Informații generale privind protecția datelor
Cum sesizez o problemă de securitate către HRiFlow?
Vă rugăm să transmiteți un e-mail pe adresa [email protected].
Vă sugerăm ca e-mailul să conțină următoarele informații (dacă este cazul):
- URL-ul unde a fost sesizată problema
- Numele companiei și numele utilizatorului afectat
- Tipul informațiilor afectate
- Informații referitoare la dispozitiv și sistemul de operare utilizat
- Informații despre cum poate fi reprodusă problema
HRiFlow are un responsabil care se ocupă de protecția datelor?
HRiFlow are un responsabil pentru protecția datelor. În momentul în care apare o problemă, responsabilul preia sesizarea, cercetează și oferă un răspuns.
Pentru întrebări legate de protecția datelor la HRiFlow, puteți să ne contactați pe [email protected]
Cum se asigură HRiFlow că angajații respectă confidențialitatea datelor?
Toți angajații HRiFlow sunt obligați să păstreze confidențialitatea datelor și protecția datelor în general și sunt conștienți de consecințele oricărei încălcări. Aceștia au semnat un contract de confidențialitate, în care se menționează ce reprezintă datele cu caracter personal și care sunt consecințele.
Ce se întâmplă dacă apare o încălcare a confidențialității datelor la HRiFlow?
În cazul puțin probabil al unei încălcări a securității datelor la HRiFlow, în cazul în care datele cu caracter personal ale unui client sunt afectate și încălcarea este de așa natură încât să implice un risc pentru drepturile și libertatea clientului, HRiFlow va notifica imediat clientul în cauză, pentru a le permite să își îndeplinească obligația legală de a informa autoritatea de reglementare și persoanele în cauză.
Aplicația a fost elaborată în conformitate cu prevederile privind protecția datelor din momentul conceperii?
Da, protecția datelor este un element integral al strategiei noastre privind produsele. Prin urmare, chiar și în etapa de dezvoltare a caracteristicilor noastre, respectăm cu atenție principii precum economia datelor și folosim măsuri de ultimă generație pentru a asigura un nivel adecvat de protecție.
Am revizuit setările implicite ale întregii aplicații și le-am adaptat pentru a oferi cel mai înalt nivel posibil de protecție a datelor, asigurând în același timp ușurința în utilizare, totul bazat pe GDPR.
În plus, setările sunt, în general, toate adaptabile la nevoile individuale ale clientului. Pentru a asigura în mod continuu acest lucru, am definit, de asemenea, un proces de alimentare permanentă a cerințelor legale în procesul de dezvoltare a produsului și de revizuire a aplicației în mod corespunzător.
Aplicația respectă Regulamentul general privind protecția datelor din Uniunea Europeană?
Suntem în conformitate cu cerințele esențiale ale GDPR UE în prezent. Acestea includ, în plus față de prevederile art. 25 din GDPR UE privind protecția datelor prin concepție și implicit, sprijinirea clientului în respectarea drepturilor persoanelor vizate, cum ar fi dreptul de a obține ștergerea datelor cu caracter personal, precum și drepturile de acces și de portabilitate a datelor (capitolul 3 din GDPR UE).
Acest lucru permite clientului să șteargă datele solicitanților fie automat, fie manual, precum și să blocheze sau să șteargă complet și sigur datele angajaților.
Criptare & Anonimizare
Datele sunt criptate pentru transmitere?
Da, orice date personale pe care aplicația HRiFlow le transmite unui client sau altor platforme trebuie să fie criptate folosind transport Layer Security (TLS), în special HTTPS. Acest lucru necesită stabilirea unei conexiuni securizate între cei doi parteneri de comunicare (client și server) înainte ca orice date să poată fi transmise.
Pentru criptarea bazei de date folosim algoritmul AES cu o cheie de 256 biți generată dintr-o parolă cu algoritmul SHA-256 implementat în „7zip”.
Confidențialitate & Integrare
Unde sunt stocate informațiile?
HRiFlow utilizează serviciile unei companii internaționale, situată în Germania pentru găzduirea software-ului său.
Centrele de date utilizate sunt certificate ISO/IEC 27001 și, astfel, îndeplinesc cerințele noastre ridicate pentru securitatea fizică a datelor clienților noștri.
Cine de la HRiFlow și de la furnizorul de servicii are acces la informațiile clienților?
Ca regulă generală, nici personalul din centrele de date, nici angajații companiei de servere nu au acces la datele dumneavoastră.
În ceea ce privește HRiFlow, numai echipa noastră DevOps (responsabilă de servere) și echipa noastră tehnică, precum și echipa de suport clienți (responsabilă de sistemele clienților) vor accesa datele atunci când este necesar, pentru a ajuta la crearea inițială a unui cont, precum și la prelucrarea cererilor de servicii. Drepturile de acces sunt acordate pe baza principiului necesității de a cunoaște și sunt documentate. În plus, accesul la sistemele clienților este înregistrat.
Cum se realizează autentificarea utilizatorilor în aplicație?
Accesul se acordă numai prin intermediul unor conturi de utilizator personalizate, fiecare dintre acestea fiind clar alocat unei persoane. În plus, există posibilitatea de a activa funcția de 2 Factor Authentication ca o măsură suplimentară de protecție a contului.
Înregistrarea are un nume de utilizator și o parolă, aceasta din urmă trebuind să conțină caractere diferite: litere, cifre și caractere speciale. În plus, recomandăm clienților noștri să utilizeze autentificarea cu doi factori pentru a obține un nivel mai ridicat de protecție.
Cine are acces și la ce informații – pe partea clientului?
Drepturile de acces sunt, în general, concepute pentru a îndeplini cerințele art. 24 din GDPR UE privind protecția datelor în mod implicit. Acest lucru înseamnă că toți angajații cu conturi de utilizator nou create nu au implicit drepturi dincolo de editarea propriului profil. În calitate de client, puteți gestiona acordarea drepturilor de acces conform protocolului dvs.
Disponibilitate și capacitate
Ce face HRiFlow pentru a asigura disponibilitatea sistemului?
Pentru a spori siguranța serverului am ales ca acesta să nu comunice direct cu toate calculatorele din internet, ci să comunice folosind serviciul de proxy „CloudFlare”. Serviciul acesta oferă protecție la atacurile cunoscute, inclusiv atacuri de tipul „Denial-of-service” și cel mai important: ascunde locația și IP-ul real al serverului.
Recuperabilitate
Cine face back-up pentru informații și care este programul?
HRiFlow va face back-up zilnic. Backup-ul zilnic este pornit de programul „cron” („cron job”) seara când aplicația are un număr redus de utilizatori activi.
Back-up-ul sistemelor de baze de date sunt stocate exclusiv în formă criptată. Acest lucru înseamnă că nu este necesar ca beneficiarul (clientul) să efectueze propriile copii de siguranță. Se efectuează teste periodice de restaurare, pentru a se asigura că informațiile au fost stocate corect și pot fi restaurate dacă este necesar.
Limitări
Cine deține informațiile?
Clientul este și rămâne proprietarul și operatorul datelor în sensul art. 24 din GDPR UE. În special, aceasta înseamnă că clientul este responsabil pentru respectarea drepturilor persoanelor vizate (capitolul 3 din GDPR UE). HRiFlow este procesatorul de comenzi și, în această capacitate, prelucrează datele dvs. exclusiv la instrucțiunile dvs. și în scopurile prevăzute în acordul de prelucrare a datelor.
Ce se întâmplă cu informațiile dacă clientul renunță la serviciile HRiFlow sau dacă HRiFlow nu mai este disponibil?
La încetarea relației de afaceri, persoanele autorizate în mod corespunzător de către client pot solicita livrarea datelor într-un format digital.
La 30 de zile de la încheierea acordului, datele sunt apoi șterse irecuperabil, sau se pot șterge la cerere în 2 zile lucrătoare. În cazul puțin probabil ca HRiFlow să își oprească serviciile, această procedură rămâne, în principiu, neschimbată, deoarece clientul este proprietarul datelor și HRiFlow este doar un procesor de comandă și nu va dispune astfel de date cu caracter personal în orice alt mod.
