Bezpieczeństwo

tomHRM to kompleksowa platforma SaaS,
która wspiera setki firm w usprawnianiu procesów HR.

Poznaj nasze podejście do bezpieczeństwa i ochrony danych
na poziomie korporacyjnym.


REGULACJE PRAWNE

Bezpieczeństwo prawne

Zgodność z RODO

Zgodność z europejskim rozporządzeniem GDPR (UE) 2016/679 dot. ochrony danych osobowych.

Data Privacy Framework

Przestrzeganie zasad Data Privacy Framework (Ramy ochrony prywatności danych).

Ochrona sygnalistów

Nasz moduł “Sygnaliści” spełnia dyrektywę UE o ochronie sygnalistów 2019/1937.

BEZPIECZEŃSTWO FIZYCZNE

Centrum danych klasy korporacyjnej

Twoje dane są przechowywane w najnowocześniejszych centrach danych spełniających najwyższe standardy bezpieczeństwa.

Serwery

Dane naszych klientów są bezpiecznie przechowywane w centrach danych renomowanych dostawców usług chmurowych - OVH oraz Amazon Web Services (AWS).

Lokalizacja

Dane przechowywane są na terenie Unii Europejskiej, we Francji i Irlandii. Kopie zapasowe są przechowywane w wybranych dwóch regionach w celu ograniczenia ryzyka.

Certyfikaty

Operator centrum danych posiada certyfikaty m.in. ISO27001, ISO 27017, ISO 27701 potwierdzające zgodność z najwyższymi normami bezpieczeństwa i regulacjami prawnymi.


BEZPIECZEŃSTWO SIECIOWE

Ochrona sieci

Wielowarstwowe zabezpieczenia sieciowe chroniące przed zagrożeniami i atakami

Ochrona przed DDoS

Zastosowanie rozwiązania Cloudflare pozwala chronić infrastrukturę przed atakami DDoS z zaawansowanymi technikami mitygacji.

Zapora aplikacji webowej

Zaawansowane reguły WAF (Web Applications Firewall) tworzą wielowarstwową ochronę przed różnorodnymi atakami webowymi.

Dostępność 99,95%

Zapewniamy ciągłość operacyjną i dostępność na poziomie 99,95%. Wykorzystujemy loadbalancing i redundancję infrastruktury.


BEZPIECZEŃSTWO APLIKACJI

Twoja polityka bezpieczeństwa

Aplikacja pozwala na dostosowanie konfiguracji bezpieczeństwa do Twojej polityki bezpieczeństwa.

Logowanie Single Sign-On (SSO)

Dostępne są do wyboru następujące rodzaje autentykacji: SAML, Okta, OneLogin, Google, Microsoft, Slack

Uwierzytelnianie 2FA

Uwierzytelnianie dwuskładnikowe z wykorzystaniem Google lub Microsoft z konfiguracją zasad działania.

Elastyczny system uprawnień

Grupy uprawnień z macierzowymi prawami do akcji w modułach. Role użytkowników z ustawianiem reguł.

Polityka logowania i haseł

Elastyczna konfiguracja parametrów wpływających na logowanie użytkownika.

Sesje logowania

Konfigurowalne parametry sesji, takie jak czas trwania sesji, czas logowania i automatycznego wylogowania.

Blokowanie kont

Możliwość włączenia automatycznego blokowania konta po nieudanych próbach logowania.

Auditlog i changelog

Auditlog i changelog zawierają dane o kluczowych zdarzeniach, umożliwiając kontrolę i śledzenie historii działań.

Ochrona antywirusowa

Kompleksowa ochrona antywirusowa zapewniająca automatyczne skanowanie plików przy dodawaniu i pobierania.

Pakiet Enteprise Security

Możesz skorzystać z dodatkowego pakietu zaawansowanych, konfigurowalnych zabezpieczeń.


BEZPIECZEŃSTWO DANYCH

Kompleksowa ochrona danych

Szyfrowanie danych

Szyfrowanie AES-256 dla danych w spoczynku i TLS dla danych w transmisji, zapewniającym szyfrowane połączenie między serwerem a przeglądarką.

Kopie zapasowe

Tworzymy kopie zapasowe dwa razy na dobę, co pozwala ograniczyć utratę danych do minimum i zapewnić ciągłość działania.

Architektura Multi-tenant

Architektura multi-tenant zapewnia wyższe bezpieczeństwo dzięki oddzielnym bazom danych i plikom, dostępnym z kluczami per konto klienta.

Usuwanie danych

Posiadamy procedurę usuwania danych dla kont testowych i kont płatnych.

Anonimizacja danych

Stosujemy mechanizmy anonimizacji oraz pseudoanonimizacji danych.


BEZPIECZEŃSTWO ORGANIZACYJNE

Wewnętrzne praktyki bezpieczeństwa

W naszej organizacji posiadamy wdrożone procesy bezpieczeństwa.

Zarządzanie zasobami IT

Prowadzimy rejestr aktywów, zasobów cyfrowych i IT objętych procedurą zarządzania dostępami.

Szkolenia pracowników

Prowadzimy cykliczne szkolenia w zakresie bezpieczeństwa i przetwarzania danych osobowych.

Bezpieczeństwo HR

Prowadzimy cykliczne szkolenia z bezpieczeństwa, RODO i AI dla pracowników.

Poufność

Pracownicy podpisują umowy o poufności i przestrzegają zasad prywatności i bezpieczeństwa.

Zarządzanie dostępami

Posiadamy procedurę zarządzania dostępami do zasobów cyfrowych oraz IT.

Business Continuity Planning (BCP)

Posiadamy plan BCP w celu utrzymania ciągłości działania w przypadku niedostępności kluczowych osób.

Plan odtwarzania po awarii (DRP)

Wdrożony plan przywracania usługi w przypadku nieprzewidzianych zdarzeń, zapewniający ciągłość jej działania.

Zarządzanie dostawcami

Regularnie weryfikujemy dostawców i podmioty przetwarzające dla zapewnienia zgodności z przepisami.

Testy penetracyjne

Zlecamy zewnętrznym firmom testy penetracyjne, aby mieć pewność, że nasze zabezpieczenia są aktualne.

Dokumenty prawne

Regulamin usługi tomHRM

Kompleksowy dokument regulujący zakres, parametry oraz wzajemne prawa i obowiązki Dostawcy (My, tomHRM) i Klienta (Ty)

Zobacz dokument ➜

Umowa RODO

Umowa przekazania przetwarzania danych osobowych regulująca prawa i obowiązki Administratora (Ty) i Procesora (My, tomHRM)

Zobacz dokument ➜

Polityka prywatności

Polityka zasad przetwarzania danych osobowych w ramach korzystania z niniejszej strony WWW, newslettera itp.

Zobacz dokument ➜

Najczęściej zadawane pytania

Gdzie jest hostowana aplikacja tomHRM

Aplikacja tomHRM oraz wszelkie dane klientów są hostowane na terenie Unii Europejskiej, w centrach danych zlokalizowanych we Francji oraz Irlandii. Jako dostawcę podstawowej infrastruktury serwerowej wykorzystujemy OVH, natomiast do bezpiecznego przechowywania plików korzystamy z usługi Amazon Web Services (AWS) S3.

Wszystkie centra danych posiadają certyfikaty bezpieczeństwa, w tym ISO27001, SOC 2, SOC 3 i spełniają wymogi rozporządzenia GDPR 2016/679.

Co dzieje się z danymi po rozwiązaniu umowy z płatnym abonamentem

Po rozwiązaniu umowy z płatnym abonamentem:

  1. Dane pozostają na Koncie przez okres 6 miesięcy od daty wypowiedzenia, rozwiązania lub wygaśnięcia Umowy.
  2. Po upływie tego czasu Konto oraz wszystkie dane wprowadzone do Aplikacji są bezpowrotnie usunięte, bez możliwości ich odzyskania.
  3. Na żądanie Usługobiorcy, zgłoszone po złożeniu oświadczenia o wypowiedzeniu, Usługodawca w terminie do 21 dni roboczych może przekazać dane z Konta dotyczące Profili Użytkowników i/lub Kandydatów w formacie plików CSV.
  4. Usługobiorca może również w Formie Dokumentowej zażądać skrócenia terminu usunięcia danych.

Co dzieje się z danymi po wygaśnięciu konta testowego

Po upływie 30 dni od daty wygaśnięcia ważności Konta Testowego, Konto Testowe oraz wszystkie dane znajdujące się na Koncie są bezpowrotnie usunięte, bez możliwości ich odzyskania. Okres testowy trwa maksymalnie 30 dni kalendarzowych od momentu utworzenia konta.

Jak usuwane są dane

Dane usuwane są metodą anonimizacji. W procesie usuwania danych pliki usuwane są trwale.

Jakie są procedury tworzenia i zarządzania kopiami zapasowymi danych

  • Wykonywanie dwóch kopii zapasowych na dobę oraz raz kopia zapasowa kopii zapasowych
  • Przechowywanie kopii zapasowych w dwóch odrębnych regionach
  • Korzystanie z dwóch różnych dostawców usług przechowywania kopii
  • Cykliczne testy przywracania kopii zapasowych
  • Kopie zapasowe służą do odtworzenia danych w przypadku najpoważniejszych awarii

Czy tomHRM jest zabezpieczony przed atakami DDoS

Wykorzystujemy rozwiązanie Cloudflare oraz lokalne w obrębie infrastruktury serwerowej które dbają o łagodzenia skutków ataków DDoS.

Czy tomHRM umożliwia spełnienie obowiązków wynikających z RODO

Tak, tomHRM został zaprojektowany z uwzględnieniem wymogów RODO. Aplikacja umożliwia:

  • Realizację prawa dostępu do danych
  • Zarządzanie zgodami i ich wycofywanie
  • Korygowanie danych osobowych
  • Realizację prawa do bycia zapomnianym (usunięcie danych)
  • Eksport danych w ustrukturyzowanym formacie (CSV)
  • Śledzenie historii przetwarzania danych

Dostawca wspiera także Administratora w realizacji żądań osób, których dane dotyczą, poprzez odpowiednie środki techniczne i organizacyjne.

Jak wygląda polityka gwarancji dostępności usługi (SLA)

Usługodawca deklaruje dostępność Aplikacji na poziomie 99,95% czasu w skali Okresu Subskrypcyjnego. Wskaźnik ten nie obejmuje:

  • Problemów wynikających z infrastruktury informatycznej dostawców Usługodawcy lub firm trzecich
  • Problemów z infrastrukturą informatyczną Usługobiorcy
  • Zdarzeń siły wyższej
  • Okresów, w których Usługobiorca ma nieuregulowane płatności

Przerwy techniczne realizowane są w godzinach 20:00 – 6:00 w strefie czasowej Usługobiorcy. W przypadku przerwy technicznej trwającej dłużej, Usługobiorca ma prawo do wydłużenia Okresu Subskrypcyjnego o czas równy długości nadmiernej przerwy.

Jaka jest polityka przekazywania danych do państw trzecich

Dane są przechowywane przede wszystkim w centrach danych na terenie UE. W przypadku korzystania z usług podwykonawców spoza UE, zapewnione są odpowiednie zabezpieczenia:

  1. Stosowanie standardowych klauzul umownych
  2. W przypadku USA – podstawą prawną transferu są “Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework)

Administrator jest informowany o podwykonawcach i ma prawo do wyrażenia sprzeciwu wobec nowego podwykonawcy w terminie 21 dni od otrzymania informacji.

Czy nasza firma może przeprowadzić audyt bezpieczeństwa

Tak, prosimy o kontakt aby omówić szczegóły.

Czy nasza firma może przeprowadzić testy penetracyjne przed zakupem

Tak, prosimy o kontakt aby omówić szczegóły.

Masz pytania? Napisz  do nas

DOKUMENT DO POBRANIA

Bezpieczeństwo aplikacji tomHRM

Koncentrujemy się na przestrzeganiu najlepszych praktyk bezpieczeństwa. Dowiedz się więcej o naszej polityce bezpieczeństwa, prywatności danych, zgodności i zarządzaniu.

Pobierz PDF

Niniejszy dokument służy wyłącznie celom informacyjnym. Przedstawia on aktualne praktyki firmy ENNOVA (Producenta tomHRM) na dzień wydania niniejszego dokumentu, które mogą ulec zmianie bez powiadomienia. Niniejszy dokument nie tworzy żadnych gwarancji, oświadczeń, zobowiązań umownych, warunków ani zapewnień ze strony ENNOVA Sp.j. jego podmiotów stowarzyszonych, dostawców lub licencjodawców. Jedyne zobowiązania ENNOVA Sp.j. są określone w odpowiedniej umowie (umowach) między nim a jego klientami, a niniejszy dokument nie stanowi części ani nie modyfikuje takiej umowy (umów).