Sicurezza

  • Quali sono i requisiti per la password?

    Sloneek offre tre tipi di sicurezza di accesso: password standard, protezione avanzata della password e MFA.

    Password standard

    Protezione di base dell'account di cui dispone ogni nuovo utente dell'app. Dopo che l'account è stato attivato dall'amministratore, l'utente riceve un'e-mail con un collegamento per impostare la propria password di accesso.

    Questa password deve essere lunga almeno 6 caratteri e non ha scadenza.

    Maggiore protezione della password

    Se desideri aumentare ulteriormente il livello di sicurezza, ti consigliamo di selezionare l'opzione per una maggiore protezione tramite password in Impostazioni / Impostazioni applicazione.

    Se questa protezione è abilitata, la password deve contenere almeno una lettera minuscola, almeno una lettera maiuscola, almeno un numero e almeno un carattere speciale.

    La password deve essere compresa tra 10 e 30 caratteri ed è valida solo per 60 giorni, dopodiché l'utente dovrà modificarla altrimenti non potrà più accedere all'applicazione.

    Allo stesso tempo, le vecchie password vengono salvate in modo che l'utente non possa impostare le stesse password più e più volte. Tuttavia, memorizziamo solo 5 password nel database, quindi dopo alcune interazioni la prima password può essere impostata di nuovo.

    MFA

    MFA aggiunge un ulteriore livello di sicurezza agli account utente richiedendo più forme di identificazione. Per una descrizione dettagliata e istruzioni su come impostare MFA, consulta questo articolo.

    💎 Il servizio MFA è disponibile solo per il pacchetto Enterprise.

     

  • Prendiamo seriamente la protezione dei tuoi dati

    Facciamo tutto il possibile per proteggerli.

     

    Controllo degli accessi

    Offrite o supportate funzionalità SAML/SSO per l'autenticazione?

    • Forniamo SSO esclusivamente per Google Workspace e Microsoft Active Directory.

    Quali tipi di autenticazione a più fattori sono supportati?

    • Supportiamo l'autenticazione a più fattori (MFA). Quando questa opzione viene attivata dagli amministratori, gli utenti devono verificare la loro identità inserendo un codice inviato via SMS durante il processo di accesso.

    Come proteggete i dati o i processi dei clienti da accessi non autorizzati?

    • I dati dei clienti sono archiviati su server crittografati senza accesso dall'esterno. Utilizziamo una VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete possono accedervi.

    Quali misure adottate per impedire la visualizzazione non autorizzata delle informazioni?

    • Usiamo token JWT con una scadenza di 1 minuto per scopi di autenticazione e autorizzazione. Inoltre, implementiamo il RBAC (Role-Based Access Control) per garantire ai clienti un'accurata granularità delle autorizzazioni.

    Chi nella vostra azienda può accedere ai dati dei clienti?

    • Solo gli amministratori del supporto clienti, sotto richiesta diretta e personale approvata dal cliente stesso.

    Utilizzate un modello server multi-tenant?

    •  Sì.

    Quali misure adottate per isolare i sistemi e i dati di ciascun tenant?

    • Tutti i dati sono mappati su un'entità denominata "Azienda" e ogni dato è associato tramite chiavi esterne.

    Protezione dei dati

    Come è strutturato il vostro protocollo di sicurezza dei dati? (I protocolli di sicurezza dei dati, definiti come “le regole software e comportamentali che guidano come i dipendenti gestiscono e accedono ai dati”, forniscono linee guida chiare che dimostrano l'approccio di un'organizzazione alla sicurezza dei dati. Questo potrebbe includere cose come certificati SSL, reti private virtuali (VPN), autenticazione a più fattori (MFA) e altro.)

     

    I dati dei clienti sono archiviati su server crittografati, ai quali non è possibile accedere dall'esterno. Utilizziamo la VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete (VPC) possono accedervi.

     

    Utilizziamo una connessione SSL per tutti i componenti della nostra applicazione.

     

    La vostra piattaforma è sottoposta a controlli esterni?

    •  Sì, è stata certificata ISO 27001 a giugno 2023.

     

    Collaborate con terze parti per offrire la vostra soluzione SaaS?

     Sì, collaboriamo con:

    • Amazon Web Services (AWS) (infrastruttura cloud) - data center a Francoforte, Germania.
    • HubSpot Ireland  Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Ireland(VAT: IE9849471F). - invio di newsletter e notifiche. (https://legal.hubspot.com/privacy-policy).
    • Zendesk Inc.  989 Market Street, San Francisco, California, 94103, United States, - servizio di messaggistica e supporto clienti.
    • Smartlook.com, s.r.o. - analisi del comportamento degli utenti.
    • Stripe Technology Europe, Ltd. - gestione pagamenti.
    • Google Ireland Limited - servizi di analisi e gestione tag.
    • Sentry - analisi avanzata dei dati.
    • OpenAI Ireland Limited - analisi dei dati.

    Memorizzate i dati della carta di credito sul vostro server?

    •  No, utilizziamo Stripe come processore di pagamento.

    Cosa succede in caso di corruzione dei dati?

    • Ripristiniamo i dati automaticamente dal backup giornaliero, conservato in uno storage isolato.

    Chi possiede i dati se smettiamo di utilizzare il vostro servizio?

    • I dati sono di proprietà del cliente.

    Cosa fate per distruggere i dati dopo la loro rimozione da parte del cliente?

    •  Li eliminiamo in modo permanente.

    Quando avete eseguito l'ultimo test di penetrazione di terze parti?

    •  Ogni mese, il primo giorno.

    Ripristino in caso di disastro

    Qual è il vostro piano di ripristino in caso di disastro?

    Eseguite test regolari sui piani di ripristino?

    • Sì.

    Con quale frequenza eseguite backup incrementali?

    • Ogni 24 ore.

    Quante copie dei dati memorizzate e dove sono conservate?

    Fino a quanto tempo risalgono i backup?

    •  1 mese.

    Avete mai avuto una violazione della sicurezza?

    • No.

    Con quale frequenza testate l'infrastruttura di backup e ripristino?

    •  Ogni sei mesi.

    Risposta agli incidenti

    Avete un piano di risposta agli incidenti?

    Coinvolgete i clienti nel processo di risposta agli incidenti?

    Fornite report su tentativi di violazione o violazioni riuscite?

    • Su richiesta del cliente.

    Quali responsabilità ricadono sul cliente in caso di incidenti?

    •  Gli incidenti causati direttamente dal cliente sono sotto la sua responsabilità. Tuttavia, tutte le azioni sono registrate in un audit log che traccia dettagli come:
      • Indirizzo IP dell'utente.
      • Nome dell'azione.
      • Identificativo univoco (email).
      • Data e ora.
      • Versione dell'applicazione.
      • Modifiche effettuate ai dati.

    Sicurezza fisica

    Come valutate la comprensione della sicurezza da parte dei dipendenti?

    • Non utilizziamo server fisici.

    Dove si trova il vostro data center e quali misure di sicurezza fisica sono in atto?

    • Utilizziamo i data center di Amazon Web Services a Francoforte. Non abbiamo accesso diretto a essi.

    In quali Paesi sono conservati i dati?

    • Nei data center di Francoforte forniti da AWS.

    Conformità normativa

    Rispettate le normative sulla privacy (es. GDPR)?

    Sì, pienamente conforme.

    Come raccogliete i dati personali?

    I dati personali sono raccolti dal cliente (azienda) per gestire le risorse umane.

    Perché raccogliete i dati personali?

    Per gestire attività come pianificazione ferie, turni, distribuzione documenti interni e altre operazioni HR.

    Quanto tempo conservate i dati personali?

    I dati vengono conservati finché il cliente li mantiene nell'applicazione. Se il cliente smette di utilizzare il servizio, tutti i dati saranno eliminati entro 1 mese dalla scadenza della licenza commerciale.

    Quali diritti hanno gli utenti?

     Gli utenti hanno tutti i diritti garantiti dal GDPR, inclusi:

    • Diritto di accesso.
    • Diritto di aggiornamento.
    • Diritto all'oblio.

     

  • L'AI aperta a Sloneek

    In Sloneek ci impegniamo a rispettare i più alti standard di privacy e sicurezza dei dati, in particolare nel contesto del nostro Sistema Informativo delle Risorse Umane (HRIS).

    Comprendiamo l'importanza di proteggere i dati personali e sensibili e vogliamo rassicurare i nostri utenti e le parti interessate sulle nostre pratiche in merito. Abbiamo integrato la tecnologia ChatGPT di OpenAI nel nostro sistema HRIS per migliorarne le capacità e fornire funzionalità avanzate ai nostri utenti. Tuttavia, è fondamentale sottolineare che:
    1. Rigorosa conformità con GDPR e ISO27001: aderiamo rigorosamente alle linee guida del Regolamento generale sulla protezione dei dati (GDPR). La nostra integrazione con ChatGPT è stata progettata in modo da rispettare pienamente queste normative.
    2. Nessuna trasmissione di dati sensibili: Non trasmettiamo alcun dato personale rilevante ai fini del GDPR o altri dati sensibili all'API OpenAI ChatGPT. Il nostro utilizzo di questa tecnologia è limitato al miglioramento delle funzionalità del sistema senza compromettere i dati degli utenti.
    3. Trasparenza nel trattamento dei dati: Manteniamo una totale trasparenza nel modo in cui elaboriamo e gestiamo i dati. L'interazione del nostro sistema con ChatGPT è limitata a dati operativi non sensibili che non violano la privacy o la riservatezza.
    4. Misure e protocolli di sicurezza: Il nostro sistema incorpora solide misure e protocolli di sicurezza per proteggere l'integrità dei dati e prevenire accessi non autorizzati o violazioni dei dati.
    5. Monitoraggio e aggiornamenti continui: Monitoriamo costantemente i nostri sistemi e aggiorniamo regolarmente le nostre pratiche di sicurezza per allinearci alle leggi e agli standard di protezione dei dati in continua evoluzione.
    Assicuriamo a tutti i nostri utenti e stakeholder che la salvaguardia dei vostri dati è la nostra massima priorità. Ci impegniamo a mantenere la fiducia che riponete nella nostra tecnologia e nei nostri servizi.
    Grazie per la vostra continua fiducia in Sloneek.