Prawno-organizacyjne

Najczęściej szukane:jak zmienić hasło, integracja API, importowanie pracowników

Organizacyjne praktyki bezpieczeństwa tomHRM

Organizacyjne praktyki bezpieczeństwa tomHRM

Bezpieczeństwo w tomHRM nie kończy się na technicznych mechanizmach aplikacji. Równie ważny jest system zarządzania bezpieczeństwem wewnątrz organizacji dostawcy — ENNOVA — który gwarantuje, że pracownicy, dostawcy i procesy działają zgodnie z polityką bezpieczeństwa. Artykuł zbiera kluczowe praktyki organizacyjne wdrożone u dostawcy.

Zarządzanie zasobami IT i dostępami

Rejestr aktywów

ENNOVA prowadzi rejestr aktywów cyfrowych i IT — ewidencję wszystkich zasobów (konta, serwery, usługi, urządzenia, repozytoria), które są objęte procedurą zarządzania dostępami. Każde aktywum ma przypisaną osobę odpowiedzialną i uregulowany cykl życia (nadawanie / odbieranie dostępu).

Procedura zarządzania dostępami

Dostęp do zasobów cyfrowych i IT nadawany jest zgodnie z udokumentowaną procedurą:

  1. Nadawanie dostępu na podstawie jasno zdefiniowanej potrzeby biznesowej (zasada najmniejszych uprawnień).
  2. Regularna rewizja uprawnień i ich aktualizacja przy zmianie stanowiska pracownika.
  3. Natychmiastowe odbieranie dostępu przy zakończeniu współpracy.

Szkolenia pracowników

Pracownicy ENNOVA (dostawcy tomHRM) przechodzą cykliczne szkolenia obejmujące:

  1. Bezpieczeństwo informacji — zasady pracy z danymi klientów, reagowanie na incydenty, wykrywanie phishingu.
  2. RODO / ochrona danych osobowych — obowiązki Administratora i Procesora, prawa osób, których dane dotyczą.
  3. Sztuczna inteligencja (AI) — praca z narzędziami AI zgodnie z polityką bezpieczeństwa i ochrony danych.
Szkolenia są cykliczne, nie jednorazowe — to warunek utrzymania zgodności z normami takimi jak ISO 27001 oraz z wymogami RODO.

Umowy o poufności i zasady prywatności

Każdy pracownik ENNOVA podpisuje umowę o poufności (NDA) oraz zobowiązuje się do przestrzegania zasad prywatności i bezpieczeństwa obowiązujących w organizacji.

Zobowiązanie do poufności dotyczy również zakończenia współpracy — obowiązki trwają po rozwiązaniu umowy zatrudnienia.

Business Continuity Planning (BCP)

Plan ciągłości działania (BCP) określa, jak organizacja ma funkcjonować w sytuacji, gdy kluczowe osoby lub zasoby stają się niedostępne — np. w wyniku choroby, wypadku, awarii infrastruktury.

W praktyce BCP obejmuje między innymi:

  1. Identyfikację kluczowych ról i zasobów, których ciągłość jest niezbędna.
  2. Określenie osób zastępujących i procesów eskalacji.
  3. Procedury komunikacji wewnętrznej i zewnętrznej w sytuacji kryzysowej.

Disaster Recovery Plan (DRP)

Plan odtwarzania po awarii (DRP) to dokument i procedura, które opisują, jak przywrócić działanie usługi tomHRM po nieprzewidzianym zdarzeniu — np. awarii sprzętu, katastrofy w centrum danych, incydentu bezpieczeństwa.

DRP odpowiada między innymi na pytania:

  1. Które elementy usługi mają być przywrócone w pierwszej kolejności i w jakim czasie (cele RTO/RPO).
  2. Skąd są pobierane kopie zapasowe do przywrócenia danych.
  3. Kto koordynuje odtwarzanie i komunikuje status klientom.

Polityka kopii zapasowych (które stanowią fundament DRP) jest opisana w artykule Ochrona danych w tomHRM.

Zarządzanie dostawcami i podwykonawcami

tomHRM korzysta z usług podwykonawców (dostawcy infrastruktury, usług chmurowych, wsparcia). Każdy podwykonawca, który ma kontakt z danymi klientów, przechodzi regularną weryfikację pod kątem zgodności z przepisami o ochronie danych (RODO) i polityką bezpieczeństwa ENNOVA.

Standardowe klauzule umowne i DPF

Dla podwykonawców spoza UE stosowane są standardowe klauzule umowne (SCC) oraz — w przypadku USA — ramy EU‑US Data Privacy Framework. Szczegóły w Bezpieczeństwie prawnym tomHRM.

Prawo sprzeciwu klienta wobec nowego podwykonawcy

Administrator danych (klient) jest informowany o każdym nowym podwykonawcy i ma prawo zgłosić sprzeciw w terminie 21 dni od otrzymania informacji.

Testy penetracyjne

tomHRM przechodzi zewnętrzne testy penetracyjne prowadzone przez niezależnych specjalistów ds. bezpieczeństwa. Celem testów jest wykrycie potencjalnych słabości aplikacji i infrastruktury, zanim zostaną wykorzystane przez atakujących.

Certyfikat z testów penetracyjnych

Jeśli potrzebujesz aktualnego certyfikatu z zewnętrznych testów penetracyjnych do celów audytu lub oceny dostawcy, napisz do działu obsługi klienta tomHRM z prośbą o jego udostępnienie.

Audyt lub testy penetracyjne po stronie klienta

Jeśli Twoja organizacja chce:

  1. przeprowadzić audyt bezpieczeństwa tomHRM, lub
  2. wykonać własne testy penetracyjne przed zakupem usługi,

skontaktuj się z zespołem tomHRM w celu omówienia szczegółów — takie działania są możliwe po wcześniejszym uzgodnieniu zakresu i trybu.

WSKAZÓWKAAudyty i testy klienta są zawsze umawiane indywidualnie, żeby nie zaburzyć dostępności usługi dla innych klientów SaaS. W praktyce oznacza to podpisanie NDA, uzgodnienie okna czasowego i zakresu testów, często również kopii środowiska testowego.

Zobacz też

  1. Bezpieczeństwo prawne tomHRM
  2. Ochrona danych w tomHRM
  3. Infrastruktura i lokalizacja danych klientów tomHRM
  4. Dokumenty prawne tomHRM
 

Czy artykuł był pomocny?

Podobne tematy
Najczęściej szukane:jak zmienić hasło, integracja API, importowanie pracowników