HRFile
  • Отдел продаж
    info@hrfile.ru
  • Техническая поддержка
    info@hrfile.ru
  • Адрес
    109544, Москва, Бизнес-центр «Golden Gate», башня А, бульвар Энтузиастов, д. 2
Заказать демо
Заказать демо

О безопасности HRFile

Мы регулярно принимаем меры для вашей безопасной работы в HRFile.

1. Безопасность и защита персональных данных

  • Компания Эйчар Файл внесена в реестр операторов персональных данных под номером 77-25-171-371.
  • В компании назначен ответственный за обработку персональных данных.
  • Установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ.
  • Разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных; они размещены в открытом доступе на сайте.
  • Данные пользователей хранятся в защищенном облаке Selectel, которое полностью соответствует 152-ФЗ до первого уровня защищенности данных.

2. Безопасность технической инфраструктуры

  • Физическая защита инфраструктуры организована средствами ЦОД АО «Селектел». Серверы размещаются в дата-центрах, соответствующих международным стандартам надёжности Tier III, что подтверждает наличие отказоустойчивой инфраструктуры по электропитанию, охлаждению и сетевой связности.
  • Защита от DDoS-атак обеспечивается средствами Selectel на сетевом уровне: используется интеллектуальная фильтрация трафика и автоматическая нейтрализация атак без снижения доступности сервиса.
  • Используется межсетевой экран приложений Qrator.WAF — облачное решение для защиты веб-приложений от наиболее распространённых угроз (OWASP Top 10).
  • Доступ администраторов к внутренней сети осуществляется посредством защищенного VPN-соединения.
  • Установлена антивирусная защита ESET Endpoint Security, которая обеспечивает проактивное обнаружение и блокировку вредоносных программ, включая вирусы, трояны, шпионское ПО и эксплойты. Обновления антивирусных баз выполняются автоматически и в режиме реального времени.
  • В ЦОД АО «Селектел» применяется шифрование дисков, стандарт шифрования AES.
  • Передача данных между системой HRFile и Удостоверяющим центром осуществляется по защищённому каналу связи с использованием протокола TLS 1.2, обеспечивающего конфиденциальность, целостность и аутентичность данных.
  • Все данные копируются на резервный сервер раз в сутки. Резервные копии хранятся в отдельном географически распределённом ЦОД, что обеспечивает устойчивость к региональным сбоям и исключает риск потери данных.
  • При использовании методов API мы ввели дополнительные организационные меры защиты: получить токен могут только пользователи системы, а у самого токена ограничен срок действия — в случае отсутствия активности пользователя срок жизни токена ограничен 1 часом.

3. Безопасность приложения

В HRFile ведется логирование действий пользователей. Журнал событий хранится весь срок действия сотрудничества. В журнал событий записываются действия:

  • o создание и изменение объектов (карточек физических лиц, выплат, пользователей, единиц оргструктуры и пр.)
  • o изменение прав пользователей
  • o публикация документов, просмотр документов, подписание документов
  • o успешный вход в аккаунт
  • o выход из системы

По данным действиям записываются следующие данные: наименование действия, дата, время, устройство и версия браузера, пользователь

  • доступ в систему осуществляется посредством веб-браузера через защищенное HTTPS-соединение (WAF) по логину и паролю пользователя. Пароль не хранится в открытом виде в Базе данных, применяется хеширование пароля с «солью»;
  • в HRFile реализована матрица ролей. У каждой роли существуют права на действия в системе;
  • все базы данных клиентов разделены физически;
  • был проведен pentest (испытание на проникновение) командой Инфоджет, подтверждена устойчивая защита от OWASP Top 10 угроз;

Мы регулярно проводим мониторинг изменений в области информационной безопасности и реализуем лучшие практики в нашем сервисе HRFile для Вашей стабильной и безопасной работы

Регулярные обновления и меры:

  • проведение внутренних аудитов безопасности раз в год;
  • обновление антивирусных баз и правил WAF в автоматическом режиме;
  • актуализация политики безопасности при любом изменении архитектуры или законодательства.

Ближайшие инициативы и улучшения:

  • подключение системы SIEM для автоматического анализа событий и обнаружения инцидентов;
  • проведение ежегодного независимого пентеста с публикацией его результатов по запросу клиента;
  • упрощение инструментов управления безопасностью для клиентов (например, самостоятельное управление сроками хранения логов).

Наша цель — обеспечить безопасность вашего бизнеса не только сегодня, но и завтра.