостатков в программных приложениях. Конечной целью является создание программного обеспечения, которое может противостоять атакам, защищать конфиденциальные данные и обеспечивать более безопасную работу пользователей.

5.2 Отдельные среды

Мы обеспечиваем четкое разграничение между тестовой и рабочей средами, которые хранятся отдельно от среды разработки. Наши среды разработки и тестирования не используют ваши данные.

5.3 Статический анализ кода

Мы используем интегрированные инструменты статического анализа для проверки репозиториев исходного кода нашей платформы и мобильных приложений на наличие уязвимостей безопасности.

5.4 Внешнее тестирование на проникновение третьими сторонами

Помимо нашей комплексной внутренней инициативы по сканированию и тестированию, PeopleForce сотрудничает с внешними специалистами по безопасности для проведения тщательных тестов на проникновение в программное обеспечение PeopleForce, включая все приложения, входящие в его состав.

5.5 Какие дополнительные меры безопасности внедрены?

Вот несколько дополнительных мер безопасности, которые мы применяем:

  • 2-факторная аутентификация (2FA). PeopleForce рекомендует интегрировать с корпоративным SSO 2-факторную аутентификацию (2FA).
  • Контроль доступа на основе ролей. Доступ к данным в приложениях PeopleForce регулируется с помощью системы контроля доступа на основе ролей (RBAC).

6. Осведомленность о безопасности

6.1 Политики

В PeopleForce мы создали большой комплект политик безопасности, которые охватывают различные темы. Эти политики распространяются и доступны для всех сотрудников и подрядчиков, которые имеют доступ к информационным активам PeopleForce.

6.2 Обучение и образование

Каждый сотрудник участвует в тренинге по безопасности при приеме на работу в компанию, а впоследствии – ежегодно. Наша команда безопасности обеспечивает постоянное обновление информации о безопасности через электронную почту, публикации в блогах и презентации во время внутренних мероприятий.

6.3 Аудит СУИБ 

Аудит внутренней системы управления информационной безопасностью.

Мы проводим ежегодный аудит практик, политик, процедур и средств контроля информационной безопасности организации для обеспечения соответствия установленным стандартам и нормам. Целью такого аудита является оценка эффективности внедрения СУИБ в организации и определение сфер, требующих совершенствования.

6.4 Как вы проводите скрининг сотрудников?

Проверка рекомендаций. PeopleForce проводит проверку рекомендаций для всех новых сотрудников в соответствии с местными правилами.

Соглашение о сохранении конфиденциальности. Каждый новый сотрудник и подрядчик обязан ознакомиться с нашей Политикой конфиденциальности и подписать Соглашение о неразглашении.

7. Соответствие GDPR

GDPR – стандарт для PeopleForce

В PeopleForce мы стремимся обеспечить конфиденциальность и безопасность ваших данных, часто выходя за рамки отраслевых стандартов. Мы собираем только самую важную личную информацию, необходимую для того, чтобы наш продукт работал наилучшим образом. Наша команда всегда ставит конфиденциальность на первое место, и GDPR является еще одним способом укрепить такие ценности.

7.1 Что такое GDPR?

GDPR расшифровывается как Общий регламент о защите данных, и это международный стандарт конфиденциальности и защиты данных, применяемый на территории Европейского Союза. Он регулирует, как компании обрабатывают и защищают данные резидентов ЕС, предоставляя резидентам ЕС больший контроль над их личной информацией.

Важно отметить, что действие GDPR не ограничивается компаниями из ЕС или резидентами ЕС; он касается любой компании с международным присутствием. Мы ценим данные наших клиентов, независимо от их местонахождения, поэтому мы приняли соответствие GDPR в качестве стандарта для всех наших глобальных операций. Стандарт GDPR вступил в силу 25 мая 2018 года.

7.2 Что считается персональными данными?

Персональные данные – это любая информация, касающаяся физического лица, которое можно идентифицировать или которое уже идентифицировано. Согласно GDPR, они охватывают широкий спектр данных, которые самостоятельно или в сочетании с другой информацией могут быть использованы для идентификации личности. Персональные данные не ограничиваются только именем или адресом электронной почты; они могут включать финансовые данные, политические убеждения, генетическую информацию, биометрические данные, IP-адреса, физические адреса, сексуальную ориентацию и этническую принадлежность и тому подобное.

7.3 Реестр инвентаризации данных 

Мы разработали этот реестр, чтобы предоставить актуальную и подробную информацию о данных, классифицированных по модулю, названию, категории, уровню чувствительности и сроку хранения.

7.4 Управление доступом и матрица доступа 

Мы разработали и внедрили Политику управления доступом, которая содержит требования высокого уровня, определяющие, как осуществляется управление доступом, кто и при каких обстоятельствах может получить доступ к информации и активам компании.

7.5 Мы ввели регулярный аудит:

  • Ежегодный внутренний аудит соответствия GDPR
  • Ежегодный внешний аудит соответствия GDPR

Аудит на соответствие GDPR – это процесс систематического анализа и оценки практик, политик и процедур компании для обеспечения их соответствия требованиям Общего регламента о защите данных (GDPR). Этот аудит предусматривает оценку того, как компания собирает, обрабатывает, хранит и управляет персональными данными, а также проверку наличия необходимых гарантий и мер для защиты прав лиц на конфиденциальность данных, как указано в GDPR. Цель аудита – выявить любые сферы несоответствия и принять корректирующие меры для обеспечения соблюдения компанией принципов и обязательств GDPR по защите данных и конфиденциальности.

7.6 Уведомление об инцидентах

Об инцидентах, связанных с отдельным пользователем или компанией, мы всегда сообщаем заинтересованной стороне по электронной почте или через Slack.

7.7 Проверка анкетных данных сотрудников

Каждый сотрудник проходит процесс проверки биографических и социальных данных на этапе онбординга.  Скрининг дополнительных кандидатов осуществляют специалисты нашего HR-отдела.

7.8 Дистанционная работа

Мы разработали и внедрили Мобильную политику и Политику паролей для сотрудников, работающих удаленно, обеспечивая высокий уровень конфиденциальности и безопасности данных.  

Все сотрудники работают исключительно на ноутбуках компании. Мобильные устройства, используемые в рабочих целях, регистрируются в системе управления мобильными устройствами, чтобы гарантировать, что они соответствуют нашим стандартам безопасности, все мобильные устройства имеют 2-факторную аутентификацию и пароли. 

7.9 Физическая безопасность на рабочем месте

Наш офис оборудован противопожарной безопасностью, сигнализацией и круглосуточным видеонаблюдением.

Доступ в помещение строго ограничен и контролируется. Посторонним лицам вход в офис запрещен. Допускаются только зарегистрированные сотрудники компании. 

7.10 Безопасность данных

Хранение и удаление данных

Мы будем хранить ваши персональные данные только столько, сколько необходимо для выполнения целей, для которых они были собраны, и в соответствии с действующим законодательством. Конкретный период хранения ваших персональных данных может отличаться в зависимости от контекста и типа собранных данных.

В общем, мы будем хранить ваши персональные данные до тех пор, пока вы имеете активную учетную запись у нас или до тех пор, пока это необходимо для предоставления вам запрошенных вами услуг. Если вы решите закрыть свою учетную запись или если ваша учетная запись станет неактивной, мы все равно можем хранить ваши персональные данные в течение ограниченного периода времени, как того требует закон или для законных деловых целей.

По истечении срока хранения ваши персональные данные будут надежно удалены. Обратите внимание, что определенные данные могут храниться в течение более длительного периода, если это необходимо для соблюдения юридических обязательств, разрешения споров, обеспечения выполнения наших соглашений или для других законных целей, включая бухгалтерские или налоговые обязательства.

В противном случае вы можете обратиться к PeopleForce по адресу security@peopleforce.io с письменным запросом на удаление ваших персональных данных, которые мы храним. Мы рассмотрим ваш запрос и ответим на него в разумные сроки и без лишних задержек.

7.11 Идентификация и контроль доступа

Единый вход (SSO). Каждый раз, когда вы входите в любую службу, это происходит исключительно через нашу интегрированную систему управления идентификацией и доступом (IAM).

7.12 Операционная безопасность

Защита от вредоносного программного обеспечения и спама

Защита от вредоносного программного обеспечения и спама предусматривает принятие мер для предотвращения, выявления и уменьшения рисков, вызванных вредоносным программным обеспечением (вредоносными программами) и нежелательными или вредными сообщениями электронной почты (спамом). 

Мы используем инструменты, технологии и практики безопасности для защиты систем, сетей и пользователей от негативных последствий заражения вредоносным программным обеспечением и спама, для поддержания целостности цифровых сред и защиты конфиденциальных данных.

7.13 Обнаружение фишинга и спама

Обнаружение фишинга и спама охватывает процедуру дифференциации и идентификации подозрительных или обманчивых действий, направленных на то, чтобы заставить людей раскрыть конфиденциальные данные или принять участие во вредоносном поведении. 

Методы обнаружения, которые мы применяем, часто включают анализ контента, URL-адресов, информации об отправителе и использование различных технологий безопасности, чтобы предотвратить жертвы таких мошеннических схем.

Частые вопросы о безопасности PeopleForce:

Придерживается ли PeopleForce стандартов информационной безопасности?

Где хранятся мои данные?

Будут ли сотрудники PeopleForce иметь доступ к нашим данным? Кто будет иметь доступ к моим данным?

Зашифрованы ли данные, хранящиеся в облачных продуктах PeopleForce?

Как достигается сегрегация данных клиентов в облачных сервисах PeopleForce?

Защищен ли PeopleForce от DDoS-атак?

Проводит ли PeopleForce тестирование на проникновение?

Существует ли в PeopleForce программа реагирования на инциденты, и какова процедура уведомления об инциденте?

Что делает PeopleForce, если произошел инцидент с безопасностью?

Соответствует ли PeopleForce требованиям GDPR?

Соответствует ли PeopleForce стандартам ISO?

Как долго хранятся данные клиента, если он прекращает пользоваться услугами PeopleForce?

Существует ли в PeopleForce план непрерывности бизнеса и аварийного восстановления?

Какая у вас политика резервного копирования данных?

Какие меры применяются для управления доступом к данным клиентов?

Не могли бы вы объяснить ваш процесс оценки рисков и частоту ее проведения?

Объясните, пожалуйста, вашу политику по проверке биографических данных сотрудников?

Какие сертификаты имеет PeopleForce, чтобы продемонстрировать свое соответствие стандартам?

Передадите ли вы мои данные правоохранительным органам, если это потребуется?