Bezpečnost

  • Jaké jsou nároky na přihlašovací heslo?

    Sloneek nabízí tři typy zabezpečení přístupu: standardní heslo, zvýšenou ochranu hesla a MFA.

    Standardní heslo

    Základní ochrana účtu, kterou má každý nový uživatel aplikace. Po aktivaci účtu administrátorem obdrží uživatel email s odkazem, přes který si nastaví své přístupové heslo. 

    Toto heslo musí mít alespoň 6 znaků a jeho platnost není časově omezena.

    Zvýšená ochrana hesla

    Pokud zabezpečení chcete posunout o úroveň dál, doporučujeme v Nastavení / Nastavení aplikace zakliknout možnost zvýšené ochrany hesla. 

    Pokud je tato ochrana zapnutá, tak heslo musí obsahovat alespoň jedno malé písmeno, alespoň jedno velké písmeno, alespoň jednu číslici a alespoň jeden speciální znak.

    Heslo musí mít od 10 do 30 znaků a je platné pouze po dobu 60 dní, po kterých si uživatel heslo musí změnit, jinak se již nedostane do aplikace.

    Zároveň se stará hesla ukládají, aby si uživatel nemohl dokola nastavovat ta stejná hesla. Ukládáme však do databáze pouze 5 hesel, takže po několika interakcích se může znova nastavit první heslo. 

    MFA

    MFA přidává k uživatelským účtům další úroveň zabezpečení tím, že vyžaduje více forem identifikace. Detailní popis a návod k nastavení MFA najdete v tomto článku.

    💎 Služba MFA je dostupná pouze pro balíček Enterprise.

     

  • Bezpečnostní protokol
    Ochranu vašich dat bereme vážně. A děláme pro ni vše.

    Řízení přístupu

    Nabízíte nebo podporujete funkce SAML/SSO pro ověřování?

    • Poskytujeme SSO pouze pro Google Workspace a Microsoft Active Directory.

    Jaké typy vícefaktorového ověřování jsou podporovány?

    • Podporujeme vícefaktorové ověřování (MFA). Pokud tuto možnost aktivují správci účtu, uživatelé během přihlašování ověřují svou totožnost zadáním kódu zaslaného prostřednictvím SMS.

    Jak jsou data nebo procesy zákazníků chráněny před neoprávněným přístupem?

    • Data zákazníků jsou uložena na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze části aplikace, které jsou ve stejné síti (VPC).

    Jaká opatření máte zavedena, abyste zabránili neoprávněnému prohlížení informací?

    • Pro účely ověřování a autorizace používáme tokeny JWT (s expirací 1 minuta). Používáme RBAC (Role Based Access Control), abychom mohli zákazníkům poskytnout granularitu oprávnění.

    Kdo ve vaší společnosti může vidět údaje zákazníků?

    • Pouze administrátoři zákaznické podpory na základě přímé a osobní žádosti udělené zákazníkem.

    Používáte model serveru s více tenanty?

    • Ano

    Jaká opatření máte k izolaci jednotlivých systémů a dat tenantů?

    • Vše je namapováno na entitu nazvanou "Company" (Společnost) a každý údaj je s ní spojen prostřednictvím cizích klíčů.

    Ochrana dat

    Jak vypadá váš protokol zabezpečení dat? (Protokoly o zabezpečení dat, definované jako "software a pravidla chování, která určují, jak zaměstnanci nakládají s daty a jak k nim přistupují", poskytují jasné pokyny, které ukazují přístup organizace k zabezpečení dat. Může jít například o certifikáty SSL, virtuální privátní sítě (VPN), vícefaktorové ověřování (MFA) a další.)

    • Údaje zákazníků jsou uloženy na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze ty části aplikace, které jsou ve stejné síti (VPC).
    • Pro všechny součásti naší aplikace používáme připojení SSL.

    Je vaše platforma externě auditována?

    • Ano, ISO 27001 (06/ 2023)

    Spolupracujete při poskytování řešení SaaS s dalšími třetími stranami? Pokud ano (a pokud mají přístup k vašim datům), jak vypadají jejich bezpečnostní protokoly?

    Ukládáte na svém serveru informace o kreditních kartách?

    • Informace o kreditních kartách na našem serveru neukládáme. Jako zpracovatele plateb používáme společnost Stripe.

    Co se stane v případě poškození dat?

    • Automaticky je obnovíme z denní zálohy (denní záloha má izolované úložiště mimo samotnou aplikaci).

    Kdo vlastní tato data, pokud vás přestaneme používat jako prodejce?

    • Data vlastní zákazník.

    Jaké úkony provádíte pro zničení dat poté, co je zákazník uvolní?

    • Trvale je odstraníme.

    Kdy jste naposledy provedli pentest třetí strany?

    • Každý měsíc do 1. dne.

    Obnova po havárii

    Jaké jsou vaše plány obnovy po havárii?

    Provádíte rutinní testy zotavení po havárii?

    • Ne

    .Jak často se provádějí dodatečné zálohy?

    • Každých 24 hodin.

    Kolik kopií dat uchováváte a kde jsou uloženy?

    Jak daleko zpět sahají záložní kopie?

    • 1 měsíc.

    Došlo u vás někdy k narušení bezpečnosti?

    • Ne

    Jak často a jakým způsobem testujete infrastrukturu zálohování a obnovy?

    • Jednou za půl roku.

    Jaké jsou vaše metody zálohování našich dat? Jaké jsou nabídky pro zálohování dat?

    Reakce na incidenty

    Máte plán reakce na incident?

    Zapojujete zákazníky do procesu reakce na incidenty?

    • Ano

    Poskytujete zprávy o pokusech nebo úspěšných narušeních systémů, dopadech a přijatých opatřeních?

    • Pokud o to zákazník požádá

    Které úkoly a incidenty zůstávají v odpovědnosti zákazníka?

    • Pokud incident ztráty dat způsobil sám zákazník, je to jeho odpovědnost. Celá aplikace je pokryta Audit-Loginem, který uchovává podrobnosti, jako např:

      • IP adresa vykonavatele (osoby, která provádí akci).
      • Název akce
      • Jedinečný identifikátor přihlášené osoby (e-mail)
      • Časové razítko akce
      • Která verze aplikace byla nasazena v době provedení akce
      • Která data byla změněna a případně i rozdíl, co bylo na co změněno

    Fyzická bezpečnost

    Jak hodnotíte, jak vaši zaměstnanci rozumí fyzické bezpečnosti?

    • Nemáme fyzické servery.

    Kde se nachází vaše datové centrum a jaká jsou zavedena fyzická bezpečnostní opatření?

    • Využíváme datová centra umístěná ve Frankfurtu, která poskytuje společnost Amazon Web Services. Nemáme k nim přístup.

    V jakých zemích jsou ukládána data - jak ve vaší infrastruktuře, tak při zálohování?

    • Datová centra ve Frankfurtu poskytovaná společností Amazon Web Services.

    Dodržování předpisů

    Dodržujete nebo plánujete dodržovat předpisy o ochraně osobních údajů (např. Privacy Shield, GDPR)?

    ANO, plně vyhovujeme.

    GDPR

    Jak shromažďujete osobní údaje?

    Subjektem, který shromažďuje osobní údaje, je zákazník (společnost), který shromažďuje a zpracovává osobní údaje svých zaměstnanců.

    Proč shromažďujete osobní údaje?

    Osobní údaje, které shromažďují výše uvedené subjekty, jsou shromažďovány výhradně za účelem vedení personální agendy zadavatele (společnosti).

    K čemu osobní údaje používáte?

    Shromážděné osobní údaje umožňují zaměstnavatelům plánovat dovolené, rozvrhovat směny, distribuovat interní dokumenty a zpracovávat další interní agendy.

    Jak dlouho budete osobní údaje uchovávat?

    Vzhledem k tomu, že vlastníkem údajů je zaměstnavatel, budou údaje uchovávány v úložišti aplikace tak dlouho, dokud si je zákazník ponechá. V případě, že zákazník přestane aplikaci používat, budou všechny údaje vymazány do 1 měsíce po vypršení platnosti komerční licence.

    Mám nějaká práva?

    Všem uživatelům, jejichž osobní údaje jsou shromažďovány, jsou zaručena všechna práva vycházející z nařízení GDPR, konkrétně právo na sledování, aktualizaci a zapomenutí.

    Podmínky užití a GDPR k náhledu zde.

     

     
  • OpenAI ChatGPT ve Sloneekovi

    Ve společnosti Sloneek se zavazujeme dodržovat nejvyšší standardy ochrany osobních údajů a bezpečnosti, zejména v souvislosti s naším personálním informačním systémem (HRIS).

    Chápeme důležitost ochrany osobních a citlivých údajů a chceme naše uživatele a zúčastněné strany ujistit o našich postupech v tomto ohledu. Do našeho systému HRIS jsme integrovali technologii ChatGPT společnosti OpenAI, abychom rozšířili jeho možnosti a poskytli našim uživatelům pokročilé funkce. Je však nezbytné zdůraznit:

    1. Přísný soulad s GDPR a ISO27001: Přísně dodržujeme pokyny obecného nařízení o ochraně osobních údajů (GDPR). Naše integrace s ChatGPT je navržena tak, aby byla plně v souladu s těmito předpisy.
    2. Žádný přenos citlivých údajů: Do rozhraní API OpenAI ChatGPT nepřenášíme žádné osobní údaje relevantní pro GDPR ani jiné citlivé údaje. Naše použití této technologie je omezeno na vylepšení funkcí systému bez ohrožení uživatelských dat.
    3. Transparentnost zpracování dat: Zachováváme naprostou transparentnost, pokud jde o způsob zpracování a nakládání s údaji. Interakce našeho systému s ChatGPT se omezuje na provozní údaje, které nejsou citlivé a nenarušují soukromí ani důvěrnost.
    4. Bezpečnostní opatření a protokoly: Náš systém obsahuje robustní bezpečnostní opatření a protokoly, které chrání integritu dat a zabraňují neoprávněnému přístupu nebo narušení dat.
    5. Průběžné monitorování a aktualizace: Neustále monitorujeme naše systémy a pravidelně aktualizujeme naše bezpečnostní postupy tak, aby byly v souladu s vyvíjejícími se zákony a normami na ochranu údajů.

    Ujišťujeme všechny naše uživatele a zainteresované strany, že ochrana vašich dat je naší nejvyšší prioritou. Jsme odhodláni udržet si důvěru, kterou vkládáte do našich technologií a služeb.


    Děkujeme vám za vaši trvalou důvěru ve společnost Sloneek.