Technicko-organizační opatření 

Software jako služba  

Nelisa je provozována jako SaaS (Software jako služba), což jednoduše znamená: 

• běží na soukromém cloudu, 
• servery a data Nelisy jsou umístěny v datových centrech v rámci EU, 
• Nelisa jako poskytovatel aplikačních služeb (ASP - Application Service Provider) zajišťuje provoz a dostupnost systému. 

Přístupová omezení 

Uživatelská data jsou dostupná pouze omezenému okruhu autorizovaných zaměstnanců na základě principu „need-to-know“. 

Bezpečnostní opatření zahrnují mj. sledování operací a aktivit spojených s identitou operátora. 

Oddělení rolí 

Při zpracování uživatelských požadavků rozeznáváme tyto role: 

• Zákaznická podpora [<10] – přijímá požadavky od zákazníků a snaží se je zpracovat (v první linii). 
• Obchodní oddělení [20+] – řeší funkční požadavky na produkty, kampaně atd. 
• Správa systémů [<10] – udržuje technické zdroje (servery, zálohy…). 

Role popsané výše musí (nebo potenciálně mohou) mít přístup k části nebo kompletním uživatelským datům. Orientační počet zaměstnanců je úměrný velikosti podpory, která musí nevyhnutelně přistupovat k údajům. 

Výmaz osobních údajů 

V prostředí Nelisy mohou firmy ručně mazat  

• kandidáty a  
• záznamy o náboru ze seznamu kandidátů a seznamu náborů. 

Nelisa žádný souhlas se zpracováním osobních údajů kandidátů pro své vlastní účely nesbírá, protože s kandidáty Nelisa nijak nepracuje, pouze je zpřístupňuje firmám. Firmy mají možnost si vyplnit vlastní text GDPR souhlasu a nastavit potřebnou dobu uchování. Pokud kandidát poskytne souhlas s delší dobou uchování, výmaz se řídí dle platnosti souhlasu. Pokud kandidát souhlas neudělí nebo firma nemá vlastní GDPR souhlas, dochází k výmazu po 6 měsících. 

Technická bezpečnostní opatření 

Přístup uživatelů je zajištěn prostřednictvím šifrovaného připojení. 

Neprodukční (vývojové/testovací) prostředí je odděleno od produkčních dat.  

Uživatelská data jsou omezena na produkci, neprodukční prostředí má svá testovací data, která nejsou nijak odvozena z těch produkčních. 

Nelisa se neustále vyvíjí a testuje (funkčnost a zabezpečení zároveň). 

Aktualizace a opravy (patches) jsou zaváděny na denní bázi. 

Uživatelská podpora 

Žádosti o podporu jsou shromažďovány a zaznamenávány pomocí služby Intercom a zpracovávány týmem zákaznické podpory v co nejkratším možném čase, během standardní pracovní doby (Po-Pá, 08:00-17:00CET/CEST, Praha). 

Kontakt: support@nelisa.com, +420 702 102 080 (CZ/SK/EN). 

Kompatibilita a minimální požadavky 

Nelisa je přístupná prostřednictvím webového prohlížeče a je kompatibilní s hlavními prohlížeči – Firefox, Chrome, Explorer/Edge, Safari.

Je vyžadování podpora JavaScriptu a nezbytných cookies. 

Pro nejlepší uživatelský zážitek doporučujeme používat nejnovější verzi prohlížeče. 

Přenášené údaje 

Webový přístup umožňuje pouze připojení HTTPS (šifrované). 

Oddělení jednotlivých klientských relací je zajištěno mechanismem cookies (session). 

Veškerý provoz produkčního systému v obou směrech je filtrován a HTTPS je povoleno pouze k interakci s uživatelem a šifrovaný přístup (protokol SSH s ověřením klíčem) pro údržbu/aktualizaci aplikace. 

Ověření 

Uživatelské účty jsou považovány za individuální (Nelisa důrazně nedoporučuje sdílení účtů mezi více uživateli). 

Nešifrované heslo není nikdy uloženo a je přítomno pouze v paměti v době přihlášení uživatele.  

Hesla jsou uložena pouze v hashované podobě. Hashovací algoritmus je neustále upravován, aby reagoval na aktuální stav technologie. 

Data v bezpečí 

Pro úložiště používá Nelisa managed MySQL od DigitalOcean. 

Servery běží virtualizovaně (Kubernetes) na operačním systému Linux. 

Zálohy a možnost restore je podle výchozích možností DigitalOcean 7 dní: https://docs.digitalocean.com/products/databases/mysql/how-to/restore-from-backups/. 

Sledování a dohled 

Monitorování operací běží nepřetržitě (24×7). 

Stav systému je denně sledován: 

• Ke kontrole se využívají společně externí monitorovací služby a interní systémy. 
• Chcete-li zkontrolovat tříměsíční historii provozu hlavních vstupních bodů Nelisy, navštivte https://nelisa.betteruptime.com/. 

Vývojový cyklus 

Vývojová, integrační a testovací prostředí jsou plně virtualizována a běží na cloudové platformě. Každé prostředí má odlišná přístupová oprávnění. Produkční prostředí je zcela odděleno (fyzicky) od neprodukčních prostředí. 

Plánování, vývoj a testování jakýchkoli aktualizací/nových verzí Nelisy probíhá v rámci agilního vývoje (cyklujeme pomocí SCRUM Sprintů). 

Všechny použité komponenty (včetně těch vyvinutých interně) jsou před nasazením do produkce testovány z hlediska stability, dostupnosti a bezpečnosti, aby byla vždy zajištěna podpora dodavatele/výrobce platformy. 

V případě zjištěných bezpečnostních chyb jsou aktualizace (záplaty/opravné balíčky) aplikovány po testování v co nejkratší době. 

Testování probíhá v kontinuálním a víceúrovňovém vývojovém režimu: 

• Před přijetím jakékoli změny ve zdrojovém kódu probíhá kontrola vývojářů (místní Lint a princip čtyř očí). 
• V rámci kontroly kvality kódu se provádí statická analýza kódu (pomocí nástrojů pro kontrolu kódu). 
• Nová funkcionalita je manuálně testována. 
• Když testy dopadnou dobře, zahájí se řízený proces nasazování softwaru a nový kód se přesune do produkce.  
• Nasazování je plně automatizované - manuální zásahy nejsou povoleny. 

Audit a historie 

Audity – kontrola nastavení systémů je součástí interních procesů.  

Na zpracování údajů dohlíží pověřenec pro ochranu osobních údajů (Data Protection Officer), který je dostupný na dpo@nelisa.com. 

Historie: Nelisa ukládá výseč informací týkající se:  

• čerpání služeb, 
• správy objednávek, 
• správy kandidátů, 
• změny v přístupu k firmě.