Вопросы информационной безопасности
IT-инфраструктура Happy Job позволяет проводить корпоративные исследования действительно большого объёма: одновременно мы опрашивали компании суммарной численностью более 250 000 человек. Максимальное количество респондентов, которые могут единовременно участвовать в опросах, не замерялось.
Серверы платформы находятся на территории Российской Федерации, на базе двух дата-центров, обладающих полным комплектом сертификатов уровня Tier III, включая Tier III — Gold Certification of Operational Sustainability. Безопасность дата-центров подтверждена сертификатами и лицензиями ФСБ, ФСТЭК, PCI DSS, которые соответствуют стандартам ГОСТ Р ИСО 9001-2015, ISO27001 и ISO/IEC 20000:2011.
Персональные данные сотрудников клиентов, включающие email-адреса, и другая информация зашифрованы.
Мы полностью открыты к взаимодействию со службами информационной безопасности на стороне клиента для обеспечения доступов, внесения happy-job.ru в разрешённые списки, firewall и т.д. для успешного проведения опроса.
ISO 27001
Наша программа безопасности соответствует ISO 27001 и спроектирована с учётом:
- систематической оценки рисков информационной безопасности на предмет угроз и уязвимостей;
- комплексного пакета инструментов управления безопасностью персональных и иных данных и других форм управления рисками безопасности компании и архитектуры систем;
- выстроенного процесса управления, гарантирующего постоянное соответствие средств управления информационной безопасностью предъявляемым требованиям.
Соответствие 152-ФЗ / GDPR
Наша политика безопасности соответствует требованиям 152-ФЗ. Принципы конфиденциальности, действующие на платформах Happy Job, позволяют клиентам соблюдать права субъектов данных в соответствии с 152-ФЗ: на доступ, исправление и удаление данных. Happy Job также соответствует требованиям к хранению и минимизации данных.
Политика безопасности учитывает требования GDPR. Процессы, имеющие доступ к персональным данным, проходят сертификацию в соответствии с требованиями ЕС.
Безопасность внутри организации
Выделенные команды и инженер по безопасности обеспечивают безопасность приложений и операций с полной поддержкой высшего руководства.
В компании применяются принцип разделения команд и кодификация названий компаний-клиентов при внутренней коммуникации между сотрудниками.
Управление уязвимостями
Регулярное сканирование на наличие уязвимостей и стороннее тестирование на проникновение проводятся как со стороны офиса разработки, так и со стороны дата-центра дважды в год с привлечением аудитора.
Защита данных
Данные всегда шифруются в состоянии покоя с использованием AES 256 и при передаче по протоколу TLS 1.2. Резервное копирование базы данных выполняется с высокой частотой, шифруется в состоянии покоя и доступно в рамках версионности в случае аварии.
Все операции пользователей баз данных логируются и проходят ежемесячную ревизию.
Контроль доступа
Только немногие старшие сотрудники службы поддержки производства имеют доступ к данным клиентов. Для доступа используются MFA и VPN. Все файлы шифруются и передаются по определённым каналам. Производственные данные никогда не покидают производственную среду без полной анонимности, включая контент обратной связи, имена групп, названия компаний и т.д.
Реакция на инцидент
Наша команда реагирования на инциденты безопасности хорошо подготовлена для обработки любых инцидентов. Наши клиенты получат уведомление в течение 48 часов в случае нарушения или компрометации программы безопасности Happy Job.