Bezpečnost
-
Jaké jsou nároky na přihlašovací heslo?
Sloneek nabízí tři typy zabezpečení přístupu: standardní heslo, zvýšenou ochranu hesla a MFA.
Standardní heslo
Základní ochrana účtu, kterou má každý nový uživatel aplikace. Po aktivaci účtu administrátorem obdrží uživatel email s odkazem, přes který si nastaví své přístupové heslo.
Toto heslo musí mít alespoň 6 znaků a jeho platnost není časově omezena.
Zvýšená ochrana hesla
Pokud zabezpečení chcete posunout o úroveň dál, doporučujeme v Nastavení / Nastavení aplikace zakliknout možnost zvýšené ochrany hesla.
Pokud je tato ochrana zapnutá, tak heslo musí obsahovat alespoň jedno malé písmeno, alespoň jedno velké písmeno, alespoň jednu číslici a alespoň jeden speciální znak.
Heslo musí mít od 10 do 30 znaků a je platné pouze po dobu 60 dní, po kterých si uživatel heslo musí změnit, jinak se již nedostane do aplikace.
Zároveň se stará hesla ukládají, aby si uživatel nemohl dokola nastavovat ta stejná hesla. Ukládáme však do databáze pouze 5 hesel, takže po několika interakcích se může znova nastavit první heslo.
MFA
MFA přidává k uživatelským účtům další úroveň zabezpečení tím, že vyžaduje více forem identifikace. Detailní popis a návod k nastavení MFA najdete v tomto článku.
💎 Služba MFA je dostupná pouze pro balíček Enterprise.
-
Bezpečnostní protokol
Ochranu vašich dat bereme vážně. A děláme pro ni vše.Řízení přístupu
Nabízíte nebo podporujete funkce SAML/SSO pro ověřování?
- Poskytujeme SSO pouze pro Google Workspace a Microsoft Active Directory.
Jaké typy vícefaktorového ověřování jsou podporovány?
-
Podporujeme vícefaktorové ověřování (MFA). Pokud tuto možnost aktivují správci účtu, uživatelé během přihlašování ověřují svou totožnost zadáním kódu zaslaného prostřednictvím SMS.
Jak jsou data nebo procesy zákazníků chráněny před neoprávněným přístupem?
- Data zákazníků jsou uložena na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze části aplikace, které jsou ve stejné síti (VPC).
Jaká opatření máte zavedena, abyste zabránili neoprávněnému prohlížení informací?
- Pro účely ověřování a autorizace používáme tokeny JWT (s expirací 1 minuta). Používáme RBAC (Role Based Access Control), abychom mohli zákazníkům poskytnout granularitu oprávnění.
Kdo ve vaší společnosti může vidět údaje zákazníků?
- Pouze administrátoři zákaznické podpory na základě přímé a osobní žádosti udělené zákazníkem.
Používáte model serveru s více tenanty?
- Ano
Jaká opatření máte k izolaci jednotlivých systémů a dat tenantů?
- Vše je namapováno na entitu nazvanou "Company" (Společnost) a každý údaj je s ní spojen prostřednictvím cizích klíčů.
Ochrana dat
Jak vypadá váš protokol zabezpečení dat? (Protokoly o zabezpečení dat, definované jako "software a pravidla chování, která určují, jak zaměstnanci nakládají s daty a jak k nim přistupují", poskytují jasné pokyny, které ukazují přístup organizace k zabezpečení dat. Může jít například o certifikáty SSL, virtuální privátní sítě (VPN), vícefaktorové ověřování (MFA) a další.)
- Údaje zákazníků jsou uloženy na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze ty části aplikace, které jsou ve stejné síti (VPC).
- Pro všechny součásti naší aplikace používáme připojení SSL.
Je vaše platforma externě auditována?
- Ano, ISO 27001 (06/ 2023)
Spolupracujete při poskytování řešení SaaS s dalšími třetími stranami? Pokud ano (a pokud mají přístup k vašim datům), jak vypadají jejich bezpečnostní protokoly?
- Amazon - Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, poskytovatel služeb cloudové infrastruktury. Datová centra se nacházejí ve Frankfurtu nad Mohanem, Spolková republika Německo.
- HubSpot Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Irsko(DIČ: IE9849471F), služba Hubspot pro zasílání hromadných zpráv a oznámení (https://legal.hubspot.com/privacy-policy).
- Zendesk Inc. 989 Market Street, San Francisco, California, 94103, Spojené státy americké, služba pro zasílání hromadných zpráv, oznámení a zákaznickou podporu (https://www.zendesk.com/company/agreements-and-terms/privacy-notice/).
- Smartlook.com, s.r.o. Šumavská 524/31, Brno, CZ 60200, Czech Republic, Reg. no.: 09508830, VAT ID: CZ09508830, Smartlook pro analýzu chování uživatelů v aplikaci. (https://help.smartlook.com/en/articles/3244452-privacy-policy)
- Stripe Technology Europe, Ltd., 25/28 North Wall Quay, Dublin 1, D01H104, IČ: 0599050 Služba Stripe pro služby platební brány. (https://stripe.com/en-cz/privacy)
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko (Registrační číslo: 368047 / DIČ: IE6388047V) - statistické služby Google Analytics a Google Tag Manager. (https://policies.google.com/privacy/partners?hl=en).
- Sentry (Functional Software, Inc.), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, služba pro analýzu dat (https://sentry.io/privacy/).
- OpenAI Ireland Limited, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland, služba pro chytrou analýzu dat (https://openai.com/policies/privacy-policy/).
Ukládáte na svém serveru informace o kreditních kartách?
- Informace o kreditních kartách na našem serveru neukládáme. Jako zpracovatele plateb používáme společnost Stripe.
Co se stane v případě poškození dat?
- Automaticky je obnovíme z denní zálohy (denní záloha má izolované úložiště mimo samotnou aplikaci).
Kdo vlastní tato data, pokud vás přestaneme používat jako prodejce?
- Data vlastní zákazník.
Jaké úkony provádíte pro zničení dat poté, co je zákazník uvolní?
- Trvale je odstraníme.
Kdy jste naposledy provedli pentest třetí strany?
- Každý měsíc do 1. dne.
Obnova po havárii
Jaké jsou vaše plány obnovy po havárii?
- Máme automatizovaný plán obnovy v souladu s: https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html
Provádíte rutinní testy zotavení po havárii?
- Ne
.Jak často se provádějí dodatečné zálohy?
- Každých 24 hodin.
Kolik kopií dat uchováváte a kde jsou uloženy?
- Pro zálohování používáme webové služby Amazon. Zálohy replikují tak, aby bylo možné dosáhnout 100% míry obnovy (https://aws.amazon.com/rds/?p=ft&c=db&z=3)
Jak daleko zpět sahají záložní kopie?
- 1 měsíc.
Došlo u vás někdy k narušení bezpečnosti?
- Ne
Jak často a jakým způsobem testujete infrastrukturu zálohování a obnovy?
- Jednou za půl roku.
Jaké jsou vaše metody zálohování našich dat? Jaké jsou nabídky pro zálohování dat?
- Opakovaně denně zálohujeme všechna data z našich databází a úložišť. Používáme k tomu automatizované zálohování z webu: https://aws.amazon.com/rds/?p=ft&c=db&z=3
Reakce na incidenty
Máte plán reakce na incident?
- Máme automatizovaný plán obnovy v souladu s: https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html
Zapojujete zákazníky do procesu reakce na incidenty?
- Ano
Poskytujete zprávy o pokusech nebo úspěšných narušeních systémů, dopadech a přijatých opatřeních?
- Pokud o to zákazník požádá
Které úkoly a incidenty zůstávají v odpovědnosti zákazníka?
- Pokud incident ztráty dat způsobil sám zákazník, je to jeho odpovědnost. Celá aplikace je pokryta Audit-Loginem, který uchovává podrobnosti, jako např:
- IP adresa vykonavatele (osoby, která provádí akci).
- Název akce
- Jedinečný identifikátor přihlášené osoby (e-mail)
- Časové razítko akce
- Která verze aplikace byla nasazena v době provedení akce
- Která data byla změněna a případně i rozdíl, co bylo na co změněno
Fyzická bezpečnost
Jak hodnotíte, jak vaši zaměstnanci rozumí fyzické bezpečnosti?
- Nemáme fyzické servery.
Kde se nachází vaše datové centrum a jaká jsou zavedena fyzická bezpečnostní opatření?
- Využíváme datová centra umístěná ve Frankfurtu, která poskytuje společnost Amazon Web Services. Nemáme k nim přístup.
V jakých zemích jsou ukládána data - jak ve vaší infrastruktuře, tak při zálohování?
- Datová centra ve Frankfurtu poskytovaná společností Amazon Web Services.
Dodržování předpisů
Dodržujete nebo plánujete dodržovat předpisy o ochraně osobních údajů (např. Privacy Shield, GDPR)?
ANO, plně vyhovujeme.
GDPR
Jak shromažďujete osobní údaje?
Subjektem, který shromažďuje osobní údaje, je zákazník (společnost), který shromažďuje a zpracovává osobní údaje svých zaměstnanců.
Proč shromažďujete osobní údaje?
Osobní údaje, které shromažďují výše uvedené subjekty, jsou shromažďovány výhradně za účelem vedení personální agendy zadavatele (společnosti).
K čemu osobní údaje používáte?
Shromážděné osobní údaje umožňují zaměstnavatelům plánovat dovolené, rozvrhovat směny, distribuovat interní dokumenty a zpracovávat další interní agendy.
Jak dlouho budete osobní údaje uchovávat?
Vzhledem k tomu, že vlastníkem údajů je zaměstnavatel, budou údaje uchovávány v úložišti aplikace tak dlouho, dokud si je zákazník ponechá. V případě, že zákazník přestane aplikaci používat, budou všechny údaje vymazány do 1 měsíce po vypršení platnosti komerční licence.
Mám nějaká práva?
Všem uživatelům, jejichž osobní údaje jsou shromažďovány, jsou zaručena všechna práva vycházející z nařízení GDPR, konkrétně právo na sledování, aktualizaci a zapomenutí.Podmínky užití a GDPR k náhledu zde.
-
OpenAI ChatGPT ve Sloneekovi
Ve společnosti Sloneek se zavazujeme dodržovat nejvyšší standardy ochrany osobních údajů a bezpečnosti, zejména v souvislosti s naším personálním informačním systémem (HRIS).
Chápeme důležitost ochrany osobních a citlivých údajů a chceme naše uživatele a zúčastněné strany ujistit o našich postupech v tomto ohledu. Do našeho systému HRIS jsme integrovali technologii ChatGPT společnosti OpenAI, abychom rozšířili jeho možnosti a poskytli našim uživatelům pokročilé funkce. Je však nezbytné zdůraznit:
- Přísný soulad s GDPR a ISO27001: Přísně dodržujeme pokyny obecného nařízení o ochraně osobních údajů (GDPR). Naše integrace s ChatGPT je navržena tak, aby byla plně v souladu s těmito předpisy.
- Žádný přenos citlivých údajů: Do rozhraní API OpenAI ChatGPT nepřenášíme žádné osobní údaje relevantní pro GDPR ani jiné citlivé údaje. Naše použití této technologie je omezeno na vylepšení funkcí systému bez ohrožení uživatelských dat.
- Transparentnost zpracování dat: Zachováváme naprostou transparentnost, pokud jde o způsob zpracování a nakládání s údaji. Interakce našeho systému s ChatGPT se omezuje na provozní údaje, které nejsou citlivé a nenarušují soukromí ani důvěrnost.
- Bezpečnostní opatření a protokoly: Náš systém obsahuje robustní bezpečnostní opatření a protokoly, které chrání integritu dat a zabraňují neoprávněnému přístupu nebo narušení dat.
- Průběžné monitorování a aktualizace: Neustále monitorujeme naše systémy a pravidelně aktualizujeme naše bezpečnostní postupy tak, aby byly v souladu s vyvíjejícími se zákony a normami na ochranu údajů.
Ujišťujeme všechny naše uživatele a zainteresované strany, že ochrana vašich dat je naší nejvyšší prioritou. Jsme odhodláni udržet si důvěru, kterou vkládáte do našich technologií a služeb.
Děkujeme vám za vaši trvalou důvěru ve společnost Sloneek.