Cultura della Sicurezza
La sicurezza informatica e la protezione dei dati sono parte integrante della cultura di PeopleWeek. È responsabilità di tutti i dipendenti di PeopleWeek e la responsabilità inizia con il team di gestione.
Organizzazione e Persone
PeopleWeek adotta una serie di pratiche organizzative e umane volte a salvaguardare i dati dei nostri clienti e a mantenere i più alti standard di privacy:
- Tutti i dipendenti di PeopleWeek ricevono una formazione sulla sicurezza informatica all’inizio del loro rapporto di lavoro, oltre a un aggiornamento annuale. La formazione comprende un test per garantire che tutti i membri del nostro team abbiano compreso i contenuti
- L’accesso ai dati dei clienti è limitato ai membri del team che devono accedervi
- I dipendenti di PeopleWeek che hanno accesso ai dati dei clienti possono farlo solo utilizzando protocolli di doppia autenticazione e attraverso la nostra rete aziendale
- I computer dei dipendenti di PeopleWeek limitano la loro capacità di utilizzare le porte USB e di stampare
Inoltre, il team di assistenza clienti di PeopleWeek ha un rapporto personale con i nostri clienti, che di solito sono membri del team HR. Il nostro modello di supporto è intimo, non un approccio da “call center”. Quando una domanda di un cliente non può essere risolta rapidamente via email, ci colleghiamo in videochiamata. Questa intimità riduce al minimo qualsiasi rischio di “conoscenza del cliente” o di identificazione del cliente, ad esempio un tentativo fraudolento di accesso ai dati del cliente.
Pratiche di gestione
Il comitato per la sicurezza IT di PeopleWeek si riunisce mensilmente e garantisce che l’organizzazione gestisca in modo proattivo i rischi e disponga di solide politiche, procedure, e pratiche quotidiane. Gli amministratori delegati di PeopleWeek fanno parte del comitato per la sicurezza IT, che riflette il nostro impegno per la sicurezza e il nostro coinvolgimento pratico. PeopleWeek ha documentato i piani di continuità operativa (PCO) e i processi di gestione degli incidenti.
Valutazioni e certificazioni esterne
PeopleWeek conduce regolarmente audit di sicurezza informatica e test di penetrazione della nostra piattaforma. Rispettiamo la legislazione sulla protezione dei dati, tra cui il GPDP e la legge federale svizzera sulla protezione dei dati. I clienti di PeopleWeek possono richiedere una sintesi dei risultati dei nostri ultimi test di penetrazione esterni. I clienti di PeopleWeek possono anche richiedere di condurre i propri test di penetrazione indipendenti sulla nostra piattaforma.
Nel 2022, a seguito di un audit indipendente, PeopleWeek è stata una delle prime aziende al mondo a ricevere il Swiss Digital Trust Certificate. Il certificato indica l’affidabilità di un servizio digitale e segue quattro categorie e 35 criteri tecnici.
Sicurezza delle applicazioni
L’architettura dell’applicazione di PeopleWeek è stata sviluppata secondo gli standard OWASP®. L’Open Web Application Security Project® è una fondazione no-profit che lavora per migliorare la sicurezza del software. OWASP delinea più di 80 rischi critici per la sicurezza delle applicazioni web. PeopleWeek ha incorporato questi standard nella progettazione del suo software e verifichiamo autonomamente la nostra solidità.
Sicurezza e privacy dei dati basati sui ruoli
L’accesso a PeopleWeek si basa sui ruoli degli utenti. Il ruolo o i ruoli assegnati a un utente determinano i diritti di accesso dell’individuo, in altre parole i dati che l’utente può vedere.
Esempi di ruoli sono Impiegato, Manager, Responsabile risorse umane globali, Responsabile risorse umane di entità, Responsabile di reparto, Responsabile di formazione, Responsabile delle retribuzioni, Responsabile dei talenti, Responsabile delle assunzioni, Responsabile delle spese, e Responsabile della conformità. Esistono molti tipi diversi di ruoli in PeopleWeek e variano anche in base ai moduli acquistati dal cliente.
Questi ruoli utente sono codificati nel sistema, invece di essere personalizzati per i diversi clienti. Questa “privacy integrata” nel design di PeopleWeek riduce al minimo la possibilità che un errore di configurazione porti un utente ad avere un livello di accesso ai dati sbagliato. Riteniamo che ciò fornisca un ulteriore livello di rassicurazione ai nostri clienti.
Crittografia dei dati
PeopleWeek dispone di una crittografia completa a livello di disco dei dati dei clienti.
Accesso al sistema (login)
PeopleWeek offre un login nativo che segue i protocolli riconosciuti per le password sicure. PeopleWeek offre anche un’autenticazione a doppio fattore, compresa un’applicazione proprietaria per la generazione di password monouso a tempo (TOTP).
Molti clienti di PeopleWeek hanno scelto di integrare PeopleWeek con Azure Single Sign-On, che offre ai loro dipendenti un metodo comodo per accedere al sistema e può essere combinato con l’autenticazione a più fattori (MFA).
Tutti i metodi di accesso funzionano sulla versione web e sulla versione app mobile di PeopleWeek.
Sicurezza fisica (centro dati)
Tutti i dati dei clienti sono ospitati in Svizzera presso STACK Infrastructure (precedentemente noto come SafeHost), uno dei centri dati più grandi (5,300sqm), affidabili, stabili e sicuri della Svizzera. Il centro dati principale (GEN01) e quello di riserva di PeopleWeek presso STACK sono entrambi situati in Svizzera (quello di riserva è a Gland, Vaud).
In quanto centro dati leader di mercato, STACK dispone di una segregazione fisica e di solidi controlli di accesso, tra cui l’autenticazione biometrica, la sorveglianza con telecamere e il monitoraggio da parte di professionisti della sicurezza.
Il centro dati principale di STACK (GEN01), con sede a Ginevra, è alimentato al 100% da energia idroelettrica, dispone di una capacità di 4,3 MW e di un guscio alimentato. Offre hyperscaler e un’alimentazione affidabile e sostenibile nel cuore dell’Europa.
Le certificazioni di conformità di STACK includono ISO 9001, ISO 14001, ISO 27001, ISO 45001, ISO 50001, ISAE 3402 e PCI/DSS Compliant.
Visitate il sito web di STACK qui.
Backup e recupero dei dati
Le istanze e i dati dei clienti di PeopleWeek sono sottoposti a backup giornaliero e possiamo recuperare fino a 30 giorni di dati e archivi dei clienti. Inoltre, STACK esegue settimanalmente un back-up fisico su nastro dei dati di ogni cliente. Il nastro è conservato in un caveau sicuro in Svizzera.
Documenti disponibili
PeopleWeek può mettere a disposizione dei propri clienti e potenziali clienti i seguenti documenti:
- Certificato Swiss Digital Trust
- Politiche di sicurezza informatica, protezione dei dati e privacy
- Dichiarazione di conformità GPDP / FDPA Svizzera
- Diagramma di rete
- Risultati di conformità OWASP
- Politica di continuità aziendale
- Dichiarazione di continuità aziendale
Contatto
Il responsabile della sicurezza delle informazioni e della protezione dei dati di PeopleWeek è disponibile per rispondere alle domande sulla sicurezza (chris.parker@peopleweek.com).
Domande e Risposte
Quanto è sicuro PeopleWeek?
PeopleWeek prende molto sul serio la sicurezza dei dati. Il nostro obiettivo non è solo quello di rispettare i requisiti legali e normativi, ma di superarli per adattare continuamente le nostre pratiche in linea con l’evoluzione delle tecnologie e dei rischi.
Qual è la politica GDPR di PeopleWeek?
PeopleWeek è conforme al GPDP e alla legge federale sulla protezione dei dati (FADP). Ci assicuriamo che i nostri dipendenti siano ben formati e dispongano degli strumenti necessari per poter rispettare i requisiti di privacy e protezione dei dati. Il nostro Comitato per la sicurezza informatica si riunisce mensilmente per garantire che l’alta dirigenza rimanga concentrata su tutti gli aspetti della sicurezza informatica e che la sicurezza e la protezione dei dati siano integrate nelle nostre pratiche e nella nostra cultura lavorativa.
Dove posso trovare la politica di sicurezza informatica di PeopleWeek?
Le politiche di PeopleWeek in materia di sicurezza informatica, protezione dei dati e privacy possono essere condivise con clienti e potenziali clienti su richiesta.
Dove vengono archiviati i dati di PeopleWeek?
Ospitiamo tutti i dati presso STACK in Svizzera. STACK è un centro dati di alto livello ed è certificato in linea con le migliori pratiche del settore.
PeopleWeek dispone di server di backup?
PeopleWeek esegue quotidianamente il backup dei dati dei clienti e ha una prassi di restituzione dei dati di 30 giorni. Anche il centro dati di back-up si trova in Svizzera. Ciò significa che non è necessario che il cliente esegua i propri backup.
PeopleWeek ha la crittografia a riposo?
PeopleWeek dispone di una crittografia completa a livello di disco dei dati dei clienti.
PeopleWeek utilizza la crittografia?
PeopleWeek utilizza la crittografia in transito e la crittografia a riposo.
PeopleWeek memorizza i log?
PeopleWeek memorizza e monitora vari log a livello di applicazione e di sistema. Inoltre, PeopleWeek memorizza un registro di audit dettagliato delle transazioni commerciali che avvengono nell’applicazione, che può essere reso disponibile ai clienti su richiesta.
Chi è il responsabile della protezione dei dati di PeopleWeek?
chris.parker@peopleweek.com (Chief Information Security Officer e Data Protection Officer)
PeopleWeek ha un piano di continuità operativa (PCO)?
Il PCA di PeopleWeek può essere condiviso con clienti e potenziali clienti su richiesta.
Peopleweek offre un’integrazione con azure SSO ?
sì
Gli aggiornamenti degli ambienti di produzione di PeopleWeek seguono un processo di modifica documentato?
PeopleWeek segue un rigoroso processo di gestione delle modifiche per tutti gli aggiornamenti del sistema. Tutte le modifiche vengono registrate nei registri delle modifiche.
Avete condotto di recente audit di terze parti?
Nel maggio 2022, PeopleWeek ha ottenuto la certificazione Digital Trust Label a seguito di un’ampia verifica indipendente. La DTL è una certificazione di responsabilità digitale. I criteri di verifica e il certificato possono essere condivisi su richiesta. La certificazione richiede un audit annuale. PeopleWeek si sottopone inoltre a un test di penetrazione annuale con società di sicurezza informatica di terze parti affidabili.
PeopleWeek effettua scansioni di vulnerabilità o test di penetrazione?
PeopleWeek esegue scansioni interne delle vulnerabilità a intervalli regolari per testare le nostre applicazioni e infrastrutture. Inoltre, un test di penetrazione indipendente viene eseguito annualmente da una società di sicurezza informatica esterna svizzera per identificare eventuali vulnerabilità.
PeopleWeek può condividere i risultati dei suoi test di penetrazione?
Un rapporto riassuntivo può essere condiviso con clienti e potenziali clienti su richiesta.
Come posso segnalare un problema di sicurezza a PeopleWeek?
Inviate un’e-mail a admin@PeopleWeek .com
In che modo PeopleWeek gestisce gli incidenti?
La politica di gestione degli incidenti di PeopleWeek può essere condivisa con clienti e potenziali clienti su richiesta.
Chi in PeopleWeek ha accesso ai dati dei clienti?
L’accesso ai dati dei clienti è limitato alle persone il cui ruolo richiede l’accesso al fine di fornire i servizi e il supporto concordati al cliente. PeopleWeek utilizza una serie di protocolli di sicurezza per garantire l’accesso sicuro, tra cui la limitazione dell’accesso attraverso la rete aziendale e l’utilizzo dell’autenticazione a più fattori.
In che modo PeopleWeek garantisce che i suoi dipendenti rispettino i requisiti legali sulla protezione dei dati?
PeopleWeek forma regolarmente i propri dipendenti sui temi della sicurezza delle informazioni e della protezione dei dati.
Cosa succede se si verifica una violazione dei dati su PeopleWeek ?
Nell’improbabile caso di una violazione dei dati o di una potenziale violazione dei dati, PeopleWeek segue la sua politica di gestione degli incidenti. La nostra politica di gestione degli incidenti include protocolli di comunicazione con i clienti e con le autorità di regolamentazione.
Come funziona l’autenticazione dell’utente ?
PeopleWeek offre due diversi tipi di autenticazione degli utenti:
1) Accesso utilizzando il login nativo di PeopleWeek, che rispetta i protocolli di sicurezza quali nomi utente univoci, password complesse e supporto per l’abilitazione o l’imposizione di un’autenticazione a due fattori incorporata utilizzando Time-based One-Time Passwords” (TOTP). PeopleWeek dispone di una propria applicazione TOTP
2) Azure Single Sign-On (SSO).
Chi ha accesso ai dati del cliente e come sono segregati?
PeopleWeek è progettato in base all’accesso basato sui ruoli, il che significa che i dati sono visibili in base al ruolo dell’utente, ad esempio Dipendente, Manager, Global HR, Entity HR, Department HR, Expense Manager, Training Manager, Compliance Manager, Recruitment Manager, ecc.
In che modo PeopleWeek garantisce la disponibilità del sistema?
PeopleWeek ha un design geo-ridondante dell’infrastruttura server in relazione ai dati di produzione e ai backup, nonché alla sicurezza fisica dei centri dati utilizzati (ad esempio, alimentazione elettrica ininterrotta, sistema di allarme, sistemi di rilevamento degli incendi, ecc.)
Cosa succede ai dati dei clienti in caso di guasto totale del sistema (ad esempio per cause di forza maggiore)?
Nell’improbabile caso di un guasto totale di PeopleWeek, è possibile ripristinare 30 giorni di dati di backup.
Chi possiede i dati dei clienti in PeopleWeek?
Il cliente è il proprietario e il controllore dei suoi dati memorizzati in PeopleWeek.
Cosa succede nel caso in cui un cliente rescinda il proprio contratto con PeopleWeek?
Al termine del rapporto contrattuale, entro 30 giorni PeopleWeek consegnerà al cliente i suoi dati in un formato leggibile a macchina. I dati saranno poi cancellati in modo irrecuperabile da PeopleWeek.