PeopleWeek kombiniert alle Funktionen eines Unternehmensintranets, eines digitalen Arbeitsplatzes und HR-Tools über den gesamten Mitarbeiterlebenszyklus hinweg.
Lassen Sie uns verbinden
Route de la Drague 18, 1950 Sitten, Schweiz
IT-Sicherheit und Datenschutz sind in der Kultur von PeopleWeek verankert. Sie liegen in der Verantwortung aller PeopleWeek-Mitarbeiter, und die Verantwortung beginnt beim Management-Team.
PeopleWeek hat eine Reihe von organisatorischen und personellen Maßnahmen ergriffen, um die Daten unserer Kunden zu schützen und die höchsten Standards des Datenschutzes einzuhalten:
Darüber hinaus hat das PeopleWeek-Kundensupportteam eine persönliche Beziehung zu unseren Kunden, die in der Regel Mitglieder des HR-Teams sind. Unser Support-Modell ist intim und kein „Call-Center“-Ansatz. Wenn eine Kundenanfrage nicht schnell per E-Mail geklärt werden kann, schalten wir einen Videoanruf ein. Diese Vertrautheit minimiert das Risiko, den Kunden zu kennen oder ihn zu identifizieren, z. B. bei einem betrügerischen Versuch, auf Kundendaten zuzugreifen.
Das IT-Sicherheitskomitee von PeopleWeek trifft sich monatlich und stellt sicher, dass die Organisation proaktiv mit Risiken umgeht und über robuste Richtlinien, Verfahren und alltägliche Praktiken verfügt. Die Geschäftsführer von PeopleWeek sind Teil des IT-Sicherheitskomitees, was unser Engagement für die Sicherheit und unsere praktische Beteiligung widerspiegelt. PeopleWeek verfügt über dokumentierte Business-Continuity-Pläne (BCP) und Incident-Management-Prozesse.
PeopleWeek führt regelmässig Cybersicherheits-Audits und Penetrationstests für unsere Plattform durch. Wir halten uns an die Datenschutzgesetze, einschliesslich DSGVO und das Schweizerische Bundesgesetz über den Datenschutz. Die Kunden von PeopleWeek können eine Zusammenfassung der Ergebnisse unserer letzten externen Penetrationstests anfordern. PeopleWeek-Kunden können auch ihre eigenen, unabhängigen Penetrationstests unserer Plattform durchführen lassen.
Im Jahr 2022 erhielt PeopleWeek nach einem unabhängigen Audit als eines der ersten Unternehmen weltweit das Swiss Digital Trust Certificate. Das Zertifikat steht für die Vertrauenswürdigkeit eines digitalen Dienstes und folgt vier Kategorien und 35 technischen Kriterien.
Die Anwendungsarchitektur von PeopleWeek wurde nach den OWASP®-Standards entwickelt. Open Web Application Security Project® ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Sicherheit von Software einsetzt. OWASP umreißt mehr als 80 kritische Sicherheitsrisiken für die Sicherheit von Webanwendungen. PeopleWeek hat diese Standards in sein Software-Design integriert und prüft seine Robustheit selbst.
Der Zugriff auf PeopleWeek basiert auf Benutzerrollen. Die einem Benutzer zugewiesene(n) Rolle(n) bestimmen die Zugriffsrechte der Person, also die Daten, die der Benutzer sehen kann.
Beispiele für Rollen sind Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter,, Ausbildungsleiter, Vergütungsmanager, Talent Manager, Rekrutierungsmanager, Spesenmanager, und Compliance Manager. Es gibt viele verschiedene Arten von Rollen in PeopleWeek und sie variieren auch je nach den vom Kunden erworbenen Modulen.
Diese Benutzerrollen sind im System fest codiert und werden nicht für verschiedene Clients angepasst. Dieser „eingebaute Datenschutz“ im Design von PeopleWeek minimiert die Möglichkeit eines Konfigurationsfehlers, der dazu führt, dass ein Benutzer die falsche Ebene des Datenzugriffs erhält. Wir glauben, dass dies unseren Kunden ein zusätzliches Maß an Sicherheit bietet.
PeopleWeek verfügt über Verschlüsselung auf mehreren Ebenen: auf Infrastrukturebene (d. h. vollständige Festplattenverschlüsselung), auf Datenbankebene und auf Dateiebene.
PeopleWeek bietet ein natives Login, das anerkannten sicheren Passwortprotokollen folgt. PeopleWeek bietet auch eine Zwei-Faktor-Authentifizierung, einschließlich einer proprietären Anwendung zur Erzeugung zeitbasierter Einmalpasswörter (TOTP).
Viele PeopleWeek-Kunden haben sich für die Integration von PeopleWeek mit Azure Single Sign-On entschieden, was ihren Mitarbeitern eine bequeme Methode für den Zugriff auf das System bietet und mit Multifaktor-Authentifizierung (MFA) kombiniert werden kann.
Alle Anmeldemethoden funktionieren sowohl in der Web-Version als auch in der mobilen App-Version von PeopleWeek.
Alle PeopleWeek-Server werden in einem erstklassigen Rechenzentrum in der Schweiz gehostet.
PeopleWeek kann bis zu 30 Tage lang Kundendaten und -archive wiederherstellen. Es ist für Kunden auch möglich, eine längere Datenwiederherstellungsfrist in Anspruch zu nehmen (gegen zusätzliche Gebühren).
Der Ansatz von PeopleWeek zur Verwaltung von Client-Instanzen ermöglicht uns den Einsatz horizontal skalierbarer Ressourcen. Das heißt, wenn ein Hardware- oder Softwareproblem dazu führt, dass der Dienst für einen bestimmten Kunden nicht verfügbar ist, nutzt die Infrastruktur von PeopleWeek gepoolte Ressourcen, um die Last zu übernehmen und so einen unterbrechungsfreien Dienst bereitzustellen. Das Zusammenfassen von Serverressourcen bedeutet auch, dass Clientdaten kontinuierlich repliziert werden, um das potenzielle Datenverlustfenster in einem Notfallwiederherstellungsszenario zu minimieren.
PeopleWeek kann unseren Kunden und potenziellen Kunden die folgenden Dokumente zur Verfügung stellen:
Der Information Security Manager & Data Protection Officer von PeopleWeek steht auch zur Verfügung, um sicherheitsbezogene Fragen zu beantworten (chris.parker@peopleweek.com).
PeopleWeek nimmt die Datensicherheit sehr ernst. Unser Ziel ist es nicht nur, die gesetzlichen und regulatorischen Anforderungen zu erfüllen, sondern sie zu übertreffen und unsere Praktiken kontinuierlich an die sich entwickelnden Technologien und Risiken anzupassen.
PeopleWeek hält sich an die GDPR und das Schweizerische Bundesgesetz über den Datenschutz (DSGVO). Wir sorgen dafür, dass unsere Mitarbeiter gut geschult sind und über die erforderlichen Instrumente verfügen, um die Anforderungen des Datenschutzes zu erfüllen. Unser IT-Sicherheitsausschuss trifft sich monatlich, um sicherzustellen, dass die Geschäftsleitung alle Aspekte der IT-Sicherheit im Auge behält und dass Sicherheit und Datenschutz in unseren Arbeitsabläufen und unserer Kultur verankert sind.
Die IT-Sicherheits-, Datenschutz- und Datensicherheitsrichtlinien von PeopleWeek können auf Wunsch mit Kunden und Interessenten geteilt werden.
Alle Kundendaten und -dateien werden in erstklassigen Rechenzentren in der Schweiz gehostet.
PeopleWeek hat eine 30-tägige Datenaufbewahrungspraxis. Kunden können längere Aufbewahrungsfristen beantragen (gegen zusätzliche Gebühren). Alle Kundendatenbanken und -dateien sowie Backup-Server werden in der Schweiz gehostet.
PeopleWeek bietet Verschlüsselung auf mehreren Ebenen: auf Infrastrukturebene (d.h. vollständige Festplattenverschlüsselung), auf Datenbankebene und auf Dateiebene.
PeopleWeek verwendet Verschlüsselung bei der Übertragung und Verschlüsselung im Ruhezustand. Die Verschlüsselung erfolgt auf der Ebene der Festplatte, der Datenbank und der Dateien.
PeopleWeek speichert und überwacht verschiedene Logs auf Anwendungs- und Systemebene. Darüber hinaus speichert PeopleWeek ein detailliertes Audit-Protokoll der in der Anwendung stattfindenden Geschäftstransaktionen, das den Kunden auf Anfrage zur Verfügung gestellt werden kann.
chris.parker@peopleweek.com (Chief Information Security Officer und Datenschutzbeauftragter)
Der BCP von PeopleWeek kann bei Bedarf mit Kunden und Interessenten geteilt werden.
Ja
PeopleWeek folgt einem strengen Change-Management-Prozess für alle System-Updates. Alle Änderungen werden in Änderungsprotokollen festgehalten.
Im Mai 2022 wurde PeopleWeek nach einem umfassenden unabhängigen Audit mit dem Digital Trust Label zertifiziert. Das DTL ist eine Zertifizierung der digitalen Verantwortlichkeit. Die Prüfungskriterien und das Zertifikat können auf Anfrage eingesehen werden. Für die Zertifizierung ist ein jährliches Audit erforderlich. PeopleWeek unterzieht sich auch jährlichen Penetrationstests mit renommierten externen Cybersicherheitsunternehmen.
PeopleWeek führt in regelmäßigen Abständen interne Schwachstellen-Scans durch, um unsere Anwendung und Infrastruktur zu testen. Zusätzlich wird jährlich ein unabhängiger Penetrationstest von einem externen Schweizer Cybersicherheitsunternehmen durchgeführt, um eventuelle Schwachstellen zu identifizieren.
Ein zusammenfassender Bericht kann auf Wunsch mit Kunden und Interessenten geteilt werden.
Senden Sie eine E-Mail an admin@PeopleWeek .com
PeopleWeeks Richtlinien für das Incident Management können auf Anfrage mit Kunden und Interessenten geteilt werden.
Der Zugang zu den Kundendaten ist auf Personen beschränkt, die aufgrund ihrer Funktion Zugang haben müssen, um die vereinbarten Dienstleistungen und den Support für den Kunden zu erbringen. PeopleWeek setzt eine Reihe von Sicherheitsprotokollen ein, um einen sicheren Zugang zu gewährleisten, darunter die Beschränkung des Zugangs über ein Unternehmensnetzwerk und die Verwendung einer Mehrfaktor-Authentifizierung.
PeopleWeek schult seine Mitarbeiter regelmäßig zu Themen der Informationssicherheit und des Datenschutzes.
Im unwahrscheinlichen Fall einer Datenschutzverletzung oder eines möglichen Datenschutzverstoßes befolgt PeopleWeek seine Richtlinien zum Umgang mit Vorfällen. Unsere Richtlinie für das Management von Vorfällen umfasst Protokolle für die Kommunikation mit Kunden und Aufsichtsbehörden.
PeopleWeek bietet zwei verschiedene Arten der Benutzerauthentifizierung an:
1) Anmeldung mit dem PeopleWeek-eigenen Login, das Sicherheitsprotokolle wie eindeutige Benutzernamen, komplexe Passwörter und Unterstützung für die Aktivierung oder Vorgabe einer eingebauten „Time-based One-Time Password“ (TOTP) einhält. PeopleWeek hat seine eigene TOTP-Anwendung.
2) Azure Single Sign-On (SSO)
PeopleWeek ist auf der Grundlage eines rollenbasierten Zugriffs konzipiert, d.h. je nach Rolle des Benutzers sind unterschiedliche Daten sichtbar, z.B. Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter, Spesenmanager, Ausbildungsleiter, Compliance Manager, Rekrutierungsmanager, usw.
Die Infrastruktur von PeopleWeek wurde entwickelt, um die Leistung, Zuverlässigkeit und Langlebigkeit für alle Kunden zu optimieren. Wir verfügen über integrierte Redundanz- und Replikationsmöglichkeiten durch das Design unserer Datenbank-, Datei- und Serverarchitektur. Dies wird durch unsere Anwendungs- und Infrastruktursicherheit sowie ausgereifte Arbeitspraktiken untermauert.
Im unwahrscheinlichen Fall eines Totalausfalls von PeopleWeek können 30 Tage gesicherter Daten wiederhergestellt werden. Da Kundendaten mithilfe unserer gepoolten Ressourcen kontinuierlich repliziert werden, wird das Zeitfenster für mögliche Datenverluste in einem Notfallwiederherstellungsszenario minimiert.
Der Kunde ist Eigentümer und Verfügungsberechtigter über seine in PeopleWeek gespeicherten Daten.
Bei Beendigung des Vertragsverhältnisses wird PeopleWeek dem Kunden innerhalb von 30 Tagen seine Daten in einem maschinenlesbaren Format aushändigen. Die Daten werden dann von PeopleWeek unwiederbringlich gelöscht.