ΣΧΕΔΙΑΣΜΕΝΟ ΓΙΑ ΝΑ ΕΙΝΑΙ ΑΣΦΑΛΕΣ

CΤο Cezanne HR έχει σχεδιαστεί με βάση μια πολυεπίπεδη αρχιτεκτονική που συνιστάται για εφαρμογές που βασίζονται στον ιστό (web). Η αρχιτεκτονική χωρίζει τη λειτουργικότητα της εφαρμογής σε ανεξάρτητα επίπεδα: το επίπεδο παρουσίασης (ή προγράμματος περιήγησης), την επιχειρησιακή λογική (διακομιστής εφαρμογών) και το επίπεδο δεδομένων (βάση δεδομένων).

Το επίπεδο παρουσίασης δεν επικοινωνεί ποτέ απευθείας με το επίπεδο βάσης δεδομένων. Όλη η επικοινωνία πραγματοποιείται μέσω της επιχειρησιακής λογικής, η οποία παρέχει τους δικούς της ελέγχους ασφαλείας πριν επιτρέψει την πρόσβαση στα δεδομένα. Αυτό εμποδίζει τα αιτήματα από ένα πρόγραμμα περιήγησης ιστού να πηγαίνουν απευθείας στη βάση δεδομένων. Η εφαρμογή επαληθεύει επίσης το ρόλο του χρήστη σε κάθε αίτηση.

Το σύστημα κρυπτογραφεί τα δεδομένα των πελατών τόσο σε κατάσταση ηρεμίας όσο και κατά τη μετάδοση χρησιμοποιώντας το Transport Layer Security (TLS), το οποίο παρέχει ασφάλεια από άκρο σε άκρο για την επικοινωνία μεταξύ των επιπέδων και σε όλο το διαδίκτυο και AES 256 για την κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας.

Χρησιμοποιούνται ασφαλείς μηχανισμοί για την επαλήθευση της ταυτότητας των χρηστών που επιχειρούν να αποκτήσουν πρόσβαση στο σύστημα. Για να αποκτήσει πρόσβαση στο σύστημα, ο χρήστης πρέπει είτε να εισάγει ένα όνομα χρήστη (διεύθυνση ηλεκτρονικού ταχυδρομείου) και έναν κωδικό πρόσβασης είτε να πιστοποιηθεί μέσω ενός εγκεκριμένου παρόχου ενιαίας σύνδεσης (SSO). Για πρόσθετη ασφάλεια, οι πελάτες μπορούν επίσης να επιλέξουν τη χρήση διπλού ελέγχου ταυτότητας, γνωστού και ως ελέγχου ταυτότητας πολλαπλών παραγόντων ή 2FA.

Οι κωδικοί πρόσβασης προστατεύονται με τη χρήση εξελιγμένων τεχνικών κατακερματισμού και salting - η Cezanne HR αποθηκεύει πάντα μόνο κατακερματισμούς του κωδικού πρόσβασης και ποτέ τους ίδιους τους κωδικούς πρόσβασης.

Μπορείτε να ορίσετε κανόνες στο σύστημα για την επιβολή μιας ισχυρής πολιτικής κωδικών πρόσβασης, όπως:
- Υποχρεωτική συμπερίληψη τουλάχιστον ενός κεφαλαίου και πεζού γράμματος, ενός αριθμού και ενός συμβόλου.
- Ελάχιστο και μέγιστο μήκος κωδικού πρόσβασης.
- Ημερομηνίες λήξης με υπενθυμίσεις.
- Ιστορικό κωδικών πρόσβασης για να αποτρέπεται η επαναχρησιμοποίηση των κωδικών πρόσβασης από τους χρήστες εντός μιας καθορισμένης από τον πελάτη περιόδου.
- Μέγιστος αριθμός αποτυχημένων προσπαθειών σύνδεσης πριν ο λογαριασμός κλειδωθεί προσωρινά.
- Μπορείτε επίσης να επιλέξετε ποιες, αν υπάρχουν, από τις επιλογές Single Sign-On - π.χ. Google, Microsoft, Twitter, Facebook και OpenID - είναι διαθέσιμες στους χρήστες σας. Όταν είναι ενεργοποιημένη η επιλογή OpenID SSO, μπορούν να χρησιμοποιηθούν μόνο αναγνωριστικά που είναι ασφαλισμένα με SSL.

Η εξουσιοδότηση των χρηστών ελέγχεται μέσω δυναμικής ασφάλειας βάσει ρόλων. Οι εργαζόμενοι κατανέμονται σε ρόλους, όπως διαχειριστής ανθρώπινου δυναμικού, περιορισμένος διαχειριστής ανθρώπινου δυναμικού, προϊστάμενος γραμμής ή εργαζόμενος αυτοεξυπηρέτησης. Στη συνέχεια, το σύστημα κατανέμει δυναμικά δικαιώματα σε μεμονωμένους χρήστες για την προβολή, την αλλαγή ή τη διαγραφή πληροφοριών ή την πρόσβαση σε διαφορετικούς τομείς λειτουργιών, με βάση τις αρμοδιότητές τους στην εταιρεία. Για παράδειγμα, οι προϊστάμενοι γραμμής μπορούν να βλέπουν περισσότερες πληροφορίες σχετικά με τους εργαζόμενους που αναφέρονται σε αυτούς από ό,τι οι εργαζόμενοι που δεν αναφέρονται σε αυτούς.

Είναι σημαντικό ότι το Cezanne HR έχει αναπτυχθεί με ενσωματωμένη λειτουργικότητα επιχειρηματικής ευφυΐας. Αυτό σημαίνει ότι η πρόσβαση σε πίνακες ελέγχου, ερωτήματα και εξαγωγές δεδομένων ελέγχεται από τους ίδιους κανόνες με εκείνους που διέπουν την πρόσβαση σε λειτουργίες ή πληροφορίες στη βάση δεδομένων.

Το σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS) της Cezanne HR για την ανάπτυξη, τη λειτουργία και την παροχή της υπηρεσίας Cezanne HR είναι πιστοποιημένο κατά ISO 27001 από την BSI με αριθμό πιστοποιητικού IS 696606.

Η Cezanne HR είναι επίσης πιστοποιημένη με Cyber Essentials. Το Cyber Essentials είναι ένα κυβερνητικό πρόγραμμα διασφάλισης πληροφοριών του Ηνωμένου Βασιλείου που διαχειρίζεται το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο και ενθαρρύνει τους οργανισμούς να υιοθετήσουν ορθές πρακτικές στην ασφάλεια των πληροφοριών.

Συμμορφωνόμαστε με τις διατάξεις των άρθρων 28 παράγραφος 1, 32 παράγραφος 1 και 32 παράγραφος 2, υπό την έννοια ότι έχουμε εφαρμόσει "κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του κανονισμού". Τα μέτρα που εφαρμόζονται περιλαμβάνουν, χωρίς να περιορίζονται απαραίτητα, τα ακόλουθα:
- όλα τα δεδομένα κρυπτογραφούνται τόσο σε κατάσταση ηρεμίας όσο και κατά τη διαβίβαση,
- όλες οι προσβάσεις στο σύστημα παρακολουθούνται και καταγράφονται (τόσο οι επιτυχείς συνδέσεις όσο και οι απόπειρες σύνδεσης),
- όλες οι τροποποιήσεις των προσωπικών δεδομένων χρονοσημαίνονται και παρακολουθούνται σε αρχείο καταγραφής,
- τα προσωπικά δεδομένα που ανήκουν στον υπεύθυνο επεξεργασίας αποθηκεύονται μόνο σε θέσεις cloud εντός της υπηρεσίας AWS που προσφέρουν υψηλή φυσική και λογική προστασία πρόσβασης, συμπεριλαμβανομένης της ασφάλειας στον κυβερνοχώρο έναντι ιών, κακόβουλου λογισμικού και επιθέσεων άρνησης παροχής υπηρεσιών,
- η διαρκής εμπιστευτικότητα των δεδομένων διασφαλίζεται με σύγχρονες μεθόδους ελέγχου ταυτότητας, τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να ρυθμίσει ανάλογα με τις ανάγκες του (όσον αφορά το μήκος, τη σύνθεση και τη διάρκεια του κωδικού πρόσβασης),
- η συνεχής διαθεσιμότητα των δεδομένων διασφαλίζεται με συνεχή παρακολούθηση του συστήματος σε πολλαπλές τοποθεσίες παγκοσμίως και διαδικασίες ταχείας απόκρισης σε περίπτωση καταπόνησης του συστήματος ή άλλων προβλημάτων απόδοσης,
- η ανθεκτικότητα των συστημάτων επεξεργασίας εξασφαλίζεται με τη χρήση πολλαπλών κέντρων δεδομένων και αντιγράφων καθρεφτών των βάσεων δεδομένων,
- η ικανότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε περίπτωση φυσικού ή τεχνικού συμβάντος διασφαλίζεται με κατάλληλη διαδικασία δημιουργίας αντιγράφων ασφαλείας/ανάκτησης, η οποία δοκιμάζεται περιοδικά,
- η προστασία από μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ελέγχεται συνεχώς μέσω δοκιμών διείσδυσης που διενεργούνται από αξιόπιστο οργανισμό κυβερνοασφάλειας,
- όλα τα μέτρα ασφαλείας επανεξετάζονται τακτικά, επίσης υπό το πρίσμα της εξέλιξης της τεχνολογίας και του κλάδου της κυβερνοασφάλειας.

Συμμορφωνόμαστε με τις διατάξεις των άρθρων 28(2) και 28(3) επειδή έχουμε αναθεωρήσει τους Όρους και Προϋποθέσεις μας ώστε να περιλαμβάνουν όλες τις διατάξεις που απαιτεί ο νόμος.

Είμαστε συμβατοί όσον αφορά τη φυσική τοποθεσία των δεδομένων, καθώς η συμφωνία που ισχύει με τον πάροχο φιλοξενίας μας, την AWS, εγγυάται ότι τα δεδομένα δεν θα εγκαταλείψουν ποτέ την περιοχή της AWS στην Ιρλανδία, και η πιθανή πρόσβαση στα δεδομένα από το προσωπικό υποστήριξης της Cezanne HR περιορίζεται, σε κάθε περίπτωση, στην πρόσβαση από το Ηνωμένο Βασίλειο ή από άλλες χώρες του ΕΟΧ.

Έχουμε συμφωνίες επεξεργασίας δεδομένων με όλους τους υπεργολάβους επεξεργασίας που συνάδουν πλήρως με όλες τις δεσμεύσεις που έχουμε αναλάβει έναντι των πελατών, συμπεριλαμβανομένης της διαβεβαίωσης ότι κανένα προσωπικό δεδομένο δεν διαβιβάζεται ή δεν επεξεργάζεται ποτέ εκτός του ΕΟΧ.

Συμμορφωνόμαστε επίσης με άλλες πτυχές του ΓΚΠΔ, όπως:

- Διαθέτουμε διαδικασίες για τη διαχείριση πιθανών παραβιάσεων δεδομένων,
- Δεσμευόμαστε να βοηθάμε τους πελάτες μας σε περίπτωση αιτήματος του υποκειμένου των δεδομένων,
- Είμαστε ανοιχτοί σε ελέγχους και επιθεωρήσεις, εάν μας ζητηθεί,
- Όλο το προσωπικό μας που ενδέχεται να έχει πρόσβαση στα προσωπικά δεδομένα των πελατών μας είναι πλήρως εκπαιδευμένο σε θέματα ασφάλειας και προστασίας δεδομένων και δεσμεύεται από συμφωνίες εμπιστευτικότητας,
- Διαθέτουμε διαδικασίες για την επιστροφή ή/και τη διαγραφή όλων των προσωπικών δεδομένων των πελατών που έχουν διακόψει τη συνδρομή τους στο σύστημα.

Αν και ο νόμος δεν το απαιτεί αυστηρά στην περίπτωσή μας, διατηρούμε τα επίσημα αρχεία σύμφωνα με το άρθρο 30 παράγραφος 2 του ΓΚΠΔ.

Έχουμε ορίσει υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 37 παράγραφος 1 του ΓΚΠΔ. Ο διορισμός έχει καταχωρηθεί στην ICO.

Παρόλο που δεν αποτελεί απαίτηση του ΓΚΠΔ, αλλά απλώς διευκολύνει την απόδειξη της συμμόρφωσης, το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) μας έχει εγκριθεί για πιστοποίηση σύμφωνα με τα πρότυπα ISO27001:2013 από τον κορυφαίο φορέα διαπίστευσης του Ηνωμένου Βασιλείου, τον BSI.
Σύμφωνα με τους όρους και τις προϋποθέσεις της συμφωνίας συνδρομής της Cezanne HR, η Cezanne HR μπορεί να τροποποιήσει την υποδομή ασφαλείας της. Οι ενότητες που διατίθενται στην αγορά από την Cezanne HR ενδέχεται να έχουν διαφορετική αρχιτεκτονική φιλοξενίας και ασφάλειας. Παρακαλούμε επικοινωνήστε μαζί μας εάν θέλετε ένα αντίγραφο αυτής της συμφωνίας ή έχετε ερωτήσεις.