Seguro Desde El Principio

Basado en las mejores prácticas

Como equipo, tenemos una larga trayectoria en el desarrollo y la entrega de soluciones de software de Recursos Humanos para clientes de todos los tamaños y en prácticamente todos los sectores industriales, incluidas muchas de las organizaciones más exigentes del mundo. Sabemos lo que se necesita para ofrecer sistemas de Recursos Humanos robustos, seguros e internacionales a través de Internet.

No sólo diseñamos nuestro servicio completo de Recursos Humanos orientado a la seguridad y al cumplimiento de los requisitos de datos de la UE -y ahora de GDPR-, sino que también realizamos pruebas de intrusión periódicas por parte de un organismo experto, para garantizar que nuestra seguridad está validada de forma independiente y que nuestro sistema cumple realmente con el alto nivel de seguridad que exigen tus datos de Recursos Humanos.

Illustration of a chain wrapped around a building

Seguridad a todos los niveles

Diseñado para mantener seguros tus datos de recursos humanos

Cezanne HR está diseñado para permitir un uso robusto, rápido y seguro a través de Internet y para proteger la seguridad e integridad de todos tus datos de Recursos Humanos, así como de todo el Sistema. Desde la arquitectura del sistema y el cifrado de los datos hasta las opciones avanzadas para permisos de usuario, contraseñas y autenticación dual, la seguridad es la base de lo que diseñamos y entregamos.

GDPR: Normativa General de Protección de Datos

GDPR introduce una importante revisión del reglamento europeo de protección de datos. Si bien los principios clave del GDPR son los mismos que han estado en vigor desde la introducción de la legislación basada en la Directiva Europea de 1995, ahora se hace mucho más hincapié en la transparencia y la rendición de cuentas.

Esta sección detalla cómo Cezanne HR como procesador de datos cumple con los requisitos específicos de GDPR.

Cumplimos lo dispuesto en el apartado 1 del artículo 28, en el apartado 1 del artículo 32 y en el apartado 2 del artículo 32, en el sentido de que hemos aplicado "las medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos del Reglamento". Las medidas implementadas incluyen, entre otras, las siguientes:

  • todos los datos están encriptados tanto en reposo como en transmisión;
  • todos los accesos al sistema son monitoreados y registrados (tanto los inicios de sesión exitosos como los intentos de inicio de sesión);
  • todas las modificaciones de los datos personales se registran y se almacenan en un registro;
  • los datos personales del controlador sólo se almacenan en ubicaciones en la nube dentro del servicio AWS que ofrece una alta protección de acceso físico y lógico, incluida la seguridad cibernética contra virus, malware y ataques de denegación de servicio;
  • la confidencialidad permanente de los datos está garantizada por los métodos de autenticación más avanzados, que el controlador puede ajustar según sea necesario (en términos de longitud, composición y duración de la contraseña);
  • la disponibilidad continua de los datos está garantizada por la supervisión constante del sistema en múltiples ubicaciones en todo el mundo y por los procesos de respuesta rápida en caso de estrés del sistema u otros problemas de rendimiento;
  • la resistencia de los sistemas de procesamiento está asegurada por el uso de múltiples centros de datos y de copias espejo de las bases de datos;
  • la capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de un incidente físico o técnico se garantiza mediante un procedimiento adecuado de copia de seguridad/recuperación, que se comprueba periódicamente;
  • la protección contra el acceso no autorizado a los datos personales se comprueba constantemente mediante pruebas de penetración realizadas por una organización de ciberseguridad acreditada;
  • todas las medidas de seguridad se revisan periódicamente, también a la luz de la evolución de la tecnología y de la industria de la ciberseguridad.

Cumplimos con las disposiciones de los artículos 28(2) y 28(3), porque hemos revisado nuestros Términos y Condiciones para incluir todas las disposiciones que la ley requiere.

En lo que se refiere a la localización física de los datos, el acuerdo con nuestro proveedor de hosting, AWS, garantiza que los datos nunca saldrán de la región de AWS en Irlanda, y el acceso potencial a los datos por parte del personal de soporte de Cezanne HR está limitado en cualquier caso al acceso desde el Reino Unido o desde otros países miembros de la UE.

Tenemos acuerdos de procesamiento de datos con todos los sub-procesadores que son totalmente coherentes con todos los compromisos que tenemos con los clientes, incluyendo la garantía de que ningún dato personal pueda ser transferido o procesado fuera del espacio de la UE.

También cumplimos con otros aspectos del GDPR, como por ejemplo:

  • Contamos con procedimientos para gestionar las posibles filtraciones de datos
  • Nos comprometemos a ayudar a nuestros clientes en caso de solicitud de los interesados
  • Estamos abiertos a auditorías e inspecciones si así se solicita.
  • Todo nuestro personal que pueda tener acceso a los datos personales de nuestros clientes está plenamente capacitado en materia de seguridad y protección de datos y está sujeto a acuerdos de confidencialidad.
  • Contamos con procedimientos para devolver y/o borrar todos los datos personales de los clientes que han cancelado su suscripción al sistema.

Aunque la ley no lo exige estrictamente en nuestro caso, mantenemos los registros formales de acuerdo con el art. 30(2) de GDPR.

Hemos nombrado un responsable de la protección de datos de acuerdo con el artículo. 37(1) de GDPR. El nombramiento ha sido registrado en la OIC.

Aunque no es un requisito de GDPR, sino sólo un facilitador para probar el cumplimiento, estamos comprometidos a lograr la certificación ISO27001. El plan se certificará a finales de 2018.

Arquitectura de la aplicación

Cezanne HR está diseñado en torno a una arquitectura multinivel que se recomienda para aplicaciones basadas en web. La arquitectura divide la funcionalidad de la aplicación en capas independientes: la capa de presentación (o navegador de cliente), la lógica de negocio (servidor de aplicaciones) y la capa de datos (base de datos).

La capa de presentación nunca se comunica directamente con la capa de base de datos. Toda la comunicación se realiza a través de la lógica de negocio, que proporciona sus propias comprobaciones de seguridad antes de permitir el acceso a los datos. Esto evita que las peticiones de un navegador web vayan directamente a la base de datos. La aplicación también verifica el rol de usuario en cada solicitud.

Cifrado de datos

El servicio utiliza un fuerte cifrado para proteger los datos de los clientes (que se almacenan en un sistema de archivos cifrados) y las comunicaciones, incluida la certificación SSL de Network Solutions. SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para crear un enlace cifrado entre un servidor web y un navegador. Sabrás que has creado un enlace SSL cuando la URL esté en verde, comienza con "https://" y hay un símbolo de candado al principio o al final de la URL.

Autenticación de usuarios

Se utilizan mecanismos seguros para verificar la identidad de los usuarios que intentan acceder al sistema. Para acceder al sistema, el usuario debe introducir un nombre de usuario (dirección de correo electrónico) y una contraseña o autenticarse a través de un proveedor de Single Sign-On (SSO) aprobado.

Las contraseñas están protegidas mediante sofisticadas técnicas de hashing and salting; Cezanne HR sólo almacena hashing de contraseñas, nunca las contraseñas en sí mismas.

Puedes establecer reglas en el sistema para hacer cumplir una política de contraseñas segura, incluyendo:

  • Inclusión obligatoria de al menos una letra mayúscula y minúscula, un número y un símbolo.
  • Longitud mínima y máxima de la contraseña.
  • Fechas de caducidad con recordatorios.
  • Historial de contraseñas para evitar que los usuarios vuelvan a utilizar sus contraseñas dentro de un período definido por el cliente.
  • Número máximo de intentos de inicio de sesión fallidos antes de que la cuenta se bloquee temporalmente.
  • También puedes elegir cuáles de las opciones de SSO (por ejemplo, Google, Microsoft, Twitter, Facebook y OpenID) están disponibles para los usuarios. Sólo los identificadores que están protegidos con SSL pueden utilizarse cuando la opción OpenID SSO esté activada.

Autorización de usuario

La autorización de usuarios se controla a través de la seguridad dinámica basada en roles. Los empleados se asignan a funciones como, por ejemplo, administrador de personal, administrador de personal restringido, responsable técnico o empleado de autoservicio. A continuación, el sistema asigna dinámicamente permisos a los usuarios individuales para ver, modificar o eliminar información, o acceder a diferentes áreas de funcionalidad, en función de sus responsabilidades en la empresa. Por ejemplo, los superiores técnicos pueden ver más información sobre los empleados que dependen de ellos que sobre otros empleados.

Es importante destacar que Cezanne HR ha sido desarrollado con una funcionalidad de inteligencia de negocio integrada. Esto significa que el acceso a los cuadros de mando, las consultas y las exportaciones de datos se controlan mediante las mismas reglas que rigen el acceso a las funciones o la información de la base de datos.

Hosting de primera línea

Tu software de RRHH en la plataforma líder mundial

Tu servicio de software de Recursos Humanos de Cezanne HR está alojado en los centros de datos europeos de AWS de Amazon. AWS es reconocido como el líder mundial en Infraestructura en la Nube como proveedor de servicios. Sus centros de datos son probados, seguros y fiables y sus certificaciones abarcan ISO27001, SOC 1/SSAE 16 (antes SAS70), SOC 2 y más. La infraestructura de AWS también tiene una serie de características de seguridad incorporadas, como la protección de denegación de servicio distribuida (DDoS) y la detección de contraseña de fuerza bruta en las cuentas de AWS.

Además, nuestro contrato con AWS establece que no moverán ningún contenido de la región europea sin notificárnoslo previamente. Si esto ocurre, por supuesto, te lo notificaremos y tomaremos las medidas necesarias para garantizar que tu contenido permanezca dentro de la UE. Esto es especialmente importante a la luz de los recientes cambios en la legislación sobre protección de datos.

Para más información sobre la protección de datos de AWS EU y el cumplimiento de GDPR, por favor visita https://aws.amazon.com/compliance/eu-data-protection/

Seguridad del Sistema Interno

Dentro del entorno AWS, los sistemas están protegidos por cortafuegos entre capas, restricciones de IP y puertos, subredes privadas y restricciones de enrutamiento de la red.

Seguridad del sistema operativo

Las instancias del sistema operativo se endurecen al deshabilitar o eliminar cualquier herramienta no esencial, utilidades y otras opciones de administración del sistema que puedan proporcionar una posible entrada por la puerta trasera al sistema, y al deshabilitar o eliminar cualquier usuario, protocolo y proceso innecesario. Nuestros procedimientos de instalación y configuración se basan en normas y herramientas reconocidas en la industria.

Seguridad de la gestión del servidor

Cezanne HR no tiene acceso físico al centro de datos ni a las máquinas físicas, ya que esto está prohibido por Amazon. Cezanne HR puede acceder a las instancias de la máquina virtual con fines de mantenimiento, aplicación de actualizaciones de seguridad, monitorización y garantía de que las copias de seguridad se están ejecutando con éxito. Esto se limita al equipo de Servicios Gestionados de Cezanne HR.

Resistencia

Al comprar una solución de Software as a Service (SaaS), es fundamental que el servicio sea resistente y fiable. Para garantizar una alta disponibilidad, el servicio de Cezanne HR incluye:

  • Instalación en múltiples centros de datos de la UE - tu software Cezanne HR continuará funcionando si una máquina o un centro de datos falla.
  • Monitoreo las 24 horas - la disponibilidad del sistema es monitoreada continuamente y se envía una alerta al equipo de soporte en caso de que ocurra un problema.
  • Monitorización externa desde cualquier lugar del mundo para alertar a Cezanne HR de problemas inesperados de latencia o DNS.
  • Monitoreo de los recursos, incluyendo el uso de CPU, disco y memoria para que podamos escalar cuando y como sea necesario.

Nota: La información de esta página se refiere a los módulos desarrollados por Cezanne HR. No cubre módulos de terceros comercializados por Cezanne HR que puedan tener una arquitectura de alojamiento y seguridad diferente.

El uso del servicio de software de Cezanne HR está sujeto a los términos y condiciones del contrato de suscripción a Cezanne HR. Cezanne HR se reserva el derecho de modificar su infraestructura de seguridad de acuerdo con este acuerdo. Ponte en contacto con nosotros si deseas una copia de este acuerdo.

Haremos un uso responsable de sus datos personales – por favor, lea atentamente nuestra Declaración de privacidad.