Cultura della Sicurezza
La sicurezza informatica e la protezione dei dati sono parte integrante della cultura di PeopleWeek. È responsabilità di tutti i dipendenti di PeopleWeek e la responsabilità inizia con il team di gestione.
Organizzazione e Persone
PeopleWeek adotta una serie di pratiche organizzative e umane volte a salvaguardare i dati dei nostri clienti e a mantenere i più alti standard di privacy:
- Tutti i dipendenti di PeopleWeek ricevono una formazione sulla sicurezza informatica all’inizio del loro rapporto di lavoro, oltre a un aggiornamento annuale. La formazione comprende un test per garantire che tutti i membri del nostro team abbiano compreso i contenuti
- L’accesso ai dati dei clienti è limitato ai membri del team che devono accedervi
- I dipendenti di PeopleWeek che hanno accesso ai dati dei clienti possono farlo solo utilizzando protocolli di doppia autenticazione e attraverso la nostra rete aziendale
- I computer dei dipendenti di PeopleWeek limitano la loro capacità di utilizzare le porte USB e di stampare
Inoltre, il team di assistenza clienti di PeopleWeek ha un rapporto personale con i nostri clienti, che di solito sono membri del team HR. Il nostro modello di supporto è intimo, non un approccio da “call center”. Quando una domanda di un cliente non può essere risolta rapidamente via email, ci colleghiamo in videochiamata. Questa intimità riduce al minimo qualsiasi rischio di “conoscenza del cliente” o di identificazione del cliente, ad esempio un tentativo fraudolento di accesso ai dati del cliente.
Pratiche di gestione
Il comitato per la sicurezza IT di PeopleWeek si riunisce mensilmente e garantisce che l’organizzazione gestisca in modo proattivo i rischi e disponga di solide politiche, procedure, e pratiche quotidiane. Gli amministratori delegati di PeopleWeek fanno parte del comitato per la sicurezza IT, che riflette il nostro impegno per la sicurezza e il nostro coinvolgimento pratico. PeopleWeek ha documentato i piani di continuità operativa (PCO) e i processi di gestione degli incidenti.
Valutazioni e certificazioni esterne
PeopleWeek conduce regolarmente audit di sicurezza informatica e test di penetrazione della nostra piattaforma. Rispettiamo la legislazione sulla protezione dei dati, tra cui il GPDP e la legge federale svizzera sulla protezione dei dati. I clienti di PeopleWeek possono richiedere una sintesi dei risultati dei nostri ultimi test di penetrazione esterni. I clienti di PeopleWeek possono anche richiedere di condurre i propri test di penetrazione indipendenti sulla nostra piattaforma.
Nel 2022, a seguito di un audit indipendente, PeopleWeek è stata una delle prime aziende al mondo a ricevere il Swiss Digital Trust Certificate. Il certificato indica l’affidabilità di un servizio digitale e segue quattro categorie e 35 criteri tecnici.
Sicurezza delle applicazioni
L’architettura dell’applicazione di PeopleWeek è stata sviluppata secondo gli standard OWASP®. L’Open Web Application Security Project® è una fondazione no-profit che lavora per migliorare la sicurezza del software. OWASP delinea più di 80 rischi critici per la sicurezza delle applicazioni web. PeopleWeek ha incorporato questi standard nella progettazione del suo software e verifichiamo autonomamente la nostra solidità.
Sicurezza e privacy dei dati basati sui ruoli
L’accesso a PeopleWeek si basa sui ruoli degli utenti. Il ruolo o i ruoli assegnati a un utente determinano i diritti di accesso dell’individuo, in altre parole i dati che l’utente può vedere.
Esempi di ruoli sono Impiegato, Manager, Responsabile risorse umane globali, Responsabile risorse umane di entità, Responsabile di reparto, Responsabile di formazione, Responsabile delle retribuzioni, Responsabile dei talenti, Responsabile delle assunzioni, Responsabile delle spese, e Responsabile della conformità. Esistono molti tipi diversi di ruoli in PeopleWeek e variano anche in base ai moduli acquistati dal cliente.
Questi ruoli utente sono codificati nel sistema, invece di essere personalizzati per i diversi clienti. Questa “privacy integrata” nel design di PeopleWeek riduce al minimo la possibilità che un errore di configurazione porti un utente ad avere un livello di accesso ai dati sbagliato. Riteniamo che ciò fornisca un ulteriore livello di rassicurazione ai nostri clienti.
Crittografia dei dati
PeopleWeek ha la crittografia su più livelli: a livello di infrastruttura (ovvero crittografia completa del disco), a livello di database e a livello di file.
Accesso al sistema (login)
PeopleWeek offre un login nativo che segue i protocolli riconosciuti per le password sicure. PeopleWeek offre anche un’autenticazione a doppio fattore, compresa un’applicazione proprietaria per la generazione di password monouso a tempo (TOTP).
Molti clienti di PeopleWeek hanno scelto di integrare PeopleWeek con Azure Single Sign-On, che offre ai loro dipendenti un metodo comodo per accedere al sistema e può essere combinato con l’autenticazione a più fattori (MFA).
Tutti i metodi di accesso funzionano sulla versione web e sulla versione app mobile di PeopleWeek.
Sicurezza fisica (centro dati)
Tutti i server PeopleWeek sono ospitati in data center di alto livello in Svizzera. Sia i nostri data center primari che quelli di riserva si trovano in Svizzera.
Backup e recupero dei dati
PeopleWeek può recuperare fino a 30 giorni di dati e archivi dei clienti. È anche possibile per i clienti avere un periodo di recupero dei dati più lungo (soggetto a costi aggiuntivi).
L’approccio di PeopleWeek alla gestione delle istanze client ci consente di utilizzare risorse scalabili orizzontalmente. Ciò significa che se un problema hardware o software rende il servizio non disponibile per un cliente specifico, l’infrastruttura di PeopleWeek utilizza risorse raggruppate per assumersi il carico, fornendo così un servizio ininterrotto. Il raggruppamento delle risorse del server significa anche che i dati del client vengono continuamente replicati per ridurre al minimo la potenziale finestra di perdita di dati in uno scenario di ripristino di emergenza.
Documenti disponibili
PeopleWeek può mettere a disposizione dei propri clienti e potenziali clienti i seguenti documenti:
- Certificato Swiss Digital Trust
- Politiche di sicurezza informatica, protezione dei dati e privacy
- Dichiarazione di conformità GPDP / FDPA Svizzera
- Diagramma di rete
- Risultati di conformità OWASP
- Politica di continuità aziendale
- Dichiarazione di continuità aziendale
Contatto
Il responsabile della sicurezza delle informazioni e della protezione dei dati di PeopleWeek è disponibile per rispondere alle domande sulla sicurezza (chris.parker@peopleweek.com).
Domande e Risposte
Quanto è sicuro PeopleWeek?
PeopleWeek prende molto sul serio la sicurezza dei dati. Il nostro obiettivo non è solo quello di rispettare i requisiti legali e normativi, ma di superarli per adattare continuamente le nostre pratiche in linea con l’evoluzione delle tecnologie e dei rischi.
Qual è la politica GDPR di PeopleWeek?
PeopleWeek è conforme al GPDP e alla legge federale sulla protezione dei dati (FADP). Ci assicuriamo che i nostri dipendenti siano ben formati e dispongano degli strumenti necessari per poter rispettare i requisiti di privacy e protezione dei dati. Il nostro Comitato per la sicurezza informatica si riunisce mensilmente per garantire che l’alta dirigenza rimanga concentrata su tutti gli aspetti della sicurezza informatica e che la sicurezza e la protezione dei dati siano integrate nelle nostre pratiche e nella nostra cultura lavorativa.
Dove posso trovare la politica di sicurezza informatica di PeopleWeek?
Le politiche di PeopleWeek in materia di sicurezza informatica, protezione dei dati e privacy possono essere condivise con clienti e potenziali clienti su richiesta.
Dove vengono archiviati i dati di PeopleWeek?
Tutti i dati e i file dei clienti sono ospitati in data center di alto livello in Svizzera.
PeopleWeek dispone di server di backup?
PeopleWeek adotta una procedura di conservazione dei dati di 30 giorni. I clienti possono richiedere periodi di conservazione più lunghi (soggetti a costi aggiuntivi). Tutti i database e i file dei clienti, nonché i server di backup, sono ospitati in Svizzera.
PeopleWeek ha la crittografia a riposo?
PeopleWeek dispone di una crittografia a più livelli: a livello di infrastruttura (cioè la crittografia dell’intero disco), a livello di database e a livello di file.
PeopleWeek utilizza la crittografia?
PeopleWeek utilizza la crittografia in transito e la crittografia a riposo. La crittografia avviene a livello di disco, database e file.
PeopleWeek memorizza i log?
PeopleWeek memorizza e monitora vari log a livello di applicazione e di sistema. Inoltre, PeopleWeek memorizza un registro di audit dettagliato delle transazioni commerciali che avvengono nell’applicazione, che può essere reso disponibile ai clienti su richiesta.
Chi è il responsabile della protezione dei dati di PeopleWeek?
chris.parker@peopleweek.com (Chief Information Security Officer e Data Protection Officer)
PeopleWeek ha un piano di continuità operativa (PCO)?
Il PCA di PeopleWeek può essere condiviso con clienti e potenziali clienti su richiesta.
Peopleweek offre un’integrazione con azure SSO ?
sì
Gli aggiornamenti degli ambienti di produzione di PeopleWeek seguono un processo di modifica documentato?
PeopleWeek segue un rigoroso processo di gestione delle modifiche per tutti gli aggiornamenti del sistema. Tutte le modifiche vengono registrate nei registri delle modifiche.
Avete condotto di recente audit di terze parti?
Nel maggio 2022, PeopleWeek ha ottenuto la certificazione Digital Trust Label a seguito di un’ampia verifica indipendente. La DTL è una certificazione di responsabilità digitale. I criteri di verifica e il certificato possono essere condivisi su richiesta. La certificazione richiede un audit annuale. PeopleWeek si sottopone inoltre a un test di penetrazione annuale con società di sicurezza informatica di terze parti affidabili.
PeopleWeek effettua scansioni di vulnerabilità o test di penetrazione?
PeopleWeek esegue scansioni interne delle vulnerabilità a intervalli regolari per testare le nostre applicazioni e infrastrutture. Inoltre, un test di penetrazione indipendente viene eseguito annualmente da una società di sicurezza informatica esterna svizzera per identificare eventuali vulnerabilità.
PeopleWeek può condividere i risultati dei suoi test di penetrazione?
Un rapporto riassuntivo può essere condiviso con clienti e potenziali clienti su richiesta.
Come posso segnalare un problema di sicurezza a PeopleWeek?
Inviate un’e-mail a admin@PeopleWeek .com
In che modo PeopleWeek gestisce gli incidenti?
La politica di gestione degli incidenti di PeopleWeek può essere condivisa con clienti e potenziali clienti su richiesta.
Chi in PeopleWeek ha accesso ai dati dei clienti?
L’accesso ai dati dei clienti è limitato alle persone il cui ruolo richiede l’accesso al fine di fornire i servizi e il supporto concordati al cliente. PeopleWeek utilizza una serie di protocolli di sicurezza per garantire l’accesso sicuro, tra cui la limitazione dell’accesso attraverso la rete aziendale e l’utilizzo dell’autenticazione a più fattori.
In che modo PeopleWeek garantisce che i suoi dipendenti rispettino i requisiti legali sulla protezione dei dati?
PeopleWeek forma regolarmente i propri dipendenti sui temi della sicurezza delle informazioni e della protezione dei dati.
Cosa succede se si verifica una violazione dei dati su PeopleWeek ?
Nell’improbabile caso di una violazione dei dati o di una potenziale violazione dei dati, PeopleWeek segue la sua politica di gestione degli incidenti. La nostra politica di gestione degli incidenti include protocolli di comunicazione con i clienti e con le autorità di regolamentazione.
Come funziona l’autenticazione dell’utente ?
PeopleWeek offre due diversi tipi di autenticazione degli utenti:
1) Accesso utilizzando il login nativo di PeopleWeek, che rispetta i protocolli di sicurezza quali nomi utente univoci, password complesse e supporto per l’abilitazione o l’imposizione di un’autenticazione a due fattori incorporata utilizzando Time-based One-Time Passwords” (TOTP). PeopleWeek dispone di una propria applicazione TOTP
2) Azure Single Sign-On (SSO).
Chi ha accesso ai dati del cliente e come sono segregati?
PeopleWeek è progettato in base all’accesso basato sui ruoli, il che significa che i dati sono visibili in base al ruolo dell’utente, ad esempio Dipendente, Manager, Global HR, Entity HR, Department HR, Expense Manager, Training Manager, Compliance Manager, Recruitment Manager, ecc.
In che modo PeopleWeek garantisce la disponibilità del sistema?
L’infrastruttura di PeopleWeek è stata progettata per ottimizzare le prestazioni, l’affidabilità e la durata per tutti i clienti. Abbiamo capacità di ridondanza e di replica incorporate attraverso la progettazione del nostro database, dei file e dell’architettura dei server. Tutto ciò è supportato dalla sicurezza delle applicazioni e delle infrastrutture e da pratiche di lavoro mature.
Cosa succede ai dati dei clienti in caso di guasto totale del sistema (ad esempio per cause di forza maggiore)?
Nell’improbabile caso di un guasto totale di PeopleWeek, è possibile ripristinare 30 giorni di dati di backup. Poiché i dati dei clienti vengono replicati continuamente utilizzando le nostre risorse comuni, la finestra di possibile perdita dei dati è ridotta al minimo in uno scenario di disaster recovery.
Chi possiede i dati dei clienti in PeopleWeek?
Il cliente è il proprietario e il controllore dei suoi dati memorizzati in PeopleWeek.
Cosa succede nel caso in cui un cliente rescinda il proprio contratto con PeopleWeek?
Al termine del rapporto contrattuale, entro 30 giorni PeopleWeek consegnerà al cliente i suoi dati in un formato leggibile a macchina. I dati saranno poi cancellati in modo irrecuperabile da PeopleWeek.