Seguro por Diseño

¿Por qué es importante diseñar un software seguro?

Al seleccionar cualquier sistema de recursos humanos “on line”, es importante tener en cuenta tanto el entorno de alojamiento (Hosting) como el diseño de la aplicación de software. Un proveedor de software puede elegir alojar su sistema en una instalación de alojamiento de clase mundial y beneficiarse de avanzadas infraestructuras de seguridad y certificaciones que el proveedor de hosting ofrece. Sin embargo, si su propia aplicación de software no ha sido diseñada en torno a la seguridad, su sistema seguirá siendo vulnerable, y eso significa que sus datos también lo serán.

Como equipo, tenemos una larga historia de desarrollo y entrega de soluciones de software de RR.HH. para clientes de todos los tamaños y en prácticamente todos los sectores de la industria – incluyendo muchas de las organizaciones más exigentes del mundo. Sabemos lo que se necesita para ofrecer sistemas de RH sólidos, seguros e internacionales a través de Internet. No sólo diseñamos para seguridad, sino que también tenemos regularmente pruebas de penetración realizadas por un tercero experto, para que pueda estar seguro de que nuestra seguridad es validada de forma independiente y nuestro sistema realmente cumple con el alto nivel de seguridad que sus datos de recursos humanos requieren.

Seguridad en todos los niveles

Arquitectura de Aplicaciones

Cezanne HR está diseñado en torno a una arquitectura de múltiples niveles que se recomienda para aplicaciones basadas en web. La arquitectura divide la funcionalidad de la aplicación en capas independientes: la capa de presentación (o el cliente del navegador), capa de negocio (servidor de aplicaciones) y la capa de datos (base de datos).

Seguro por diseño

La capa de presentación nunca se comunica directamente con la capa de base de datos. Toda la comunicación se realiza a través de la lógica de negocio, que proporciona sus propios controles de seguridad antes de permitir el acceso a los datos. Esto evita que las solicitudes de un navegador web ataquen directamente a la base de datos. La aplicación también verifica la función del usuario en cada solicitud.

Cifrado de datos

El servicio utiliza un fuerte encriptado para proteger los datos de los clientes (que se almacenan en un sistema de archivos cifrado) y las comunicaciones, incluida la Certificación SSL de Network Solutions. SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para crear un enlace cifrado entre un servidor web y un navegador. Usted sabrá que ha creado un enlace SSL cuando la URL está en verde, comienza con “https: //” y hay un símbolo de candado al principio o al final de la URL.

Autenticación de usuario

Se utilizan mecanismos seguros para verificar la identidad de los usuarios que intentan acceder al sistema. Para acceder al sistema, el usuario debe utilizar un nombre de usuario (dirección de correo electrónico) y contraseña o autentificarse a través de un proveedor de inicio de sesión único (SSO) aprobado.

Las contraseñas están protegidas usando sofisticadas técnicas de hashing y salting; Cezanne HR sólo almacena hashes de contraseña, nunca las contraseñas en sí.

Puede establecer reglas en el sistema para establecer una contraseña segura, incluyendo:

  • Inclusión obligatoria de al menos una letra mayúscula y minúscula, un número y un símbolo.
  • Longitud mínima y máxima de la contraseña.
  • Fechas de vencimiento con recordatorios.
  • Historial de contraseñas para evitar que los usuarios vuelvan a usar sus contraseñas dentro de un período definido por el cliente.
  • Número máximo de intentos de inicio de sesión fallidos antes de que la cuenta se bloquee temporalmente.

También puede elegir qué opciones de SSO, si las hay, p. Ej. Google, Microsoft, Twitter, Facebook y OpenID – están disponibles para sus usuarios. Sólo los identificadores que están protegidos con SSL se pueden utilizar cuando está habilitada la opción SSO de OpenID.

Autorización del usuario

La autorización del usuario se controla mediante la seguridad basada en roles dinámicos. Los empleados se asignan a roles, como administrador de recursos humanos, administrador de recursos humanos restringido, manager o empleado de autoservicio. A continuación, el sistema asigna de forma dinámica permisos a usuarios individuales para ver, cambiar o eliminar información, o acceder a diferentes áreas de funcionalidad, en función de sus responsabilidades en la empresa. Por ejemplo, los managers pueden ver más información sobre los empleados que les reportan a ellos que de los empleados que no lo hacen.

Es importante destacar que Cezanne HR ha sido desarrollado con funcionalidad de inteligencia de negocios incorporada. Esto significa que el acceso a cuadros de mando, consultas y exportaciones de datos se controlan mediante las mismas reglas que las que rigen el acceso a las funciones o información de la base de datos.

Alojamiento de vanguardia

Hemos elegido alojar su servicio de software de Cezanne HR en los centros de datos europeos de AWS de Amazon. AWS es reconocida como una de las principales proveedoras de Infraestructura Cloud en el mundo. Sus centros de datos son probados, seguros y confiables y sus certificaciones cubren ISO 27001, SOC 1 / SSAE 16 (anteriormente SAS70), SOC 2 y más. La infraestructura de AWS también tiene una serie de funciones de seguridad integradas, como la protección de denegación de servicio (DDoS) y la detección de contraseña en las cuentas de AWS.

Además, nuestro contrato con AWS indica que no trasladarán ningún contenido de la región europea sin notificárnoslo primero. Si esto sucede, por supuesto, le indicaremos las medidas que tomaremos para garantizar que su contenido permanezca dentro de la UE. Esto es especialmente importante a la luz de la sentencia del 6 de octubre de 2015, cuando el Tribunal de Justicia de las Comunidades Europeas determinó que el marco de la US-EU Safe Harbor de 15 años ya no es válido para la transferencia de datos personales del Espacio Económico Europeo (EEE) a los Estados Unidos.

Para obtener más información sobre el cumplimiento de la protección de datos de AWS EU, visite. https://aws.amazon.com/compliance/eu-data-protection/

Seguridad del sistema interno

Dentro del entorno de AWS, los sistemas están protegidos por firewalls entre capas, restricciones de IP y puertos, subredes privadas y restricciones de enrutamiento de red.

Seguridad del sistema operativo

Las instancias del sistema operativo se endurecen al inhabilitar o quitar las herramientas no esenciales, las utilidades y otras opciones de administración del sistema que podrían proporcionar entrada potencial al sistema y deshabilitar o eliminar usuarios, protocolos y procesos innecesarios. Nuestros procedimientos de instalación y configuración se basan en normas y herramientas reconocidas por la industria.

Seguridad del servidor

Cezanne HR no tiene acceso físico al centro de datos ni a las máquinas físicas, ya que esto está prohibido por Amazon. Cezanne HR puede acceder a las instancias de la máquina virtual con fines de mantenimiento, aplicación de actualizaciones de seguridad, supervisión y garantía de que las copias de seguridad se ejecutan correctamente. Estas tareas se limitan al equipo de Gestión de Servicios de Cezanne HR.

IResilience

Al utilizar una solución de Software como Servicio (SaaS), es fundamental que sea resistente y confiable. Para garantizar la alta disponibilidad, el servicio de software Cezanne HR incluye:

  • Instalación en múltiples centros de datos de la UE – su software Cezanne HR continuará funcionando si falla una máquina o centro de datos.
  • Monitoreo las 24 horas: la disponibilidad del sistema se monitorea continuamente y se envía una alerta al equipo de soporte si se produce un problema.
  • Monitoreo externo desde ubicaciones alrededor del mundo para alertar a Cezanne HR de situaciones inesperadas o problemas de DNS.
  • Supervisión de recursos incluyendo CPU, disco y uso de memoria para que podamos escalar, cómo y cuándo sea necesario.

Cezanne HR y GDPR

Si bien el GDPR introduce una revisión general de la normativa europea de protección de datos, los principios clave del GDPR son los mismos que se han venido aplicando desde la introducción de la legislación basada en la Directiva Europea de 1995.

Los principios básicos que establecen el tratamiento de datos personales y que requieren la aplicación de medidas técnicas y organizativas adecuadas no son modificados sustancialmente por el GDPR.

Tras revisar las medidas técnicas y organizativas de protección de datos, implementadas por Cezanne HR para proteger la información personal procesada por y para nuestros clientes dentro del sistema de Cezanne HR, podemos afirmar con confianza que la esencia de dichas medidas ya está en línea con los requisitos de seguridad GDPR como se indica en los artículos 25 y 32.

No obstante, el GDPR introduce una serie de requisitos de cumplimiento más formales, encaminados a garantizar que la esencia de la protección de datos no se diluya mediante prácticas que no estén suficientemente formalizadas. Desde este punto de vista, Cezanne HR está trabajando en el cumplimiento de varias maneras:

  • Para cumplir con lo establecido en el artículo 28.3, estamos trabajando en un Acuerdo de Procesamiento de Datos (DPA) que será firmado entre Cezanne HR y cada uno de nuestros clientes y que define en detalle “la naturaleza y finalidad del tratamiento, datos y categorías de personas interesadas y las obligaciones y derechos del responsable del tratamiento “.
  • Para cumplir con lo dispuesto en el artículo 28.4, estamos revisando los acuerdos que tenemos con los proveedores que podrían considerarse subcontratistas en el procesamiento de datos personales en nombre de nuestros clientes, asegurándonos que los acuerdos adecuados están en vigor.
  • Para cumplir con lo dispuesto en el artículo 37, estamos considerando la designación de un oficial de protección de datos dentro de nuestra organización.
  • Para garantizar que la seguridad del procesamiento como se describe en el artículo 32, se basa en políticas, procesos y procedimientos debidamente documentados dentro de Cezanne HR, estamos revisando toda nuestra documentación de procesos internos.

Ninguno de estos pasos mejorará sustancialmente el nivel de seguridad existente ya que siempre ha sido una característica de diseño clave de la arquitectura de Cezanne HR, sin embargo, un nivel más alto de formalización aumentará el nivel de confianza de todos los involucrados. Los clientes pueden estar seguros de que seremos compatibles con GDPR antes de que entre en vigor en mayo de 2018 y que constantemente supervisaremos y revisaremos todos los aspectos de la seguridad de los datos para hacerlo más fuerte.

Otros artículos útiles

Datos de recursos humanos y GDPR: consentimiento informado (y por qué no confiar en él): publicado en HRZone junio de 2017

¿Por qué necesita saber quién aloja su software de recursos humanos?: lo que necesita saber sobre las instalaciones de alojamiento y la legislación europea sobre protección de datos

Por qué es importante la seguridad basada en roles: mantener la seguridad de los recursos humanos asegurando que todos tengan la información que necesitan

Nota: La información en esta página está relacionada con los módulos desarrollados por Cezanne HR. No cubre módulos de terceros comercializados por Cezanne HR que puedan tener una arquitectura de alojamiento y seguridad diferente.

El uso del servicio de software de Cezanne HR está sujeto a los términos y condiciones del acuerdo de suscripción de Cezanne HR. Cezanne HR se reserva el derecho de modificar su infraestructura de seguridad de conforme a este acuerdo. Póngase en contacto con nosotros si desea una copia de este acuerdo.

Reservar una Demo

Si desea ver una demo de la solución de RRHH SaaS, por favor, rellene este formulario.

Haremos un uso responsable de sus datos personales – por favor, lea atentamente nuestra Declaración de privacidad.