Nelisa se pruža kao SaaS (Softver kao usluga), što jednostavno znači:
· radi na privatnom cloudu,
· poslužitelji i podaci Nelise smješteni su u podatkovnim centrima unutar EU-a,
· Nelisa kao pružatelj aplikacijskih usluga (ASP – Application Service Provider) osigurava rad i dostupnost sustava.
Korisnički podaci dostupni su samo ograničenom broju ovlaštenih zaposlenika na temelju načela „need-to-know“.
Sigurnosne mjere uključuju, između ostalog, praćenje operacija i aktivnosti povezanih s identitetom operatera.
Pri obradi korisničkih zahtjeva razlikuju se sljedeće uloge:
· Korisnička podrška [<10] – prima zahtjeve od klijenata i nastoji ih obraditi kao prva linija podrške.
· Prodajni odjel [20+] – rješava funkcionalne zahtjeve za proizvode, kampanje I usluge.
· Administracija sustava [<10] – održava tehničke resurse (poslužitelje, sigurnosne kopije, itd.)
Uloge opisane gore moraju (ili mogu) imati pristup dijelovima korisničkih podataka ili, u nekim slučajevima, cjelokupnim podacima korisnika, kako bi mogli obavljati svoje zadatke. Približan broj zaposlenika odražava razinu podrške potrebnu za pristup podacima.
Unutar platforme Nelisa, tvrtke mogu ručno brisati:
· kandidate i
· zapise o zapošljavanju s popisa kandidata i popisa zapošljavanja.
Nelisa ne prikuplja privolu za obradu osobnih podataka kandidata za vlastite potrebe, jer Nelisa ne radi izravno s kandidatima, već njihove podatke samo stavlja na raspolaganje tvrtkama. Tvrtke mogu unijeti vlastiti tekst GDPR privole i odrediti potrebni rok čuvanja podataka. Ako kandidat da privolu za dulje čuvanje podataka, njihovo brisanje provodi se u skladu s trajanjem te privole. Ako kandidat ne da privolu ili ako tvrtka ne osigura vlastiti GDPR tekst privole, osobni podaci brišu se nakon 6 mjeseci.
Tehničke sigurnosne mjere
Pristup korisnika osiguran je putem šifriranih veza.
Neprodukcijska okruženja (razvoj i testiranje) odvojena su od produkcijskih podataka.
Korisnički podaci ograničeni su na produkcijsko okruženje; neprodukcijska okruženja koriste vlastite testne podatke koji nisu izvedeni iz produkcijskih podataka.
Nelisa se kontinuirano razvija i testira, s naglaskom na funkcionalnost i sigurnost.
Ažuriranja i zakrpe implementiraju se na dnevnoj razini.
Zahtjevi za podršku prikupljaju se i prate putem Intercoma te ih tim korisničke podrške pravovremeno rješava tijekom radnog vremena (ponedjeljak – petak, 08:00–17:00 CET/CEST, Prag/Bratislava).
Kontakt: support@nelisa.com , +420 702 102 080 (CZ/SK/EN).
Nelisa je dostupna putem web preglednika i kompatibilna s glavnim preglednicima, uključujući Firefox, Chrome, Explorer/Edge i Safari.
Potrebna je podrška za JavaScript i nužne kolačiće.
Za najbolje korisničko iskustvo preporučuje se korištenje najnovije verzije preglednika.
Pristup putem weba moguć je isključivo putem šifriranih HTTPS veza.
Razdvajanje pojedinačnih korisničkih sesija osigurano je putem sesijskih kolačića.
Sav ulazni i izlazni promet produkcijskog sustava filtrira se. HTTPS je dopušten samo za interakciju s korisnicima, dok se šifrirani pristup (SSH s autentikacijom putem ključa) koristi isključivo za održavanje i ažuriranje aplikacije.
Korisnički računi smatraju se individualnima (Nelisa snažno obeshrabruje dijeljenje računa među korisnicima).
Lozinke u otvorenom tekstu nikada se ne pohranjuju i postoje samo u memoriji tijekom prijave korisnika.
Lozinke se pohranjuju isključivo u hashiranom obliku. Algoritam hashiranja kontinuirano se ažurira u skladu s aktualnim tehnološkim standardima.
Za pohranu podataka Nelisa koristi upravljanu MySQL bazu podataka DigitalOceana.
Poslužitelji rade u kontejneriziranom okruženju (Kubernetes) na Linux operativnom sustavu.
Sigurnosne kopije i opcije oporavka slijede uobičene postavke DigitalOceana uz rok zadržavanja od 7 dana:
https://docs.digitalocean.com/products/databases/mysql/how-to/restore-from-backups/.
Operativno praćenje odvija se kontinuirano (24/7).
Status sustava provjerava se svakodnevno:
· Koristi se kombinacija vanjskih sustava za nadzor i internih sustava.
· Za pregled tromjesečne povijesti rada glavnih ulaznih točaka Nelise posjetite:
https://nelisa.betteruptime.com/
Razvojna, integracijska i testna okruženja u potpunosti su virtualizirana i rade na cloud platformi. Svako okruženje ima različite razine pristupa. Produkcijsko okruženje potpuno je (fizički) odvojeno od neprodukcijskih okruženja.
Planiranje, razvoj i testiranje svih ažuriranja i novih verzija Nelise provodi se prema agilnoj metodologiji razvoja, koristeći SCRUM sprintove.
Sve komponente koje se koriste – uključujući i one razvijene interno – testiraju se na stabilnost, dostupnost i sigurnost prije implementacije u produkciju, čime se osigurava kontinuirana podrška dobavljača i platforme.
Ako se utvrde sigurnosne ranjivosti, ažuriranja (zakrpe i ispravci) primjenjuju se u najkraćem mogućem roku nakon odgovarajućeg testiranja.
Testiranje se provodi kontinuirano i na više razina:
· prije prihvaćanja svake izmjene u izvorni kod provodi se provjera od strane developera (linting i princip “četiri oka”),
· provodi se statička analiza koda kao dio kontrole kvalitete pomoću automatiziranih alata,
· nova funkcionalnost testira se ručno,
· nakon uspješno završenih testova pokreće se kontrolirani proces implementacije i novi kod se pušta u produkciju,
· implementacije su potpuno automatizirane – ručne intervencije nisu dopuštene.
Revizije konfiguracije sustava dio su internih procesa.
Obrada osobnih podataka nadzire se od strane službenika za zaštitu podataka (DPO), koji je dostupan na adresi: dpo@nelisa.com .
Evidencija: Nelisa pohranjuje odabrane zapise koji se odnose na:
· korištenje usluga,
· upravljanje narudžbama,
· upravljanje kandidatima,
· promjene u pravima pristupa tvrtke.