Technická špecifikácia a zabezpečenie

Softvér ako službaOchrana osobných údajovZabezpečenieSúlad s GDPR

Teamio je plne modulárny, multitenantný webový systém na správu uchádzačov s mobilnou aplikáciou.

Uľahčuje efektívne zdieľanie informácií medzi spoločnosťami a záujemcami o zamestnanie. Umožňuje zastrešenie celého náborového procesu v spoločnosti, hľadanie uchádzačov, ktorí spĺňajú zadané požiadavky, uverejňovanie inzerátov, uchovávanie histórie komunikácie s vhodnými uchádzačmi, vedenie výberových konaní a pohovorov s tímlídrami a mnoho ďalšieho. Všetko, samozrejme, v súlade s legislatívou EÚ. Je to bezpečné. Efektívne. Pohodlné. Je to Teamio.

Teamio je prevádzkované ako SaaS (Softvér ako služba), čo jednoducho znamená:

  • funguje na súkromnom cloude
  • nachádza sa v niekoľkých dátových centrách, aby bola zaistená vysoká dostupnosť
  • servery a dáta Teamia sú umiestnené v niekoľkých dátových centrách v EÚ
  • Alma Career ako poskytovateľ aplikačných služieb (ASP) zabezpečuje nepretržitú prevádzku

Prístupové obmedzenia

  • Používateľské údaje sú dostupné iba obmedzenej skupine autorizovaných zamestnancov.
  • Pokiaľ ide o citlivé údaje, bezpečnostné opatrenia vždy zahŕňajú úplné sledovanie operácií a aktivít spojených s identitou operátora.

Oddelenie rolí

Pri spracovaní používateľských požiadaviek rozoznávame tieto roly:

  • Zákaznícka podpora [40+] – prijíma požiadavky od zákazníkov a snaží sa ich spracovať (v prvej línii)
  • Podpora [20+] – technický podporný personál (druhá línia spracovateľského reťazca)
  • Obchodné oddelenie [20+] – rieši funkčné požiadavky na produkty, kampane atď. (3. riadok)
  • Správa systémov [10+] – udržiava technické zdroje (servery, zálohy…)

Roly opísané vyššie musia (alebo potenciálne môžu) mať prístup k časti/kompletným používateľským dátam. Orientačný počet zamestnancov je úmerný veľkosti podpory, ktorá musí nevyhnutne pristupovať k citlivým údajom.

Vymazanie osobných údajov

Existujú dva spôsoby, ako vymazať osobné údaje uchádzača:

1) Ručné vymazanie

Existuje možnosť vymazať uchádzača (všetky edície). Sú dva spôsoby, ako to urobiť – prostredníctvom Hľadania uchádzačov alebo v Karte uchádzača.
Vymazaný uchádzač zmizne zo všetkých zobrazení vrátane histórie, poznámok, štítkov a pod. Je to nevratný krok. Uchádzač je tiež odstránený z našej databázy, a tak zmizne zo všetkých prepojených pozícií.

2) Automatické odstránenie

  • Teamio Mini edition – Všetci uchádzači sú automaticky vymazaní po archivácii pozície.
  • Teamio Professional, Teamio Enterprise, Teamio Solo, Teamio Essential – Uchádzači sú vymazaní iba vtedy, ak nedali súhlas so spracovaním súvisiacich osobných údajov (6 mesiacov po prvom kontakte) alebo po vypršaní súhlasu uchádzača (ak ho uchádzač udelil zamestnávateľovi skôr). Inak každý kontakt zostáva v databáze klienta v Teamiu, kým platí súhlas na jeho spracovanie.

Každý klient si môže zvoliť individuálnu lehotu platnosti súhlasu.

Vymazanie osobných údajov je vždy nevratný krok.

Obnovenie vymazaných uchádzačov nie je možné, pretože všetky súvisiace údaje sú trvalo anonymizované.

Neexistuje žiadny spôsob, ako ďalej zhromažďovať akékoľvek informácie (vrátane väčšiny auditných informácií) o vymazanom uchádzačovi či súvisiacich aktivitách.

Jedinou výnimkou je protokol súhlasu (pozri sekcia auditu nižšie).

Technické bezpečnostné opatrenia

  • Prístup používateľa je zabezpečený prostredníctvom šifrovaného pripojenia
  • Na prihlásenie používateľa používame dvojfaktorové overenie
  • Neprodukčné (vývojové/testovacie) prostredie je oddelené od produkčných dát
  • Používateľské dáta sú obmedzené na produkciu, neprodukčné prostredie používa syntetický dátový korpus s anonymizovanými dátami
  • Aktivity súvisiace so zabezpečením v produkčných systémoch sú monitorované, zaznamenávané a časovo vyhodnocované
  • Aktivácia komponentov/služieb (na žiadosť používateľa) je vždy overená na strane Alma Career
  • Teamio sa neustále vyvíja a testuje (funkčnosť a zároveň zabezpečenie)
  • Aktualizácie a opravy sú zavádzané na dennej báze (alebo skôr v prípade vážnych problémov)

Používateľská podpora

Žiadosti o podporu sú zhromažďované a zaznamenávané pomocou služieb Liveagent a Intercom a spracovávané tímom zákazníckej podpory v čo najkratšom možnom čase, počas štandardného pracovného času (Po – Pia, 8.00 – 17.00 CET, Praha).

Kontakty:

  • pomuzeme@teamio.com (CZ, EN)
  • pomozeme@teamio.com (SK, EN)
  • pomoc@teamio.com (PL, EN)
  • Tel.: +420 224 810 055 (CZ, EN)
  • Tel.: +421 2 33 00 67 91 (SK, EN)

Kompatibilita a minimálne požiadavky

  • Teamio je prístupné prostredníctvom webového prehliadača (je kompatibilné s hlavnými prehliadačmi – Firefox, Chrome, Explorer/Edge, Safari)
  • je vyžadovaná podpora JavaScriptu a cookies
  • náš tím odporúča Google Chrome

Prenášané údaje

Webový prístup umožňuje iba pripojenie HTTPS (šifrované).

  • protokol TLS 1.2 je vynútený
  • certifikát SSL X509v3 je podpísaný dôveryhodnými certifikačnými autoritami (prijímanými všetkými hlavnými webovými prehliadačmi)
  • klientsky certifikát nie je vyžadovaný

Oddelenie jednotlivých klientskych relácií je zabezpečené mechanizmom cookies.

Celá prevádzka produkčného systému v oboch smeroch je filtrovaná a HTTPS je povolené iba na interakciu s používateľom a šifrovaný prístup (protokol SSH s overením kľúčom) na údržbu/aktualizáciu aplikácie.

Overenie

Overenie používateľa (prihlásenie) zahŕňa dvojfaktorový, formulárový mechanizmus (používateľ/heslo) s kódom zaslaným na kontaktnú e-mailovú adresu používateľa (alebo inú možnosť) pre dvojité schválenie.

Používateľské účty sú považované za individuálne (Alma Career dôrazne neodporúča zdieľanie účtov medzi viacerými používateľmi).

Počet pokusov o prihlásenie do systému pomocou konkrétnej používateľskej identity je dynamicky obmedzený, aby sa zabránilo hrubým útokom na heslá. Nezašifrované heslo nie je nikdy uložené a je prítomné iba v pamäti v čase prihlásenia používateľa. Heslá sú uložené iba v hashovanej podobe. Hashovací algoritmus je neustále upravovaný, aby reagoval na aktuálny stav technológie.

Prihlasovacie parametre musia spĺňať zásady hesiel. Aktuálne nastavenia sú nasledujúce:

  • používateľské meno je jedinečný identifikátor (možno tiež použiť e-mailovú adresu)
  • minimálna nutná dĺžka hesla je 8 znakov, maximálna je obmedzená na 128 znakov
  • je vynútená zložitosť hesla (kombinácia aspoň dvoch znakových sád číslic, znakov, špeciálnych znakov)
  • takzvané triviálne heslá (číselné/znakové série, napr. 123456, abcdef) sú odmietnuté
  • počiatočné heslo (po nastavení používateľa/nastavení hesla operátorom) musí byť pri ďalšom prihlásení zmenené
  • zmena hesla nie je vynútená (t. j. heslo nestratí platnosť), preto sa história použitých hesiel nezaznamenáva
  • algoritmus pre hashovanie hesiel je PBKDF2(HMAC-SHA256) s 1 miliónom iterácií, s použitím individuálneho zabezpečenia „salted hash“
  • 5 neúspešných pokusov o prihlásenie zablokuje daný používateľský účet na jednu hodinu.

Autorizácia (Používateľské roly)

Každý používateľ Teamia má definovanú rolu, s ktorou ide ruka v ruke jedinečná skupina oprávnení a prístupov k rôznym funkciám a častiam Teamia pre daného klienta. Nového používateľa môže pozvať k účtu klienta kolega, ktorý má oprávnenie na onboarding nových používateľov a prideľovanie oprávnení. Používateľ si môže vybrať preddefinovanú rolu alebo si vytvoriť vlastnú, jedinečnú rolu.

Definované sú nasledujúce používateľské roly (dostupnosť závisí od edície Teamio):

  • HR Manažér – má prístup ku všetkým zadaným inzerátom a ku všetkým odpovediam na tieto inzeráty. Môže zmeniť nastavenie profilu spoločnosti (šablóny, záhlavie atď.). Môže si nastaviť ľubovoľnú kombináciu nasledujúcich práv:
    • prístup k štatistikám služby,
    • prístup k náborovým štatistikám,
    • prístup k správe kreditov,
    • správa používateľských účtov.
  • Náborár – má prístup iba k inzerátom, ktoré sám zadal, a odpovediam na ne. Nemá právo meniť nastavenia profilu spoločnosti. Táto rola má nasledujúce práva:
    • prístup k zdieľanému fondu uchádzačov, vrátane prístupu k tým od iných náborárov (v rámci firemnej administrácie), ktorí boli predvybraní, bol s nimi vedený pohovor alebo sa pripojili.
    • prístup k prichádzajúcim správam (ak edícia obsahuje službu Inbox).
  • Náborár (bez možnosti míňať kredity) – líši sa iba v tom, že má zablokované kredity (napr. platba kreditmi za uverejnenie inzerátu, odhalenie životopisu v databáze atď.).
  • Líniový manažér – má prístup iba k uchádzačom o pracovné pozície, ktoré s ním boli zdieľané. Nemá právo meniť nastavenia profilu spoločnosti alebo pracovať s inzerátom. Táto rola môže:
    • pridávať komentáre,
    • pozývať uchádzačov na pohovory.

Vlastná rola (custom rola) môže mať jedinečný prístup a oprávnenia podľa preferencií používateľa a spoločnosti.

Dáta v pokoji

Kód Teamio beží v sandboxe na aplikačných serveroch WildFly postavených na spevnených operačných systémoch Linux.

Všetky komponenty bežia virtualizovane (OpenStack) na súkromnom cloudovom riešení, aby bola zaistená vysoká dostupnosť a rýchle možnosti obnovy v prípade havárie.

Hlavná časť dát je uložená v záložnej databáze s vysokou dostupnosťou (PostgreSQL).

Dáta sú neustále synchronizované a zrkadlené na viacerých miestach a zálohy sú tiež vykonávané pravidelne.

Zálohy prebiehajú podľa definovaného plánu (retencia je implicitne nastavená na 14 dní):

  • Všetky servery sú zálohované poskytovateľom cloudu vo forme snímkovania zväzku.
  • Zálohovanie transakčného protokolu je nepretržité (aby bolo zaistené obnovenie dát do jedného pracovného dňa od havárie).
  • Cloudová platforma sa sníma denne, každé 4 hodiny.
  • Úplná záloha dát sa vykonáva raz týždenne.

Používa sa viacúrovňový zálohovací systém:

  • online replikácia dát na viac miest
  • záloha samotného súkromného cloudu
  • interné záložné systémy

Sledovanie a dohľad

Monitorovanie operácií beží nepretržite (24/7).

Stav je denne sledovaný (a akékoľvek problémy oznámené) (7.00 – 22.00 CET):

  • Na kontrolu stavu sa využívajú externé monitorovacie služby a interné systémy.
  • Ak chcete skontrolovať trojmesačnú históriu prevádzky hlavných vstupných bodov Teamia, navštívte  http://stats.pingdom.com/xxltcf7m2rk7

Vývojový cyklus

Vývojové, integračné a testovacie prostredia sú plne virtualizované a bežia na súkromnej cloudovej platforme. Prostredia sú logicky rozdelené (firewallom). Prístupové práva k jednotlivým prostrediam sú rôzne. Ako už bolo povedané, produkčné prostredie je úplne oddelené (fyzicky) od neprodukčných prostredí.

Plánovanie, vývoj a testovanie akýchkoľvek aktualizácií/nových verzií Teamia prebiehajú v rámci agilného vývoja (cyklujeme pomocou SCRUM Sprintov).

Všetky použité komponenty (vrátane tých vyvinutých interne) sú pred nasadením do produkcie testované z hľadiska stability, dostupnosti a bezpečnosti, aby bola vždy zaistená podpora dodávateľa/výrobcu platformy.

V prípade zistených bezpečnostných chýb sú aktualizácie (záplaty/opravné balíčky) aplikované po testovaní v čo najkratšom čase.

Testovanie prebieha v kontinuálnom a viacúrovňovom vývojovom režime:

  • Pred prijatím akejkoľvek zmeny v zdrojovom kóde prebieha kontrola vývojárov (miestny Lint a princíp štyroch očí).
  • V rámci kontroly kvality kódu sa vykonáva statická analýza kódu (pomocou nástrojov na kontrolu kódu).
  • Aplikácia je ďalej kontrolovaná (ešte v predprodukčnej fáze) pomocou dynamickej analýzy (pomocou špecializovaných nástrojov na penetračné testovanie).
  • Pravidelné (každoročné) nezávislé hodnotenie bezpečnosti aplikácií (prostredníctvom penetračného testovania) vykonávajú aj špecializované tretie strany.

Keď testy dopadnú dobre, začne sa riadený proces nasadzovania softvéru a nový kód sa presunie do produkcie. Ide o plne automatizovaný nasadzovací proces (nie sú povolené manuálne zásahy) s úplným sledovaním auditu (zabezpečí sa tak návrat k poslednej dobrej verzii, ak by nasadenie zlyhalo).

Audit

Záznamy o audite sú vytvárané s cieľom sledovania všetkých významných aktivít používateľov. Audit (protokolovanie) je vrstvený, zostupuje z úrovne aplikácie na systém takto:

  • História (používateľských aktivít)
  • Obchodný protokol
  • GDPR protokol
  • Protokol zabezpečenia
  • Aplikačný protokol
  • Systémový protokol
  • Protokol súhlasu

Každý záznam je zviazaný s časovou pečiatkou a identitou používateľa. Záznamy sú uchovávané v protokole/-och v lehote stanovenej pre konkrétnu audítorskú stopu, no aspoň 180 dní.

História

Podrobné informácie o používateľských aktivitách (napr. dôvody odmietnutia, „značka“, z ktorej bola odpoveď doručená atď.) v súčasnosti pochádzajú z modulov:

  • Aktivity uchádzača
    Môžete kliknúť na záložku Uchádzači/Detail kdekoľvek v Zozname uchádzačov. Je tam tiež zobrazená história odpovedí – vzťahuje sa na konkrétnu náborovú kampaň, ktorú si prezeráte. Ak si želáte zobraziť celú históriu uchádzača v Teamiu v Detaily odpovede, kliknite na odkaz Celá história.
  • Náborová činnosť
    V zozname aktívnych pozícií kliknite na názov pozície – dostanete sa na záložku Podrobnosti náboru (úplne nové zobrazenie).  Nájdete tam najdôležitejšie informácie o celej náborovej kampani a záznamy aktivít súvisiace s inzerátmi, konkrétne v sekcii História inzerátov.
  • Aktivity nad rámec používateľov spoločnosti
    Na požiadanie poskytujeme ďalší záznam aktivít (nie je zahrnuté vo vašom zobrazení). Týka sa to správy používateľov v rámci vašej registrácie. Záznam uchovávame počas 5 mesiacov. Obsahuje:
    • prevod administrátorských práv,
    • zmeny stavu používateľa,
    • zmeny prihlasovacieho mena spoločnosti.

Obchodný protokol

Podrobné informácie o konkrétnych používateľských akciách/automatizovaných systémových akciách (aktuálne je registrovaných viac než 700 rôznych typov udalostí – operácie s pozíciami, uchádzačmi, servisnými objednávkami atď.).

Protokol zabezpečenia

Informácie o akciách súvisiacich so zabezpečením (napr. výsledok overenia atď.).

Systémový protokol

Nízkoúrovňové udalosti v aplikácii:

  •   HTTP požiadavky
  •   prístup k databáze
  •   informácie o meraní výkonu
  •   chyby aplikácie

Protokol súhlasu so spracovaním osobných údajov (súvisiace s GDPR)

Informácie uchovávame v záznamoch počas desiatich rokov.

Obsahuje:

  • Meno, priezvisko, e-mailovú adresu uchádzača
  • IČO
  • Dátum súhlasu/nesúhlasu
  • Odporúčanie

Podrobnejšie informácie nájdete v sekcii GDPR.

Zaistenie bezpečnosti

Všetky hlavné princípy, opatrenia a technické riešenia používané na bezpečný vývoj a prevádzku Teamia a ochranu citlivých používateľských dát sú uvedené na tejto stránke.

Našim obchodným partnerom na vyžiadanie poskytujeme podrobný opis bezpečnostných opatrení Alma Career vo formáte definovanom normou ISO/IEC 27001.

Táto úroveň poskytovania bezpečnostných informácií tretím stranám je konečná (žiadne ďalšie informácie, ako sú testovacie správy, interné bezpečnostné pokyny atď., z Alma Career neodídu).

Vyhlásenie o zhode

Potvrdzujeme, že nami poskytovaná webová služba je vyvíjaná v súlade so súčasnými znalosťami o bezpečnosti aplikácií.

V rámci procesu riadenia rizík pravidelne identifikujeme riziká pre naše služby spôsobené potenciálnou zraniteľnosťou a zavádzame opatrenia na ich potlačenie.

Služba je pravidelne podrobovaná bezpečnostným auditom podľa kritérií  OWASP ASVS úrovne 3 (OWASP Application Security Verification Standard), aby bola zaručená odolnosť služby voči známym zraniteľnostiam, pravidelne definovaným v  OWASP Top 10 rebríčku.

Závažnosť zraniteľností je hodnotená podľa metodiky  CVSS Base Metric Group a podľa našich kritérií nesmú produkčné služby obsahovať zraniteľnosti vyššie než nízke (na stupnici žiadna-nízka-stredná-vysoká-kritická).

Z princípu neposkytujeme žiadne ďalšie materiály ani podrobnejšie informácie o našich bezpečnostných opatreniach.

Spracovanie a ochrana používateľských údajov je zabezpečená v súlade s legislatívou EÚ (GDPR).

Všetky zistené porušenia ochrany citlivých (osobných) údajov sú hlásené tak dozornému orgánu, ako aj subjektu údajov v rámci oznamovacej povinnosti (podľa GDPR).

Rozsah a obsah správy sú presne legislatívne vymedzené – Nariadením EÚ 2016/679, článkami 33, 34, ktoré prísne dodržiavame.

Celý text smernice GDPR je k dispozícii na oficiálnych stránkach Európskej komisie.

Teamio/Alma Career spracovávajú osobné údaje uchádzačov, ktorí reagujú na pracovné ponuky. Správcovia údajov súvisiaci s týmito informáciami sú však zamestnávatelia, ktorí zverejňujú ponuky pracovných miest.

Spracovateľ údajov

Našou zodpovednosťou je spracovávať osobné údaje uchádzačov pre klientov (správcov údajov).

Teamio/Alma Career sú zodpovední za:

  • Správu platformy, ktorá umožňuje spracovanie údajov uchádzačov.
  • Tieto údaje spracovávame na základe vašich pokynov a v súlade so zmluvou s vami ako správcom údajov.
  • Berieme do úvahy povahu spracovania údajov o uchádzačoch využitím vhodných technických a organizačných opatrení, aby sme zaistili, že naše spracovanie údajov spĺňa požiadavky GDPR a zaisťuje ochranu práv uchádzačov.
  • Dbáme na to, aby boli na strane spracovateľa údaje o uchádzačoch spracovávané výhradne osobami viazanými dohodou o mlčanlivosti.
  • Poskytujeme spoluprácu potrebnú na zabezpečenie adekvátneho spracovania osobných údajov správcom údajov.

Správca údajov

t. j. zamestnávateľ, ktorý zhromažďuje informácie o uchádzačoch počas náborovej kampane.

Správca údajov je zodpovedný za to, aby:

  • Boli zavedené adekvátne technické a organizačné opatrenia, ktoré uľahčujú preukázanie súladu spracovania vašich údajov s GDPR.
  • Spracovával iba také osobné údaje, ktoré sú nevyhnutné pre daný, vopred definovaný, konkrétny cieľ (napríklad náborový proces).
  • Keď dve spoločnosti zdieľajú registráciu v Teamiu, sú tieto dve spoločnosti považované za spoločných správcov z hľadiska GDPR. Musia sa medzi sebou rozhodnúť, ktorá z nich je zodpovedná za ktorú časť spracovania údajov, najmä v spojení s uplatňovaním práv subjektov údajov.

Subjekty údajov

Uchádzači sú tiež „subjekty údajov“, pretože ich môžeme (ne)priamo identifikovať pomocou ich osobných údajov.

Osobné údaje

Informácie spojené so subjektom údajov. Môže ísť o meno, e-mailovú adresu, telefónne číslo, životopis, poznámky, štítky alebo zaznamenané akcie.

Spracovanie údajov

Činnosti vykonávané s osobnými údajmi správcom alebo spracovateľom údajov; tieto sú plne alebo čiastočne automatizované (zber, zaznamenávanie, organizovanie, ukladanie a mazanie).

Existujú dva samostatné režimy spracovania osobných údajov

  • Spracovanie osobných údajov na základe účelu, v tomto prípade odpoveď na pracovnú ponuku. Tento účel je platný maximálne 6 mesiacov.  Počas tohto obdobia môžete zahrnúť uchádzačov do výberového konania na pracovnú pozíciu, o ktorú sa uchádzali, alebo im ponúknuť inú relevantnú prácu. Tiež dáme uchádzačom vedieť, ako budú ich údaje spracované pre vás. Naši právnici už schválili znenie oznámenia, ktoré bude zahrnuté v inzerátoch.
  • Spracovanie osobných údajov na základe dobrovoľného súhlasu, nad rámec spracovania s cieľom náboru. To vám umožní spracovávať osobné údaje vašich uchádzačov počas 3 rokov. Nové formuláre súhlasu už boli vylepšené našimi právnikmi a teraz ich testujeme priamo s uchádzačmi.

Ako dlho môžete uchádzača evidovať v Teamiu?

Množstvo času je vždy obmedzené.

Uchádzač, ktorý vám neposkytol dobrovoľný súhlas, môže zostať v databáze Teamia maximálne 6 mesiacov. Potom bude automaticky vymazaný po archivácii inzerátu alebo po uplynutí 6 mesiacov.

Uchádzač, ktorý vám poskytol dobrovoľný súhlas (nad rámec náborového procesu), môže zostať vo vašej databáze až 3 roky.

Navyše budete vždy vedieť, kedy prestane platiť súhlas uchádzača so spracovaním osobných údajov – upozorníme vás 2 mesiace vopred.

Poverená osoba pre ochranu osobných údajov

Nenašli ste odpoveď na svoju otázku týkajúcu sa GDPR? Opýtajte sa nášho špecialistu na ochranu osobných údajov:
Ján Jaroš: dpo@almacareer.com