Trust Hub

Юридичні ресурси в PeopleForce

Безпека даних

PeopleForce пропонує програмне забезпечення як послугу (SaaS) для вирішення різних бізнес-потреб тисяч користувачів по всьому світу. Безпека є фундаментальним аспектом наших послуг, що охоплює персонал, процеси та продукти. На цій сторінці ви знайдете інформацію про безпеку даних, операційну безпеку та фізичну безпеку, щоб зрозуміти, як ми надаємо гарантії нашим клієнтам.

1. Коротка довідка

Наш підхід до безпеки охоплює такі ключові елементи:

  • Організаційна безпека
  • Фізична безпека
  • Безпека інфраструктури
  • Безпека даних
  • Ідентифікація та контроль доступу
  • Операційна безпека
  • Управління інцидентами
  • Відповідальне розкриття даних
  • Управління постачальниками

1.1 Чи безпечно зберігаються ваші дані?

У PeopleForce безпеці надається велике значення. Цілісність нашого продукту та компанії заснована на дотриманні найсерйозніших стандартів інформаційної безпеки та конфіденційності:

  • Сертифікати відповідності. Наша прихильність до дотримання усіх вимог включає встановлені галузеві стандарти безпеки та конфіденційності, використання найкращих практик і загальноприйнятих стандартів. Так ми допомагаємо клієнтам виконувати їхні власні вимоги щодо відповідності.
  • Інтеграція з провідними галузевими стандартами безпеки. PeopleForce приділяє постійну увагу збереженню ваших даних, виділяючи ресурси для забезпечення їх захисту. Ми впроваджуємо заходи безпеки, дотримуємося комплексних політик і встановлюємо процедури, які відповідають основним стандартам безпеки даних. Наша відданість підвищенню рівня інформаційної безпеки є головним пріоритетом. Зокрема, PeopleForce має сертифікат ISO 27001.
  • Повний контроль над вашими даними.  Ваші дані повністю закриті для нас. Тільки ви маєте ключі для доступу до вашої інформації, надаючи те, що потрібно, певним людям у потрібний час, завдяки нашій надійній структурі передачі дозволів. Це означає захищеність на кожному етапі, від початку до кінця, протягом всього шляху.
  • Управління контролем доступу. Наша компанія створила комплексну систему управління та контролю за доступом кожного співробітника до різних рівнів даних, програмного забезпечення, додатків та всіх корпоративних ресурсів без будь-яких винятків. Як результат, доступ до нашої системи та інформації про клієнтів ретельно обмежується та контролюється. Наші співробітники не мають права доступу до даних клієнтів, що зберігаються на платформі PeopleForce, за винятком технічного директора компанії або тих, кому клієнти надали дозвіл на вирішення конкретних завдань.

2. Як PeopleForce забезпечує дотримання стандартів безпеки?

Як SaaS-компанія, ми постійно працюємо над тим, щоб відповідати та перевершувати найкращі стандарти безпеки. Наша мета – гарантувати, що наші клієнти завжди захищені від будь-яких потенційних ризиків та вразливостей.

2.1 Дотримання правил безпеки:

  • Сертифіковані за стандартом ISO 27001:2013
  • Сертифіковані за GDPR
  • Проводимо планові аудити для отримання поточних оцінок ISO 27001 та відповідності GDPR, доступ до яких надається за запитом та за умови підписання угоди про нерозголошення (NDA).

3. Сертифікати

3.1 До яких типів сертифікатів та матеріалів я можу отримати доступ?

Наші сертифікати та матеріали можуть бути надані за запитом. Деякі ресурси можуть вимагати підписання угоди про нерозголошення (NDA). Доступні такі варіанти:

3.2 Доступні ресурси:

image

ISO/IEC 27001 є загальновизнаним міжнародним стандартом безпеки. Організації, які відповідають суворим міжнародним вимогам ISO, отримують цей сертифікат.

PeopleForce отримала акредитацію ISO/IEC 27001:2013 у сферах застосунків, систем, людей, технологій та процесів.

image

GDPR – це загальноєвропейський регламент, який вимагає від компаній захищати персональні дані та конфіденційність громадян ЄС під час обробки даних.

PeopleForce виходить за рамки галузевих норм, ставлячи конфіденційність даних користувачів на перше місце. Ми розглядаємо GDPR не як перешкоду, а як посилення нашої міцної культури захисту даних, що ставить конфіденційність на перше місце.
Платформа PeopleForce має налаштування конфіденційності, які відповідають вимогам GDPR. При управлінні даними клієнтів ми суворо дотримуємося принципів захисту даних, викладених у регламенті.

3.3 Матеріали, пов'язані угодою про нерозголошення (NDA)

3.4 Доступність даних. Розглянемо дві категорії суб'єктів, які мають потенційний доступ до ваших даних:

  • Ви та ваш уповноважений персонал. Призначені вами співробітники зможуть отримати доступ, використовуючи надані облікові дані.
  • Наша команда. Наш технічний директор або окремі члени команди (особи, які регулярно проходять навчання та мають відповідні повноваження від PeopleForce) матимуть доступ лише за умови, що ви надасте їм дозвіл на виконання певних завдань. Кожен випадок залучення персоналу PeopleForce до виконання таких завдань буде мати чіткі цілі, які можна перевірити, відповідно до вашого запиту через нашу службу підтримки, і тільки після отримання вашого чіткого дозволу.

3.5 Запит на резервне копіювання даних.

Чи існує система резервного копіювання моїх даних? Будьте певні, дані в PeopleForce проходять процедуру резервного копіювання щонайменше один раз на день. Тим не менш, ми радимо розглянути можливість регулярного резервного копіювання даних і для вашої HRIS-системи.

3.6 Огляд зберігання та захисту даних.

Як і де зберігаються та захищаються мої дані? Ваші дані управляються та захищаються наступним чином.

4. Інфраструктура та місце розташування хостингу даних

4.1 Європа

Для забезпечення безпеки Персональних даних, в тому числі їх зберігання на хмарних ресурсах, ми використовуємо виключно безпечні та надійні засоби. Відповідно до вимог GDPR (Загального регламенту про захист даних), ми надійно зберігаємо всі дані, що належать нашим клієнтам, які є резидентами або громадянами Європейського Союзу. Ці дані зберігаються в дата-центрі, розташованому в Європейському Союзі, зокрема у Франкфурті-на-Майні, Німеччина.

Казахстан та Узбекистан 

Ми дотримуємося вимог законодавства Республіки Узбекистан, зокрема закону "Про персональні дані та їх обробку", безпечно зберігаючи дані клієнтів, які є резидентами та громадянами Узбекистану. Ці дані зберігаються в серверному дата-центрі, розташованому в Узбекистані. Так само ми дотримуємося законодавства Республіки Казахстан, зокрема закону "Про персональні дані та їх обробку", захищаючи дані клієнтів, які є резидентами та громадянами Казахстану. Ці дані зберігаються в серверному центрі обробки даних, розташованому в Казахстані. Крім того, для клієнтів, які бажають повністю контролювати обробку даних, ми пропонуємо послугу On-premise.

4.2 Заходи мережевої безпеки.

Які заходи мережевої безпеки існують? PeopleForce використовує надійні стратегії мережевої безпеки разом з іншими захисними технологіями для захисту ваших даних. Ці заходи включають в себе:

4.3 Заходи безпеки

Ми захищаємо нашу мережу, використовуючи основні служби безпеки AWS, проводячи регулярні аудити та застосовуючи передові технології мережевої розвідки. Ці технології безперервно відстежують і стримують розпізнаний зловмисний мережевий трафік і потенційні атаки.

4.4 Архітектурний фреймворк

Наша архітектура мережевої безпеки побудована навколо окремих зон безпеки. Зокрема, сервери баз даних знаходяться в найбільш захищеній зоні, розташованій у Франкфурті-на-Майні (Німеччина) – місці, якому довіряють.

4.5 Оцінка вразливості мережі

Наш підхід передбачає комплексне сканування мережевої безпеки, яке дає нам глибоке розуміння. Це дозволяє швидко виявляти системи, які можуть не відповідати вимогам або бути вразливими.

4.6 Зовнішні оцінки безпеки

Поряд з нашою комплексною щорічною ініціативою внутрішнього сканування та тестування, PeopleForce звертається до послуг сторонніх фахівців з безпеки для проведення широкомасштабних тестів на проникнення, що охоплюють як виробничі, так і корпоративні мережі PeopleForce.

4.7 Управління інцидентами безпеки

Ми розробили методичну стратегію, визначену послідовність дій та інструментарій, який використовуємо для ефективного виявлення, усунення та мінімізації наслідків інцидентів безпеки. Такий підхід дозволяє нам вправно керувати та синхронізувати наші дії у відповідь на загрози кібербезпеки, порушення або будь-які проблеми, пов'язані з інформаційною безпекою.

4.8 Логічний доступ

Доступ до виробничої мережі PeopleForce обмежений за принципом службової необхідності, з використанням мінімальних привілеїв. Це означає, що особам надається мінімальний рівень доступу, необхідний для виконання їхніх завдань. Для забезпечення безпеки співробітники, яким необхідно використовувати виробничу мережу PeopleForce, зобов'язані використовувати кілька факторів автентифікації.

4.9 Реагування на інциденти безпеки

Ми створили механізм, який дозволяє нашим технічним фахівцям і співробітникам служби безпеки оперативно реагувати на інциденти. Відповідальні співробітники проходять навчання щодо протоколів реагування на інциденти безпеки, включаючи ефективні методи комунікації та процедури ескалації проблем.

4.10 Запобігання DDoS-атакам

Ми вправно застосовуємо спеціальні тактики, методи та технологічні рішення для захисту від розподілених атак типу "відмова в обслуговуванні" (DDoS).

4.11 Виявлення та запобігання вторгненням

Ми розробили спеціальні протоколи, технології та налаштування для виявлення та запобігання несанкціонованим або шкідливим діям у комп'ютерній мережі чи системі. Ці стратегії сприяють підвищенню безпеки цифрової екосистеми, розпізнаючи потенційні ризики та ініціюючи превентивні дії для їхнього запобігання.

4.12 Віртуальна приватна мережа (VPN)

Ми створили віртуальну приватну мережу (VPN), яка встановлює безпечне та зашифроване з'єднання, яке часто називають "тунелем", з віддаленим сервером. Завдяки цьому з'єднанню ми можемо отримати безпечний доступ до Інтернету та внутрішніх мережевих ресурсів, зберігаючи конфіденційність і безпеку.

4.13 Брандмауер веб-додатків (WAF)

Ми використовуємо цей інструмент безпеки для захисту веб-додатків від широкого спектру онлайн-загроз та атак. Він діє як захисний бар'єр між веб-додатком і потенційними зловмисниками, фільтруючи та контролюючи вхідний і вихідний трафік.

4.14 Перевірка вхідних даних

Ми використовуємо валідацію вхідних даних для перевірки та верифікації наданих вами даних, щоб переконатися, що вони відповідають попередньо визначеним критеріям, правилам або форматам, перш ніж вони будуть оброблені або прийняті системою, додатком або базою даних. Цей етап перевірки допомагає нам запобігти введенню помилкових, зловмисних або неочікуваних даних, які можуть спричинити помилки, вразливості або збої в роботі системи.

4.15 Безперервне управління та моніторинг безпеки

Ця практика дозволяє нам здійснювати послідовний нагляд за заходами безпеки в режимі реального часу для виявлення, реагування та пом'якшення ризиків в міру їх виникнення, забезпечуючи загальний стан безпеки цифрових активів компанії.

4.16 Ми будемо раді пояснити вам, що таке шифрування

Ми використовуємо шифрування як під час зберігання даних, так і під час їх передачі. Всі кінцеві точки та з'єднання повинні використовувати SSL-з'єднання з рівнем не нижче TLS 1.2. Для даних у стані спокою ми забезпечуємо повне шифрування всіх даних, що завантажуються та зберігаються в нашому блоковому сховищі (S3), дотримуючись стандартів шифрування, встановлених AWS.
Що стосується управління ключами, ми створили сувору систему для обробки, доступу та ротації ключів шифрування. Такий підхід підвищує ефективність наших методів шифрування.

4.17 Планування безперервності бізнесу

Чи можете ви підтвердити, що надаєте послуги з забезпечення доступності та безперервності?

Ми впровадили комплексне планування безперервності бізнесу (Business Continuity Planning, BCP). Цей стратегічний процес передбачає розпізнавання можливих ризиків, розробку стратегій, які гарантують безперебійне виконання критично важливих бізнес-функцій під час і після деструктивних інцидентів. Наша мета – зменшити вплив таких інцидентів на діяльність компанії. Хоча аварійне відновлення (DR) тісно пов'язане з цим поняттям, BCP охоплює ширший спектр, наголошуючи на безперервній роботі всього бізнесу, а не лише на відновленні ІТ-систем та даних.

5. Як забезпечується безпека додатку PeopleForce?

5.1 Безпечний життєвий цикл розробки програмного забезпечення (SDLC)

Ми впровадили Безпечний життєвий цикл розробки програмного забезпечення (SDLC), який має на меті врахувати аспекти безпеки на кожному етапі процесу розробки програмного забезпечення. Основною метою є систематичне вирішення проблем безпеки від початкових етапів розробки до розгортання та поточного обслуговування. Цей підхід спрямований на виявлення, запобігання та усунення вразливостей і недоліків у програмних додатках. Кінцевою метою є створення програмного забезпечення, яке може протистояти атакам, захищати конфіденційні дані та забезпечувати більш безпечну роботу користувачів.

5.2 Різні середовища

Ми забезпечуємо чітке розмежування між тестувальним та робочим середовищами, які зберігаються окремо від середовища розробки. Наші середовища розробки та тестування не використовують жодних ваших даних.

5.3 Статичний аналіз коду

Ми використовуємо інтегровані інструменти статичного аналізу для перевірки репозиторіїв вихідного коду нашої платформи та мобільних додатків на наявність вразливостей безпеки.

5.4 Зовнішнє тестування на проникнення третіми сторонами

Окрім нашої комплексної внутрішньої ініціативи зі сканування та тестування, PeopleForce співпрацює із зовнішніми фахівцями з безпеки для проведення ретельних тестів на проникнення в програмне забезпечення PeopleForce, включаючи всі додатки, що входять до його складу.

5.5 Які додаткові заходи безпеки впроваджено?

Ось кілька додаткових заходів безпеки, які ми застосовуємо:

  • 2-факторна автентифікація (2FA). PeopleForce рекомендує інтегрувати з корпоративним SSO 2-факторну автентифікацію (2FA).
  • Контроль доступу на основі ролей. Доступ до даних в додатках PeopleForce регулюється за допомогою системи контролю доступу на основі ролей (RBAC).

6. Поінформованість про безпеку

6.1 Політики

У PeopleForce ми створили великий комплект політик безпеки, які охоплюють різні теми. Ці політики поширюються і доступні для всіх співробітників і підрядників, які мають доступ до інформаційних активів PeopleForce.

6.2 Навчання та освіта

Кожен співробітник бере участь у тренінгу з безпеки при прийомі на роботу в компанію, а згодом – щорічно. Наша команда безпеки забезпечує постійне оновлення інформації про безпеку через електронну пошту, публікації в блогах та презентації під час внутрішніх заходів.

6.3 Аудит СУІБ

Аудит внутрішньої системи управління інформаційною безпекою.

Ми проводимо щорічний аудит практик, політик, процедур і засобів контролю інформаційної безпеки організації для забезпечення відповідності встановленим стандартам і нормам. Метою такого аудиту є оцінка ефективності впровадження СУІБ в організації та визначення сфер, які потребують вдосконалення.

6.4 Як ви проводите скринінг співробітників?

Перевірка рекомендацій. PeopleForce проводить перевірку рекомендацій для всіх нових співробітників відповідно до місцевих правил.

Угода про збереження конфіденційності. Кожен новий працівник та підрядник зобов'язаний ознайомитися з нашою Політикою конфіденційності та підписати Угоду про нерозголошення.

7. Відповідність GDPR

GDPR – стандарт для PeopleForce

У PeopleForce ми прагнемо забезпечити конфіденційність і безпеку ваших даних, часто виходячи за рамки галузевих стандартів. Ми збираємо лише найважливішу особисту інформацію, необхідну для того, щоб наш продукт працював найкращим чином. Наша команда завжди ставить конфіденційність на перше місце, і GDPR є ще одним способом зміцнити такі цінності.

7.1 Що таке GDPR?

GDPR розшифровується як Загальний регламент про захист даних, і це міжнародний стандарт конфіденційності та захисту даних, що застосовується на території Європейського Союзу. Він регулює, як компанії обробляють і захищають дані резидентів ЄС, надаючи резидентам ЄС більший контроль над їхньою особистою інформацією.

Важливо зазначити, що дія GDPR не обмежується компаніями з ЄС або резидентами ЄС; він стосується будь-якої компанії з міжнародною присутністю. Ми цінуємо дані наших клієнтів, незалежно від їхнього місцезнаходження, саме тому ми прийняли відповідність GDPR як стандарт для всіх наших глобальних операцій. Стандарт GDPR набув чинності 25 травня 2018 року.

7.2 Що вважається персональними даними?

Персональні дані – це будь-яка інформація, що стосується фізичної особи, яку можна ідентифікувати або яка вже є ідентифікована. Згідно з GDPR, вони охоплюють широкий спектр даних, які самостійно або в поєднанні з іншою інформацією можуть бути використані для ідентифікації особи. Персональні дані не обмежуються лише ім'ям або адресою електронної пошти; вони можуть включати фінансові дані, політичні переконання, генетичну інформацію, біометричні дані, IP-адреси, фізичні адреси, сексуальну орієнтацію та етнічну приналежність тощо.

7.3  Реєстр інвентаризації даних

Ми розробили цей реєстр, щоб надати актуальну та детальну інформацію про дані, класифіковані за модулем, назвою, категорією, рівнем чутливості та терміном зберігання.

7.4 Управління доступом та матриця доступу

Ми розробили та впровадили Політику управління доступом, яка містить вимоги високого рівня, що визначають, як здійснюється управління доступом, хто і за яких обставин може отримати доступ до інформації та активів компанії.

7.5 Ми запровадили регулярний аудит:

  • Щорічний внутрішній аудит відповідності GDPR
  • Щорічний зовнішній аудит відповідності GDPR

Аудит на відповідність GDPR – це процес систематичного аналізу та оцінки практик, політик і процедур компанії для забезпечення їх відповідності вимогам Загального регламенту про захист даних (GDPR). Цей аудит передбачає оцінку того, як компанія збирає, обробляє, зберігає та управляє персональними даними, а також перевірку наявності необхідних гарантій та заходів для захисту прав осіб на конфіденційність даних, як зазначено в GDPR. Мета аудиту – виявити будь-які сфери невідповідності та вжити коригувальних заходів для забезпечення дотримання компанією принципів і зобов'язань GDPR щодо захисту даних і конфіденційності.

7.6 Повідомлення про інциденти

Про інциденти, пов'язані з окремим користувачем або компанією, ми завжди повідомляємо зацікавлену сторону електронною поштою або через Slack.

7.7 Перевірка анкетних даних співробітників

Кожен співробітник проходить процес перевірки біографічних та соціальних даних на етапі онбордингу.  Скрінінг додаткових кандидатів здійснюють фахівці нашого HR-відділу.

7.8 Дистанційна робота

Ми розробили та впровадили Мобільну політику та  Політику паролів для співробітників, які працюють віддалено, забезпечуючи найвищий рівень конфіденційності та безпеки даних.  

Всі співробітники працюють виключно на ноутбуках компанії. Мобільні пристрої, що використовуються в робочих цілях, реєструються в системі управління мобільними пристроями, щоб гарантувати, що вони відповідають нашим стандартам безпеки, всі мобільні пристрої мають 2-факторну автентифікацію та паролі.

7.9 Фізична безпека на робочому місці

Наш офіс обладнаний протипожежною безпекою, сигналізацією та цілодобовим відеоспостереженням.

Доступ до приміщення суворо обмежений і контролюється. Стороннім особам вхід до офісу заборонений. Допускаються лише зареєстровані співробітники компанії.

7.10 Безпека даних

Зберігання та видалення даних. Ми зберігатимемо ваші персональні дані лише стільки, скільки необхідно для виконання цілей, для яких вони були зібрані, і відповідно до чинного законодавства. Конкретний період зберігання ваших персональних даних може відрізнятися в залежності від контексту і типу зібраних даних.
Загалом, ми зберігатимемо ваші персональні дані доти, доки ви маєте активний обліковий запис у нас або доти, доки це необхідно для надання вам запитаних вами послуг. Якщо ви вирішите закрити свій обліковий запис або якщо ваш обліковий запис стане неактивним, ми все одно можемо зберігати ваші персональні дані протягом обмеженого періоду часу, як того вимагає закон або для законних ділових цілей.
Після закінчення терміну зберігання ваші персональні дані будуть надійно видалені. Зверніть увагу, що певні дані можуть зберігатися протягом більш тривалого періоду, якщо це необхідно для дотримання юридичних зобов'язань, вирішення спорів, забезпечення виконання наших угод або для інших законних цілей, включаючи бухгалтерські або податкові зобов'язання.
В іншому випадку ви можете звернутися до PeopleForce за адресою security@peopleforce.io з письмовим запитом на видалення ваших персональних даних, які ми зберігаємо. Ми розглянемо ваш запит і відповімо на нього в розумні терміни і без зайвих затримок.

7.11 Ідентифікація та контроль доступу

Єдиний вхід (SSO). Щоразу, коли ви входите до будь-якої служби, це відбувається виключно через нашу інтегровану систему управління ідентифікацією та доступом (IAM).

7.12 Операційна безпека

Захист від шкідливого програмного забезпечення та спаму

Захист від шкідливого програмного забезпечення та спаму передбачає вжиття заходів для запобігання, виявлення та зменшення ризиків, спричинених шкідливим програмним забезпеченням (шкідливими програмами) та небажаними або шкідливими повідомленнями електронної пошти (спамом). 

Ми використовуємо інструменти, технології та практики безпеки для захисту систем, мереж і користувачів від негативних наслідків зараження шкідливим програмним забезпеченням і спаму, для підтримки цілісності цифрових середовищ і захисту конфіденційних даних.

7.13 Виявлення фішингу та спаму

Виявлення фішингу та спаму охоплює процедуру диференціації та ідентифікації підозрілих або оманливих дій, спрямованих на те, щоб змусити людей розкрити конфіденційні дані або взяти участь у шкідливій поведінці. 

Методи виявлення, які ми застосовуємо, часто включають аналіз контенту, URL-адрес, інформації про відправника та використання різних технологій безпеки, щоб запобігти жертвам таких шахрайських схем.

Часті запитання про безпеку PeopleForce:

Чи дотримується PeopleForce стандартів інформаційної безпеки?

Де зберігаються мої дані?

Чи матимуть працівники PeopleForce доступ до наших даних? Хто матиме доступ до моїх даних?

Чи зашифровані дані, що зберігаються в хмарних продуктах PeopleForce?

Як досягається сегрегація даних клієнтів у хмарних сервісах PeopleForce?

Чи захищений PeopleForce від DDoS-атак?

Чи проводить PeopleForce тестування на проникнення?

Чи існує в PeopleForce програма реагування на інциденти, і яка процедура повідомлення про інцидент?

Що робить PeopleForce, якщо стався інцидент з безпекою?

Чи відповідає PeopleForce вимогам GDPR?

Чи відповідає PeopleForce стандартам ISO?

Як довго зберігаються дані клієнта, якщо він припиняє користуватися послугами PeopleForce?

Чи існує в PeopleForce план безперервності бізнесу та аварійного відновлення?

Яка у вас політика резервного копіювання даних?

Які заходи застосовуються для управління доступом до даних клієнтів?

Чи не могли б ви пояснити ваш процес оцінки ризиків та частоту її проведення?

Поясніть, будь ласка, вашу політику щодо перевірки біографічних даних працівників?

Які сертифікати має PeopleForce, щоб продемонструвати свою відповідність стандартам?

Чи передасте ви мої дані правоохоронним органам, якщо це буде потрібно?