Γνωρίζουμε πόσο ζωτικής σημασίας είναι να διατηρούνται τα ευαίσθητα δεδομένα ανθρώπινου δυναμικού ασφαλή και συμβατά με τον ΓΚΠΔ. Αυτός είναι ο λόγος για τον οποίο η ασφάλεια βρίσκεται στο επίκεντρο όλων όσων κάνουμε. Όχι μόνο στον τρόπο με τον οποίο αναπτύσσουμε, συντηρούμε και παραδίδουμε το λογισμικό μας, αλλά και στον τρόπο με τον οποίο σας υποστηρίζουμε.

Είναι σημαντικό για εμάς η ασφάλεια να επικυρώνεται ανεξάρτητα, ώστε να μπορείτε να είστε βέβαιοι ότι πραγματικά ανταποκρινόμαστε στα υψηλά πρότυπα ασφάλειας που απαιτούν τα ευαίσθητα δεδομένα σας HR. Η Cezanne HR πιστοποιείται ανεξάρτητα σε συνεχή βάση από την BSI σύμφωνα με το πρότυπο ISO 27001:2013 με αριθμό πιστοποιητικού IS 696606, και πραγματοποιούμε τακτικά δοκιμές διείσδυσης από τρίτο εμπειρογνώμονα.

 


Amazon Web Services logoCezanne HR ISO logo number Cyber Essentials Logo

Ασφαλής αρχιτεκτονική

Ως ομάδα, έχουμε μακρά ιστορία στην ανάπτυξη και παράδοση λύσεων λογισμικού HR σε πελάτες κάθε μεγέθους και σχεδόν σε κάθε βιομηχανικό κλάδο – συμπεριλαμβανομένων πολλών από τους πιο απαιτητικούς οργανισμούς παγκοσμίως.

Το Cezanne HR έχει σχεδιαστεί για να επιτρέπει την ισχυρή, γρήγορη και ασφαλή χρήση μέσω του διαδικτύου και να προστατεύει την ασφάλεια και την ακεραιότητα των δεδομένων ανθρώπινου δυναμικού και του συστήματος ανθρώπινου δυναμικού σας. Από την αρχιτεκτονική του συστήματος και την κρυπτογράφηση δεδομένων έως τις προηγμένες επιλογές για δικαιώματα χρηστών, κωδικούς πρόσβασης και διπλή πιστοποίηση, η ασφάλεια είναι ενσωματωμένη στο Cezanne HR σε κάθε επίπεδο.

ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ

CΤο Cezanne HR έχει σχεδιαστεί με βάση μια πολυεπίπεδη αρχιτεκτονική που συνιστάται για εφαρμογές που βασίζονται στον ιστό (web). Η αρχιτεκτονική χωρίζει τη λειτουργικότητα της εφαρμογής σε ανεξάρτητα επίπεδα: το επίπεδο παρουσίασης (ή προγράμματος περιήγησης), την επιχειρησιακή λογική (διακομιστής εφαρμογών) και το επίπεδο δεδομένων (βάση δεδομένων).

Το επίπεδο παρουσίασης δεν επικοινωνεί ποτέ απευθείας με το επίπεδο βάσης δεδομένων. Όλη η επικοινωνία πραγματοποιείται μέσω της επιχειρησιακής λογικής, η οποία παρέχει τους δικούς της ελέγχους ασφαλείας πριν επιτρέψει την πρόσβαση στα δεδομένα. Αυτό εμποδίζει τα αιτήματα από ένα πρόγραμμα περιήγησης ιστού να πηγαίνουν απευθείας στη βάση δεδομένων. Η εφαρμογή επαληθεύει επίσης το ρόλο του χρήστη σε κάθε αίτηση.

ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΔΕΔΟΜΕΝΩΝ

Το σύστημα κρυπτογραφεί τα δεδομένα των πελατών τόσο σε κατάσταση ηρεμίας όσο και κατά τη μετάδοση χρησιμοποιώντας το Transport Layer Security (TLS), το οποίο παρέχει ασφάλεια από άκρο σε άκρο για την επικοινωνία μεταξύ των επιπέδων και σε όλο το διαδίκτυο και AES 256 για την κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας.

ΑΥΘΕΝΤΙΚΟΠΟIΗΣΗ ΧΡΗΣΤΗ

Χρησιμοποιούνται ασφαλείς μηχανισμοί για την επαλήθευση της ταυτότητας των χρηστών που επιχειρούν να αποκτήσουν πρόσβαση στο σύστημα. Για να αποκτήσει πρόσβαση στο σύστημα, ο χρήστης πρέπει είτε να εισάγει ένα όνομα χρήστη (διεύθυνση ηλεκτρονικού ταχυδρομείου) και έναν κωδικό πρόσβασης είτε να πιστοποιηθεί μέσω ενός εγκεκριμένου παρόχου ενιαίας σύνδεσης (SSO). Για πρόσθετη ασφάλεια, οι πελάτες μπορούν επίσης να επιλέξουν τη χρήση διπλού ελέγχου ταυτότητας, γνωστού και ως ελέγχου ταυτότητας πολλαπλών παραγόντων ή 2FA.

Οι κωδικοί πρόσβασης προστατεύονται με τη χρήση εξελιγμένων τεχνικών κατακερματισμού και salting - η Cezanne HR αποθηκεύει πάντα μόνο κατακερματισμούς του κωδικού πρόσβασης και ποτέ τους ίδιους τους κωδικούς πρόσβασης.

Μπορείτε να ορίσετε κανόνες στο σύστημα για την επιβολή μιας ισχυρής πολιτικής κωδικών πρόσβασης, όπως:
- Υποχρεωτική συμπερίληψη τουλάχιστον ενός κεφαλαίου και πεζού γράμματος, ενός αριθμού και ενός συμβόλου.
- Ελάχιστο και μέγιστο μήκος κωδικού πρόσβασης.
- Ημερομηνίες λήξης με υπενθυμίσεις.
- Ιστορικό κωδικών πρόσβασης για να αποτρέπεται η επαναχρησιμοποίηση των κωδικών πρόσβασης από τους χρήστες εντός μιας καθορισμένης από τον πελάτη περιόδου.
- Μέγιστος αριθμός αποτυχημένων προσπαθειών σύνδεσης πριν ο λογαριασμός κλειδωθεί προσωρινά.
- Μπορείτε επίσης να επιλέξετε ποιες, αν υπάρχουν, από τις επιλογές Single Sign-On - π.χ. Google, Microsoft, Twitter, Facebook και OpenID - είναι διαθέσιμες στους χρήστες σας. Όταν είναι ενεργοποιημένη η επιλογή OpenID SSO, μπορούν να χρησιμοποιηθούν μόνο αναγνωριστικά που είναι ασφαλισμένα με SSL.

ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΧΡΗΣΤΩΝ

Η εξουσιοδότηση των χρηστών ελέγχεται μέσω δυναμικής ασφάλειας βάσει ρόλων. Οι εργαζόμενοι κατανέμονται σε ρόλους, όπως διαχειριστής ανθρώπινου δυναμικού, περιορισμένος διαχειριστής ανθρώπινου δυναμικού, προϊστάμενος γραμμής ή εργαζόμενος αυτοεξυπηρέτησης. Στη συνέχεια, το σύστημα κατανέμει δυναμικά δικαιώματα σε μεμονωμένους χρήστες για την προβολή, την αλλαγή ή τη διαγραφή πληροφοριών ή την πρόσβαση σε διαφορετικούς τομείς λειτουργιών, με βάση τις αρμοδιότητές τους στην εταιρεία. Για παράδειγμα, οι προϊστάμενοι γραμμής μπορούν να βλέπουν περισσότερες πληροφορίες σχετικά με τους εργαζόμενους που αναφέρονται σε αυτούς από ό,τι οι εργαζόμενοι που δεν αναφέρονται σε αυτούς.

Είναι σημαντικό ότι το Cezanne HR έχει αναπτυχθεί με ενσωματωμένη λειτουργικότητα επιχειρηματικής ευφυΐας. Αυτό σημαίνει ότι η πρόσβαση σε πίνακες ελέγχου, ερωτήματα και εξαγωγές δεδομένων ελέγχεται από τους ίδιους κανόνες με εκείνους που διέπουν την πρόσβαση σε λειτουργίες ή πληροφορίες στη βάση δεδομένων.

ISO27001:2013

Το σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS) της Cezanne HR για την ανάπτυξη, τη λειτουργία και την παροχή της υπηρεσίας Cezanne HR είναι πιστοποιημένο κατά ISO 27001 από την BSI με αριθμό πιστοποιητικού IS 696606.

Η Cezanne HR είναι επίσης πιστοποιημένη με Cyber Essentials. Το Cyber Essentials είναι ένα κυβερνητικό πρόγραμμα διασφάλισης πληροφοριών του Ηνωμένου Βασιλείου που διαχειρίζεται το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο και ενθαρρύνει τους οργανισμούς να υιοθετήσουν ορθές πρακτικές στην ασφάλεια των πληροφοριών.

Φιλοξενία σε παγκοσμίου κλάσης υποδομές

Η υπηρεσία λογισμικού Cezanne HR φιλοξενείται στα κέντρα δεδομένων AWS της Amazon στην Ευρωπαϊκή Ένωση. Η AWS αναγνωρίζεται ως ο κορυφαίος παγκοσμίως πάροχος υποδομών cloud ως υπηρεσία. Τα κέντρα δεδομένων της είναι αποδεδειγμένα, ασφαλή και αξιόπιστα και οι πιστοποιήσεις τους καλύπτουν ISO27001, SOC 1/SSAE 16 (προηγουμένως SAS70), SOC 2 και άλλα. Η υποδομή AWS διαθέτει επίσης μια σειρά από ενσωματωμένα χαρακτηριστικά ασφαλείας, όπως η προστασία κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) και η brute-force ανίχνευση κωδικού πρόσβασης σε λογαριασμούς AWS.

Επιπλέον, έχουμε επιλέξει να φιλοξενούμε δεδομένα αποκλειστικά σε κέντρα δεδομένων AWS στην Ευρωπαϊκή Ένωση. Η σύμβασή μας με την AWS αναφέρει ότι δεν θα μετακινήσει κανένα περιεχόμενο από την επιλεγμένη περιοχή. Αυτό είναι ιδιαίτερα σημαντικό για τη συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων τόσο του Ηνωμένου Βασιλείου όσο και της ΕΕ.

Για περισσότερες πληροφορίες σχετικά με τη συμμόρφωση της AWS με τον ΓΚΠΔ της ΕΕ και του Ηνωμένου Βασιλείου, επισκεφθείτε την ιστοσελίδα:
https://aws.amazon.com/compliance/eu-data-protection/
https://aws.amazon.com/compliance/gdpr-center/brexit/

ΕΣΩΤΕΡΙΚΗ ΑΣΦΑΛΕΙΑ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ

Στο εσωτερικό του περιβάλλοντος AWS, τα συστήματα προστατεύονται περαιτέρω από τείχη προστασίας μεταξύ των επιπέδων, περιορισμούς IP και θυρών, ιδιωτικά υποδίκτυα και περιορισμούς δρομολόγησης δικτύου.

ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ

Τα λειτουργικά συστήματα ενισχύονται με την απενεργοποίηση ή την αφαίρεση οποιωνδήποτε μη απαραίτητων εργαλείων, βοηθητικών προγραμμάτων και άλλων επιλογών διαχείρισης συστήματος που ενδέχεται να παρέχουν πιθανή είσοδο από κερκόπορτα στο σύστημα, καθώς και με την απενεργοποίηση ή την αφαίρεση οποιωνδήποτε περιττών χρηστών, πρωτοκόλλων και διεργασιών. Οι διαδικασίες εγκατάστασης και διαμόρφωσης βασίζονται σε αναγνωρισμένα πρότυπα και εργαλεία της βιομηχανίας.

ΑΣΦΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΚΟΜΙΣΤΩΝ

Η Cezanne HR δεν έχει φυσική πρόσβαση στο κέντρο δεδομένων ή στα φυσικά μηχανήματα, καθώς αυτό απαγορεύεται από την Amazon. Η Cezanne HR μπορεί να έχει πρόσβαση σε εικονικές μηχανές με σκοπό τη συντήρηση, την εφαρμογή ενημερώσεων ασφαλείας, την παρακολούθηση και τη διασφάλιση της επιτυχούς εκτέλεσης αντιγράφων ασφαλείας. Αυτό περιορίζεται στην ομάδα διαχειριζόμενων υπηρεσιών της Cezanne HR.

ΑΣΦΑΛΕΙΑ

Κατά την αγορά μιας λύσης λογισμικού ως υπηρεσίας (SaaS), είναι κρίσιμο η υπηρεσία να είναι ανθεκτική και αξιόπιστη. Για να διασφαλιστεί η υψηλή διαθεσιμότητα, η υπηρεσία λογισμικού της Cezanne HR περιλαμβάνει:
- Εγκατάσταση σε πολλαπλά κέντρα δεδομένων της ΕΕ - το λογισμικό σας Cezanne HR θα συνεχίσει να λειτουργεί σε περίπτωση βλάβης ενός μηχανήματος ή ενός κέντρου δεδομένων.
- 24ωρη παρακολούθηση - η διαθεσιμότητα του συστήματος παρακολουθείται συνεχώς και αποστέλλεται ειδοποίηση στην ομάδα υποστήριξης σε περίπτωση που παρουσιαστεί κάποιο πρόβλημα.
- Εξωτερική παρακολούθηση από τοποθεσίες σε όλο τον κόσμο για την ειδοποίηση του Cezanne HR σε περίπτωση απροσδόκητης καθυστέρησης ή προβλημάτων DNS.
- Παρακολούθηση των πόρων, συμπεριλαμβανομένης της χρήσης της CPU, του δίσκου και της μνήμης, ώστε να μπορούμε να κλιμακωθούμε ανάλογα με τις ανάγκες.

Κανονισμοί προστασίας δεδομένων / συμμόρφωση με τον ΓΚΠΔ

Αυτή η ενότητα περιγράφει λεπτομερώς τον τρόπο με τον οποίο η Cezanne HR ως εκτελών την επεξεργασία των δεδομένων συμμορφώνεται με τις ειδικές απαιτήσεις των καθεστώτων ΓΚΠΔ της ΕΕ και του Ηνωμένου Βασιλείου.

Πώς η Cezanne HR συμμορφώνεται με τον ΓΚΠΔ

Συμμορφωνόμαστε με τις διατάξεις των άρθρων 28 παράγραφος 1, 32 παράγραφος 1 και 32 παράγραφος 2, υπό την έννοια ότι έχουμε εφαρμόσει "κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του κανονισμού". Τα μέτρα που εφαρμόζονται περιλαμβάνουν, χωρίς να περιορίζονται απαραίτητα, τα ακόλουθα:
- όλα τα δεδομένα κρυπτογραφούνται τόσο σε κατάσταση ηρεμίας όσο και κατά τη διαβίβαση,
- όλες οι προσβάσεις στο σύστημα παρακολουθούνται και καταγράφονται (τόσο οι επιτυχείς συνδέσεις όσο και οι απόπειρες σύνδεσης),
- όλες οι τροποποιήσεις των προσωπικών δεδομένων χρονοσημαίνονται και παρακολουθούνται σε αρχείο καταγραφής,
- τα προσωπικά δεδομένα που ανήκουν στον υπεύθυνο επεξεργασίας αποθηκεύονται μόνο σε θέσεις cloud εντός της υπηρεσίας AWS που προσφέρουν υψηλή φυσική και λογική προστασία πρόσβασης, συμπεριλαμβανομένης της ασφάλειας στον κυβερνοχώρο έναντι ιών, κακόβουλου λογισμικού και επιθέσεων άρνησης παροχής υπηρεσιών,
- η διαρκής εμπιστευτικότητα των δεδομένων διασφαλίζεται με σύγχρονες μεθόδους ελέγχου ταυτότητας, τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να ρυθμίσει ανάλογα με τις ανάγκες του (όσον αφορά το μήκος, τη σύνθεση και τη διάρκεια του κωδικού πρόσβασης),
- η συνεχής διαθεσιμότητα των δεδομένων διασφαλίζεται με συνεχή παρακολούθηση του συστήματος σε πολλαπλές τοποθεσίες παγκοσμίως και διαδικασίες ταχείας απόκρισης σε περίπτωση καταπόνησης του συστήματος ή άλλων προβλημάτων απόδοσης,
- η ανθεκτικότητα των συστημάτων επεξεργασίας εξασφαλίζεται με τη χρήση πολλαπλών κέντρων δεδομένων και αντιγράφων καθρεφτών των βάσεων δεδομένων,
- η ικανότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε περίπτωση φυσικού ή τεχνικού συμβάντος διασφαλίζεται με κατάλληλη διαδικασία δημιουργίας αντιγράφων ασφαλείας/ανάκτησης, η οποία δοκιμάζεται περιοδικά,
- η προστασία από μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ελέγχεται συνεχώς μέσω δοκιμών διείσδυσης που διενεργούνται από αξιόπιστο οργανισμό κυβερνοασφάλειας,
- όλα τα μέτρα ασφαλείας επανεξετάζονται τακτικά, επίσης υπό το πρίσμα της εξέλιξης της τεχνολογίας και του κλάδου της κυβερνοασφάλειας.

Συμμορφωνόμαστε με τις διατάξεις των άρθρων 28(2) και 28(3) επειδή έχουμε αναθεωρήσει τους Όρους και Προϋποθέσεις μας ώστε να περιλαμβάνουν όλες τις διατάξεις που απαιτεί ο νόμος.

Είμαστε συμβατοί όσον αφορά τη φυσική τοποθεσία των δεδομένων, καθώς η συμφωνία που ισχύει με τον πάροχο φιλοξενίας μας, την AWS, εγγυάται ότι τα δεδομένα δεν θα εγκαταλείψουν ποτέ την περιοχή της AWS στην Ιρλανδία, και η πιθανή πρόσβαση στα δεδομένα από το προσωπικό υποστήριξης της Cezanne HR περιορίζεται, σε κάθε περίπτωση, στην πρόσβαση από το Ηνωμένο Βασίλειο ή από άλλες χώρες του ΕΟΧ.

Έχουμε συμφωνίες επεξεργασίας δεδομένων με όλους τους υπεργολάβους επεξεργασίας που συνάδουν πλήρως με όλες τις δεσμεύσεις που έχουμε αναλάβει έναντι των πελατών, συμπεριλαμβανομένης της διαβεβαίωσης ότι κανένα προσωπικό δεδομένο δεν διαβιβάζεται ή δεν επεξεργάζεται ποτέ εκτός του ΕΟΧ.

Συμμορφωνόμαστε επίσης με άλλες πτυχές του ΓΚΠΔ, όπως:

- Διαθέτουμε διαδικασίες για τη διαχείριση πιθανών παραβιάσεων δεδομένων,
- Δεσμευόμαστε να βοηθάμε τους πελάτες μας σε περίπτωση αιτήματος του υποκειμένου των δεδομένων,
- Είμαστε ανοιχτοί σε ελέγχους και επιθεωρήσεις, εάν μας ζητηθεί,
- Όλο το προσωπικό μας που ενδέχεται να έχει πρόσβαση στα προσωπικά δεδομένα των πελατών μας είναι πλήρως εκπαιδευμένο σε θέματα ασφάλειας και προστασίας δεδομένων και δεσμεύεται από συμφωνίες εμπιστευτικότητας,
- Διαθέτουμε διαδικασίες για την επιστροφή ή/και τη διαγραφή όλων των προσωπικών δεδομένων των πελατών που έχουν διακόψει τη συνδρομή τους στο σύστημα.

Αν και ο νόμος δεν το απαιτεί αυστηρά στην περίπτωσή μας, διατηρούμε τα επίσημα αρχεία σύμφωνα με το άρθρο 30 παράγραφος 2 του ΓΚΠΔ.

Έχουμε ορίσει υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 37 παράγραφος 1 του ΓΚΠΔ. Ο διορισμός έχει καταχωρηθεί στην ICO.

Παρόλο που δεν αποτελεί απαίτηση του ΓΚΠΔ, αλλά απλώς διευκολύνει την απόδειξη της συμμόρφωσης, το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) μας έχει εγκριθεί για πιστοποίηση σύμφωνα με τα πρότυπα ISO27001:2013 από τον κορυφαίο φορέα διαπίστευσης του Ηνωμένου Βασιλείου, τον BSI.
Σύμφωνα με τους όρους και τις προϋποθέσεις της συμφωνίας συνδρομής της Cezanne HR, η Cezanne HR μπορεί να τροποποιήσει την υποδομή ασφαλείας της. Οι ενότητες που διατίθενται στην αγορά από την Cezanne HR ενδέχεται να έχουν διαφορετική αρχιτεκτονική φιλοξενίας και ασφάλειας. Παρακαλούμε επικοινωνήστε μαζί μας εάν θέλετε ένα αντίγραφο αυτής της συμφωνίας ή έχετε ερωτήσεις.

Σύμφωνα με τους όρους και τις προϋποθέσεις της συμφωνίας συνδρομής της Cezanne HR, η Cezanne HR μπορεί να τροποποιήσει την υποδομή ασφαλείας της. Οι ενότητες που διατίθενται στην αγορά από την Cezanne HR ενδέχεται να έχουν διαφορετική αρχιτεκτονική φιλοξενίας και ασφάλειας. Παρακαλούμε επικοινωνήστε μαζί μας εάν θέλετε ένα αντίγραφο αυτής της συμφωνίας ή έχετε ερωτήσεις.

Ας μεταμορφώσουμε το HR μαζί

Το Cezanne HR το εμπιστεύονται χιλιάδες επαγγελματίες του τομέα Ανθρώπινου Δυναμικού για να τους βοηθήσει να διαχειριστούν, να υποστηρίξουν, να δεσμεύσουν και να συνδέσουν καλύτερα τους ανθρώπους τους. Επικοινωνήστε μαζί μας σήμερα για να μάθετε περισσότερα.

ΚΛΕΙΣΤΕ ΜΙΑ ONLINE ΕΠΙΔΕΙΞΗΚΑΝΤΕ ΜΙΑ ΕΡΩΤΗΣΗ