Безопасность сервиса HR Tek

 

Работа с данными в сервисе:

- все данные сервиса в виде активных онлайн копий хранятся одновременно на нескольких серверах, регионально распределенных по разным ЦОД на территории РФ с технической поддержкой ООО «ВК», что исключает риски потери данных и риски выхода сервиса из строя при отключении электричества.

- доступ к внутренней сети организации осуществляется с помощью защищенного VPN-соединения с двухфакторной аутентификацией;

- ЦОДы, в которых базируется сервис, сертифицированы стандартом Tier III, что обеспечивает надёжность инфраструктуры.

 

Существует система логирования действий пользователей, информация о которых хранится на протяжении всего срока сотрудничества. Логируются не только успешные действия, но и безуспешные.

 

Примеры типов логируемых событий:

- регистрация

- вход

- выпуск УНЭП

- подписание УНЭП

- изменение пользователя/групп

- работа с заявками

- работа с LNA.

 

Доступ к веб-интерфейсу осуществляется через защищенное HTTPS-соединение с двухфакторной аутентификацией. Пароли не хранятся в открытом виде, они хешированы с применением «соли».

 

В сервисе реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:

- сотрудник

- руководитель

- представитель компании

- администратор.

 

Существуют разные варианты инсталляций:

- использование SAAS решения на базе опыта и квалификации команды VK

- pазмещение на виртуальных серверах в дата-центре VK (Private cloud) с использованием TLS c ГОСТ для обмена информацией между инфраструктурами;

- размещение на серверах клиента (on-premise).

 

Возможны интеграции с корпоративной системой аутентификации (SSO).

Применение параметров корпоративной парольной политики клиента при использовании встроенной системы аутентификации сервиса:

- срок действия

- типы и количество символов

- запрет на повтор предыдущих паролей.

 

Операционная безопасность:

доступ в продакшн только у ограниченного числа сотрудников.

 

Для обеспечения информационной безопасности проводятся технические и административные меры. Сейчас проходим этап получения заключения и аттестата по обеспечению безопасности системы ПДн внешним подрядчиком, лицензированным ФСТЭК. Для системы выполняем соответствие требованиям УЗ 3 (проходили тестирование на уязвимости корпоративной ИБ-службой VK, также система поставлена на регулярное сканирование на уязвимости). В ближайшем будущем система будет размещена на отечественном аналоге Bug Bounty HackerOne.