Sicherheitskultur
IT-Sicherheit und Datenschutz sind in der Kultur von PeopleWeek verankert. Sie liegen in der Verantwortung aller PeopleWeek-Mitarbeiter, und die Verantwortung beginnt beim Management-Team.
Organisation und Mitarbeiter
PeopleWeek hat eine Reihe von organisatorischen und personellen Maßnahmen ergriffen, um die Daten unserer Kunden zu schützen und die höchsten Standards des Datenschutzes einzuhalten:
- Alle PeopleWeek-Mitarbeiter erhalten zu Beginn ihrer Beschäftigung eine IT-Sicherheitsschulung sowie eine jährliche Auffrischungsschulung. Die Schulung beinhaltet einen Test, um sicherzustellen, dass alle unsere Teammitglieder den Inhalt verstanden haben
- Der Zugang zu den Kundendaten ist auf die Teammitglieder beschränkt, die darauf Zugriff haben müssen.
- PeopleWeek-Mitarbeiter, die Zugang zu Kundendaten haben, können dies nur unter Verwendung von doppelten Authentifizierungsprotokollen und über unser Unternehmensnetzwerk tun
- Die Computer der PeopleWeek-Mitarbeiter sind in ihrer Fähigkeit eingeschränkt, USB-Anschlüsse zu nutzen und zu drucken
Darüber hinaus hat das PeopleWeek-Kundensupportteam eine persönliche Beziehung zu unseren Kunden, die in der Regel Mitglieder des HR-Teams sind. Unser Support-Modell ist intim und kein „Call-Center“-Ansatz. Wenn eine Kundenanfrage nicht schnell per E-Mail geklärt werden kann, schalten wir einen Videoanruf ein. Diese Vertrautheit minimiert das Risiko, den Kunden zu kennen oder ihn zu identifizieren, z. B. bei einem betrügerischen Versuch, auf Kundendaten zuzugreifen.
Management-Praktiken
Das IT-Sicherheitskomitee von PeopleWeek trifft sich monatlich und stellt sicher, dass die Organisation proaktiv mit Risiken umgeht und über robuste Richtlinien, Verfahren und alltägliche Praktiken verfügt. Die Geschäftsführer von PeopleWeek sind Teil des IT-Sicherheitskomitees, was unser Engagement für die Sicherheit und unsere praktische Beteiligung widerspiegelt. PeopleWeek verfügt über dokumentierte Business-Continuity-Pläne (BCP) und Incident-Management-Prozesse.
Externe Beurteilungen und Zertifizierungen
PeopleWeek führt regelmässig Cybersicherheits-Audits und Penetrationstests für unsere Plattform durch. Wir halten uns an die Datenschutzgesetze, einschliesslich DSGVO und das Schweizerische Bundesgesetz über den Datenschutz. Die Kunden von PeopleWeek können eine Zusammenfassung der Ergebnisse unserer letzten externen Penetrationstests anfordern. PeopleWeek-Kunden können auch ihre eigenen, unabhängigen Penetrationstests unserer Plattform durchführen lassen.
Im Jahr 2022 erhielt PeopleWeek nach einem unabhängigen Audit als eines der ersten Unternehmen weltweit das Swiss Digital Trust Certificate. Das Zertifikat steht für die Vertrauenswürdigkeit eines digitalen Dienstes und folgt vier Kategorien und 35 technischen Kriterien.
Sicherheit der Anwendung
Die Anwendungsarchitektur von PeopleWeek wurde nach den OWASP®-Standards entwickelt. Open Web Application Security Project® ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Sicherheit von Software einsetzt. OWASP umreißt mehr als 80 kritische Sicherheitsrisiken für die Sicherheit von Webanwendungen. PeopleWeek hat diese Standards in sein Software-Design integriert und prüft seine Robustheit selbst.
Rollenbasierte Sicherheit und Datenschutz
Der Zugriff auf PeopleWeek basiert auf Benutzerrollen. Die einem Benutzer zugewiesene(n) Rolle(n) bestimmen die Zugriffsrechte der Person, also die Daten, die der Benutzer sehen kann.
Beispiele für Rollen sind Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter,, Ausbildungsleiter, Vergütungsmanager, Talent Manager, Rekrutierungsmanager, Spesenmanager, und Compliance Manager. Es gibt viele verschiedene Arten von Rollen in PeopleWeek und sie variieren auch je nach den vom Kunden erworbenen Modulen.
Diese Benutzerrollen sind im System fest codiert und werden nicht für verschiedene Clients angepasst. Dieser „eingebaute Datenschutz“ im Design von PeopleWeek minimiert die Möglichkeit eines Konfigurationsfehlers, der dazu führt, dass ein Benutzer die falsche Ebene des Datenzugriffs erhält. Wir glauben, dass dies unseren Kunden ein zusätzliches Maß an Sicherheit bietet.
Daten-Verschlüsselung
PeopleWeek verfügt über Verschlüsselung auf mehreren Ebenen: auf Infrastrukturebene (d. h. vollständige Festplattenverschlüsselung), auf Datenbankebene und auf Dateiebene.
Systemzugang (Einloggen)
PeopleWeek bietet ein natives Login, das anerkannten sicheren Passwortprotokollen folgt. PeopleWeek bietet auch eine Zwei-Faktor-Authentifizierung, einschließlich einer proprietären Anwendung zur Erzeugung zeitbasierter Einmalpasswörter (TOTP).
Viele PeopleWeek-Kunden haben sich für die Integration von PeopleWeek mit Azure Single Sign-On entschieden, was ihren Mitarbeitern eine bequeme Methode für den Zugriff auf das System bietet und mit Multifaktor-Authentifizierung (MFA) kombiniert werden kann.
Alle Anmeldemethoden funktionieren sowohl in der Web-Version als auch in der mobilen App-Version von PeopleWeek.
Physische Sicherheit (Rechenzentrum)
Alle PeopleWeek-Server werden in einem erstklassigen Rechenzentrum in der Schweiz gehostet.
Daten-Backup und -Wiederherstellung
PeopleWeek kann bis zu 30 Tage lang Kundendaten und -archive wiederherstellen. Es ist für Kunden auch möglich, eine längere Datenwiederherstellungsfrist in Anspruch zu nehmen (gegen zusätzliche Gebühren).
Der Ansatz von PeopleWeek zur Verwaltung von Client-Instanzen ermöglicht uns den Einsatz horizontal skalierbarer Ressourcen. Das heißt, wenn ein Hardware- oder Softwareproblem dazu führt, dass der Dienst für einen bestimmten Kunden nicht verfügbar ist, nutzt die Infrastruktur von PeopleWeek gepoolte Ressourcen, um die Last zu übernehmen und so einen unterbrechungsfreien Dienst bereitzustellen. Das Zusammenfassen von Serverressourcen bedeutet auch, dass Clientdaten kontinuierlich repliziert werden, um das potenzielle Datenverlustfenster in einem Notfallwiederherstellungsszenario zu minimieren.
Verfügbare Dokumente
PeopleWeek kann unseren Kunden und potenziellen Kunden die folgenden Dokumente zur Verfügung stellen:
- Schweizer Digitales Trust-Zertifikat
- IT-Sicherheits-, Datenschutz- und Vertraulichkeitsrichtlinien
- DSGVO / Swiss FDPA Konformitätserklärung
- Netzwerkdiagramm
- OWASP-Konformitätsergebnisse
- Richtlinie zur Geschäftskontinuität
- Erklärung zur Geschäftskontinuität
Kontakt
Der Information Security Manager & Data Protection Officer von PeopleWeek steht auch zur Verfügung, um sicherheitsbezogene Fragen zu beantworten (chris.parker@peopleweek.com).
Fragen und Antworten
Wie sicher ist PeopleWeek?
PeopleWeek nimmt die Datensicherheit sehr ernst. Unser Ziel ist es nicht nur, die gesetzlichen und regulatorischen Anforderungen zu erfüllen, sondern sie zu übertreffen und unsere Praktiken kontinuierlich an die sich entwickelnden Technologien und Risiken anzupassen.
Was ist die DSGVO-Richtlinie von PeopleWeek?
PeopleWeek hält sich an die GDPR und das Schweizerische Bundesgesetz über den Datenschutz (DSGVO). Wir sorgen dafür, dass unsere Mitarbeiter gut geschult sind und über die erforderlichen Instrumente verfügen, um die Anforderungen des Datenschutzes zu erfüllen. Unser IT-Sicherheitsausschuss trifft sich monatlich, um sicherzustellen, dass die Geschäftsleitung alle Aspekte der IT-Sicherheit im Auge behält und dass Sicherheit und Datenschutz in unseren Arbeitsabläufen und unserer Kultur verankert sind.
Wo finde ich die IT-Sicherheitspolitik von PeopleWeek?
Die IT-Sicherheits-, Datenschutz- und Datensicherheitsrichtlinien von PeopleWeek können auf Wunsch mit Kunden und Interessenten geteilt werden.
Wo werden die Daten von PeopleWeek gespeichert?
Alle Kundendaten und -dateien werden in erstklassigen Rechenzentren in der Schweiz gehostet.
Verfügt PeopleWeek über Backup-Server?
PeopleWeek hat eine 30-tägige Datenaufbewahrungspraxis. Kunden können längere Aufbewahrungsfristen beantragen (gegen zusätzliche Gebühren). Alle Kundendatenbanken und -dateien sowie Backup-Server werden in der Schweiz gehostet.
Verfügt PeopleWeek über eine Verschlüsselung im Ruhezustand?
PeopleWeek bietet Verschlüsselung auf mehreren Ebenen: auf Infrastrukturebene (d.h. vollständige Festplattenverschlüsselung), auf Datenbankebene und auf Dateiebene.
Verwendet PeopleWeek Verschlüsselung?
PeopleWeek verwendet Verschlüsselung bei der Übertragung und Verschlüsselung im Ruhezustand. Die Verschlüsselung erfolgt auf der Ebene der Festplatte, der Datenbank und der Dateien.
Speichert PeopleWeek Protokolle?
PeopleWeek speichert und überwacht verschiedene Logs auf Anwendungs- und Systemebene. Darüber hinaus speichert PeopleWeek ein detailliertes Audit-Protokoll der in der Anwendung stattfindenden Geschäftstransaktionen, das den Kunden auf Anfrage zur Verfügung gestellt werden kann.
Wer ist der Datenschutzbeauftragte von PeopleWeek?
chris.parker@peopleweek.com (Chief Information Security Officer und Datenschutzbeauftragter)
Verfügt PeopleWeek über einen Business-Continuity-Plan (BCP)?
Der BCP von PeopleWeek kann bei Bedarf mit Kunden und Interessenten geteilt werden.
Bietet PeopleWeek eine Integration mit Azure SSO an?
Ja
Folgen Aktualisierungen der Produktionsumgebungen von PeopleWeek einem dokumentierten Änderungsprozess?
PeopleWeek folgt einem strengen Change-Management-Prozess für alle System-Updates. Alle Änderungen werden in Änderungsprotokollen festgehalten.
Haben Sie kürzlich Audits durch Dritte durchgeführt?
Im Mai 2022 wurde PeopleWeek nach einem umfassenden unabhängigen Audit mit dem Digital Trust Label zertifiziert. Das DTL ist eine Zertifizierung der digitalen Verantwortlichkeit. Die Prüfungskriterien und das Zertifikat können auf Anfrage eingesehen werden. Für die Zertifizierung ist ein jährliches Audit erforderlich. PeopleWeek unterzieht sich auch jährlichen Penetrationstests mit renommierten externen Cybersicherheitsunternehmen.
Führt PeopleWeek Schwachstellen-Scans oder Penetrationstests durch?
PeopleWeek führt in regelmäßigen Abständen interne Schwachstellen-Scans durch, um unsere Anwendung und Infrastruktur zu testen. Zusätzlich wird jährlich ein unabhängiger Penetrationstest von einem externen Schweizer Cybersicherheitsunternehmen durchgeführt, um eventuelle Schwachstellen zu identifizieren.
Kann PeopleWeek seine Penetrationstestergebnisse teilen?
Ein zusammenfassender Bericht kann auf Wunsch mit Kunden und Interessenten geteilt werden.
Wie melde ich PeopleWeek ein Sicherheitsproblem?
Senden Sie eine E-Mail an admin@PeopleWeek .com
Wie verwaltet PeopleWeek Vorfälle?
PeopleWeeks Richtlinien für das Incident Management können auf Anfrage mit Kunden und Interessenten geteilt werden.
Wer bei PeopleWeek hat Zugriff auf Kundendaten?
Der Zugang zu den Kundendaten ist auf Personen beschränkt, die aufgrund ihrer Funktion Zugang haben müssen, um die vereinbarten Dienstleistungen und den Support für den Kunden zu erbringen. PeopleWeek setzt eine Reihe von Sicherheitsprotokollen ein, um einen sicheren Zugang zu gewährleisten, darunter die Beschränkung des Zugangs über ein Unternehmensnetzwerk und die Verwendung einer Mehrfaktor-Authentifizierung.
Wie stellt PeopleWeek sicher, dass seine Mitarbeiter die gesetzlichen Bestimmungen zum Datenschutz einhalten?
PeopleWeek schult seine Mitarbeiter regelmäßig zu Themen der Informationssicherheit und des Datenschutzes.
Was passiert, wenn es bei PeopleWeek zu einer Datenverletzung kommt?
Im unwahrscheinlichen Fall einer Datenschutzverletzung oder eines möglichen Datenschutzverstoßes befolgt PeopleWeek seine Richtlinien zum Umgang mit Vorfällen. Unsere Richtlinie für das Management von Vorfällen umfasst Protokolle für die Kommunikation mit Kunden und Aufsichtsbehörden.
Wie funktioniert die Benutzerauthentifizierung?
PeopleWeek bietet zwei verschiedene Arten der Benutzerauthentifizierung an:
1) Anmeldung mit dem PeopleWeek-eigenen Login, das Sicherheitsprotokolle wie eindeutige Benutzernamen, komplexe Passwörter und Unterstützung für die Aktivierung oder Vorgabe einer eingebauten „Time-based One-Time Password“ (TOTP) einhält. PeopleWeek hat seine eigene TOTP-Anwendung.
2) Azure Single Sign-On (SSO)
Wer hat Zugang zu den Daten auf der Kundenseite und wie werden sie getrennt?
PeopleWeek ist auf der Grundlage eines rollenbasierten Zugriffs konzipiert, d.h. je nach Rolle des Benutzers sind unterschiedliche Daten sichtbar, z.B. Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter, Spesenmanager, Ausbildungsleiter, Compliance Manager, Rekrutierungsmanager, usw.
Wie stellt PeopleWeek die Verfügbarkeit des Systems sicher?
Die Infrastruktur von PeopleWeek wurde entwickelt, um die Leistung, Zuverlässigkeit und Langlebigkeit für alle Kunden zu optimieren. Wir verfügen über integrierte Redundanz- und Replikationsmöglichkeiten durch das Design unserer Datenbank-, Datei- und Serverarchitektur. Dies wird durch unsere Anwendungs- und Infrastruktursicherheit sowie ausgereifte Arbeitspraktiken untermauert.
Was geschieht mit den Kundendaten im Falle eines Totalausfalls des Systems (z.B. höhere Gewalt)?
Im unwahrscheinlichen Fall eines Totalausfalls von PeopleWeek können 30 Tage gesicherter Daten wiederhergestellt werden. Da Kundendaten mithilfe unserer gepoolten Ressourcen kontinuierlich repliziert werden, wird das Zeitfenster für mögliche Datenverluste in einem Notfallwiederherstellungsszenario minimiert.
Wer ist Eigentümer der Kundendaten in PeopleWeek?
Der Kunde ist Eigentümer und Verfügungsberechtigter über seine in PeopleWeek gespeicherten Daten.
Was geschieht, wenn ein Kunde seinen Vertrag mit PeopleWeek kündigt?
Bei Beendigung des Vertragsverhältnisses wird PeopleWeek dem Kunden innerhalb von 30 Tagen seine Daten in einem maschinenlesbaren Format aushändigen. Die Daten werden dann von PeopleWeek unwiederbringlich gelöscht.