Sicherheitskultur
IT-Sicherheit und Datenschutz sind in der Kultur von PeopleWeek verankert. Sie liegen in der Verantwortung aller PeopleWeek-Mitarbeiter, und die Verantwortung beginnt beim Management-Team.
Organisation und Mitarbeiter
PeopleWeek hat eine Reihe von organisatorischen und personellen Maßnahmen ergriffen, um die Daten unserer Kunden zu schützen und die höchsten Standards des Datenschutzes einzuhalten:
- Alle PeopleWeek-Mitarbeiter erhalten zu Beginn ihrer Beschäftigung eine IT-Sicherheitsschulung sowie eine jährliche Auffrischungsschulung. Die Schulung beinhaltet einen Test, um sicherzustellen, dass alle unsere Teammitglieder den Inhalt verstanden haben
- Der Zugang zu den Kundendaten ist auf die Teammitglieder beschränkt, die darauf Zugriff haben müssen.
- PeopleWeek-Mitarbeiter, die Zugang zu Kundendaten haben, können dies nur unter Verwendung von doppelten Authentifizierungsprotokollen und über unser Unternehmensnetzwerk tun
- Die Computer der PeopleWeek-Mitarbeiter sind in ihrer Fähigkeit eingeschränkt, USB-Anschlüsse zu nutzen und zu drucken
Darüber hinaus hat das PeopleWeek-Kundensupportteam eine persönliche Beziehung zu unseren Kunden, die in der Regel Mitglieder des HR-Teams sind. Unser Support-Modell ist intim und kein „Call-Center“-Ansatz. Wenn eine Kundenanfrage nicht schnell per E-Mail geklärt werden kann, schalten wir einen Videoanruf ein. Diese Vertrautheit minimiert das Risiko, den Kunden zu kennen oder ihn zu identifizieren, z. B. bei einem betrügerischen Versuch, auf Kundendaten zuzugreifen.
Management-Praktiken
Das IT-Sicherheitskomitee von PeopleWeek trifft sich monatlich und stellt sicher, dass die Organisation proaktiv mit Risiken umgeht und über robuste Richtlinien, Verfahren und alltägliche Praktiken verfügt. Die Geschäftsführer von PeopleWeek sind Teil des IT-Sicherheitskomitees, was unser Engagement für die Sicherheit und unsere praktische Beteiligung widerspiegelt. PeopleWeek verfügt über dokumentierte Business-Continuity-Pläne (BCP) und Incident-Management-Prozesse.
Externe Beurteilungen und Zertifizierungen
PeopleWeek führt regelmässig Cybersicherheits-Audits und Penetrationstests für unsere Plattform durch. Wir halten uns an die Datenschutzgesetze, einschliesslich DSGVO und das Schweizerische Bundesgesetz über den Datenschutz. Die Kunden von PeopleWeek können eine Zusammenfassung der Ergebnisse unserer letzten externen Penetrationstests anfordern. PeopleWeek-Kunden können auch ihre eigenen, unabhängigen Penetrationstests unserer Plattform durchführen lassen.
Im Jahr 2022 erhielt PeopleWeek nach einem unabhängigen Audit als eines der ersten Unternehmen weltweit das Swiss Digital Trust Certificate. Das Zertifikat steht für die Vertrauenswürdigkeit eines digitalen Dienstes und folgt vier Kategorien und 35 technischen Kriterien.
Sicherheit der Anwendung
Die Anwendungsarchitektur von PeopleWeek wurde nach den OWASP®-Standards entwickelt. Open Web Application Security Project® ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Sicherheit von Software einsetzt. OWASP umreißt mehr als 80 kritische Sicherheitsrisiken für die Sicherheit von Webanwendungen. PeopleWeek hat diese Standards in sein Software-Design integriert und prüft seine Robustheit selbst.
Rollenbasierte Sicherheit und Datenschutz
Der Zugriff auf PeopleWeek basiert auf Benutzerrollen. Die einem Benutzer zugewiesene(n) Rolle(n) bestimmen die Zugriffsrechte der Person, also die Daten, die der Benutzer sehen kann.
Beispiele für Rollen sind Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter,, Ausbildungsleiter, Vergütungsmanager, Talent Manager, Rekrutierungsmanager, Spesenmanager, und Compliance Manager. Es gibt viele verschiedene Arten von Rollen in PeopleWeek und sie variieren auch je nach den vom Kunden erworbenen Modulen.
Diese Benutzerrollen sind im System fest codiert und werden nicht für verschiedene Clients angepasst. Dieser „eingebaute Datenschutz“ im Design von PeopleWeek minimiert die Möglichkeit eines Konfigurationsfehlers, der dazu führt, dass ein Benutzer die falsche Ebene des Datenzugriffs erhält. Wir glauben, dass dies unseren Kunden ein zusätzliches Maß an Sicherheit bietet.
Daten-Verschlüsselung
PeopleWeek bietet eine vollständige Verschlüsselung der Kundendaten auf Festplattenebene.
Systemzugang (Einloggen)
PeopleWeek bietet ein natives Login, das anerkannten sicheren Passwortprotokollen folgt. PeopleWeek bietet auch eine Zwei-Faktor-Authentifizierung, einschließlich einer proprietären Anwendung zur Erzeugung zeitbasierter Einmalpasswörter (TOTP).
Viele PeopleWeek-Kunden haben sich für die Integration von PeopleWeek mit Azure Single Sign-On entschieden, was ihren Mitarbeitern eine bequeme Methode für den Zugriff auf das System bietet und mit Multifaktor-Authentifizierung (MFA) kombiniert werden kann.
Alle Anmeldemethoden funktionieren sowohl in der Web-Version als auch in der mobilen App-Version von PeopleWeek.
Physische Sicherheit (Rechenzentrum)
Alle Kundendaten werden in der Schweiz bei STACK Infrastructure (früher bekannt als SafeHost) gehostet, einem der grössten (5,300sqm), seriösesten, stabilsten und sichersten Rechenzentren der Schweiz. Das primäre (GEN01) und das Ausweichrechenzentrum von PeopleWeek bei STACK befinden sich beide in der Schweiz (das Ausweichrechenzentrum ist in Gland, Waadt).
Als marktführendes Rechenzentrum verfügt STACK über eine physische Abtrennung und robuste Zugangskontrollen, einschliesslich biometrischer Authentifizierung, Kameraüberwachung und Überwachung durch Sicherheitsexperten.
Das primäre Rechenzentrum von STACK (GEN01) in Genf wird zu 100 % mit Strom aus Wasserkraft versorgt und verfügt über eine in Betrieb genommene Kapazität von 4,3 MW und einen Strommantel. Es bietet Hyperscalern und eine zuverlässige und nachhaltige Energieversorgung im Herzen Europas.
STACK ist unter anderem nach ISO 9001, ISO 14001, ISO 27001, ISO 45001, ISO 50001, ISAE 3402 und PCI/DSS Compliant zertifiziert.
Besuchen Sie die Website von STACK hier.
Daten-Backup und -Wiederherstellung
Die Instanzen und Daten der PeopleWeek-Kunden werden täglich gesichert und wir können bis zu 30 Tage an Kundendaten und Archiven wiederherstellen. Darüber hinaus erstellt STACK wöchentlich ein physisches Backup der Daten jedes Kunden auf Band. Das Band wird in einem sicheren Tresor in der Schweiz aufbewahrt.
Verfügbare Dokumente
PeopleWeek kann unseren Kunden und potenziellen Kunden die folgenden Dokumente zur Verfügung stellen:
- Schweizer Digitales Trust-Zertifikat
- IT-Sicherheits-, Datenschutz- und Vertraulichkeitsrichtlinien
- DSGVO / Swiss FDPA Konformitätserklärung
- Netzwerkdiagramm
- OWASP-Konformitätsergebnisse
- Richtlinie zur Geschäftskontinuität
- Erklärung zur Geschäftskontinuität
Kontakt
Der Information Security Manager & Data Protection Officer von PeopleWeek steht auch zur Verfügung, um sicherheitsbezogene Fragen zu beantworten (chris.parker@peopleweek.com).
Fragen und Antworten
Wie sicher ist PeopleWeek?
PeopleWeek nimmt die Datensicherheit sehr ernst. Unser Ziel ist es nicht nur, die gesetzlichen und regulatorischen Anforderungen zu erfüllen, sondern sie zu übertreffen und unsere Praktiken kontinuierlich an die sich entwickelnden Technologien und Risiken anzupassen.
Was ist die DSGVO-Richtlinie von PeopleWeek?
PeopleWeek hält sich an die GDPR und das Schweizerische Bundesgesetz über den Datenschutz (DSGVO). Wir sorgen dafür, dass unsere Mitarbeiter gut geschult sind und über die erforderlichen Instrumente verfügen, um die Anforderungen des Datenschutzes zu erfüllen. Unser IT-Sicherheitsausschuss trifft sich monatlich, um sicherzustellen, dass die Geschäftsleitung alle Aspekte der IT-Sicherheit im Auge behält und dass Sicherheit und Datenschutz in unseren Arbeitsabläufen und unserer Kultur verankert sind.
Wo finde ich die IT-Sicherheitspolitik von PeopleWeek?
Die IT-Sicherheits-, Datenschutz- und Datensicherheitsrichtlinien von PeopleWeek können auf Wunsch mit Kunden und Interessenten geteilt werden.
Wo werden die Daten von PeopleWeek gespeichert?
Wir hosten alle Daten bei STACK in der Schweiz. STACK ist ein erstklassiges Rechenzentrum und ist nach den besten Praktiken der Branche zertifiziert.
Verfügt PeopleWeek über Backup-Server?
PeopleWeek sichert Kundendaten täglich und hat eine 30-tägige Datenaufbewahrungspraxis. Das Back-up-Rechenzentrum befindet sich ebenfalls in der Schweiz. Dies bedeutet, dass der Kunde keine eigenen Backups durchführen muss.
Verfügt PeopleWeek über eine Verschlüsselung im Ruhezustand?
PeopleWeek bietet eine vollständige Verschlüsselung der Kundendaten auf Festplattenebene.
Verwendet PeopleWeek Verschlüsselung?
PeopleWeek verwendet Verschlüsselung bei der Übertragung und Verschlüsselung im Ruhezustand.
Speichert PeopleWeek Protokolle?
PeopleWeek speichert und überwacht verschiedene Logs auf Anwendungs- und Systemebene. Darüber hinaus speichert PeopleWeek ein detailliertes Audit-Protokoll der in der Anwendung stattfindenden Geschäftstransaktionen, das den Kunden auf Anfrage zur Verfügung gestellt werden kann.
Wer ist der Datenschutzbeauftragte von PeopleWeek?
chris.parker@peopleweek.com (Chief Information Security Officer und Datenschutzbeauftragter)
Verfügt PeopleWeek über einen Business-Continuity-Plan (BCP)?
Der BCP von PeopleWeek kann bei Bedarf mit Kunden und Interessenten geteilt werden.
Bietet PeopleWeek eine Integration mit Azure SSO an?
Ja
Folgen Aktualisierungen der Produktionsumgebungen von PeopleWeek einem dokumentierten Änderungsprozess?
PeopleWeek folgt einem strengen Change-Management-Prozess für alle System-Updates. Alle Änderungen werden in Änderungsprotokollen festgehalten.
Haben Sie kürzlich Audits durch Dritte durchgeführt?
Im Mai 2022 wurde PeopleWeek nach einem umfassenden unabhängigen Audit mit dem Digital Trust Label zertifiziert. Das DTL ist eine Zertifizierung der digitalen Verantwortlichkeit. Die Prüfungskriterien und das Zertifikat können auf Anfrage eingesehen werden. Für die Zertifizierung ist ein jährliches Audit erforderlich. PeopleWeek unterzieht sich auch jährlichen Penetrationstests mit renommierten externen Cybersicherheitsunternehmen.
Führt PeopleWeek Schwachstellen-Scans oder Penetrationstests durch?
PeopleWeek führt in regelmäßigen Abständen interne Schwachstellen-Scans durch, um unsere Anwendung und Infrastruktur zu testen. Zusätzlich wird jährlich ein unabhängiger Penetrationstest von einem externen Schweizer Cybersicherheitsunternehmen durchgeführt, um eventuelle Schwachstellen zu identifizieren.
Kann PeopleWeek seine Penetrationstestergebnisse teilen?
Ein zusammenfassender Bericht kann auf Wunsch mit Kunden und Interessenten geteilt werden.
Wie melde ich PeopleWeek ein Sicherheitsproblem?
Senden Sie eine E-Mail an admin@PeopleWeek .com
Wie verwaltet PeopleWeek Vorfälle?
PeopleWeeks Richtlinien für das Incident Management können auf Anfrage mit Kunden und Interessenten geteilt werden.
Wer bei PeopleWeek hat Zugriff auf Kundendaten?
Der Zugang zu den Kundendaten ist auf Personen beschränkt, die aufgrund ihrer Funktion Zugang haben müssen, um die vereinbarten Dienstleistungen und den Support für den Kunden zu erbringen. PeopleWeek setzt eine Reihe von Sicherheitsprotokollen ein, um einen sicheren Zugang zu gewährleisten, darunter die Beschränkung des Zugangs über ein Unternehmensnetzwerk und die Verwendung einer Mehrfaktor-Authentifizierung.
Wie stellt PeopleWeek sicher, dass seine Mitarbeiter die gesetzlichen Bestimmungen zum Datenschutz einhalten?
PeopleWeek schult seine Mitarbeiter regelmäßig zu Themen der Informationssicherheit und des Datenschutzes.
Was passiert, wenn es bei PeopleWeek zu einer Datenverletzung kommt?
Im unwahrscheinlichen Fall einer Datenschutzverletzung oder eines möglichen Datenschutzverstoßes befolgt PeopleWeek seine Richtlinien zum Umgang mit Vorfällen. Unsere Richtlinie für das Management von Vorfällen umfasst Protokolle für die Kommunikation mit Kunden und Aufsichtsbehörden.
Wie funktioniert die Benutzerauthentifizierung?
PeopleWeek bietet zwei verschiedene Arten der Benutzerauthentifizierung an:
1) Anmeldung mit dem PeopleWeek-eigenen Login, das Sicherheitsprotokolle wie eindeutige Benutzernamen, komplexe Passwörter und Unterstützung für die Aktivierung oder Vorgabe einer eingebauten „Time-based One-Time Password“ (TOTP) einhält. PeopleWeek hat seine eigene TOTP-Anwendung.
2) Azure Single Sign-On (SSO)
Wer hat Zugang zu den Daten auf der Kundenseite und wie werden sie getrennt?
PeopleWeek ist auf der Grundlage eines rollenbasierten Zugriffs konzipiert, d.h. je nach Rolle des Benutzers sind unterschiedliche Daten sichtbar, z.B. Mitarbeiter, Manager, Globaler HR-Manager, HR-Manager der Einheit, Abteilungsleiter, Spesenmanager, Ausbildungsleiter, Compliance Manager, Rekrutierungsmanager, usw.
Wie stellt PeopleWeek die Verfügbarkeit des Systems sicher?
PeopleWeek verfügt über eine georedundante Auslegung der Serverinfrastruktur in Bezug auf Produktionsdaten und Backups sowie die physische Sicherheit der verwendeten Rechenzentren (z. B. unterbrechungsfreie Stromversorgung, Alarmsystem, Brandmeldesysteme usw.).
Was geschieht mit den Kundendaten im Falle eines Totalausfalls des Systems (z.B. höhere Gewalt)?
Im unwahrscheinlichen Fall eines Totalausfalls von PeopleWeek können die gesicherten Daten von 30 Tagen wiederhergestellt werden.
Wer ist Eigentümer der Kundendaten in PeopleWeek?
Der Kunde ist Eigentümer und Verfügungsberechtigter über seine in PeopleWeek gespeicherten Daten.
Was geschieht, wenn ein Kunde seinen Vertrag mit PeopleWeek kündigt?
Bei Beendigung des Vertragsverhältnisses wird PeopleWeek dem Kunden innerhalb von 30 Tagen seine Daten in einem maschinenlesbaren Format aushändigen. Die Daten werden dann von PeopleWeek unwiederbringlich gelöscht.