Technické a organizačné opatrenia

Softvér ako služba (SaaS) 

Nelisa funguje ako SaaS (Software as a Service), čo jednoducho znamená: 

• beží v privátnom cloude, 
• servery a dáta Nelisy sú hostované v dátových centrách v rámci EÚ, 
• Nelisa ako poskytovateľ aplikačných služieb (ASP -  Application Service Provider) zabezpečuje prevádzku a dostupnosť systému. 

Obmedzenia prístupu 

Používateľské údaje sú prístupné len obmedzenému okruhu autorizovaných zamestnancov na základe princípu „need-to-know”. 

Bezpečnostné opatrenia zahŕňajú okrem iného sledovanie operácii a aktivít viazaných na identitu operátora. 

Oddelenie rolí

Pri spracúvaní používateľských požiadaviek rozlišujeme tieto roly: 

• Zákaznícka podpora [<10] – prijíma a rieši požiadavky zákazníkov ako prvá línia podpory. 
• Obchodný tím [20+] – rieši funkčné požiadavky súvisiace s produktmi, kampaňami a službami. 
• Správa systému [<10] – zabezpečuje údržbu technických zdrojov (servery, zálohy a pod.). 

Vyššie uvedené roly musia (alebo môžu) mať prístup k niektorým a v niektorých prípadoch aj k úplným používateľským údajom, aby mohli plniť svoje pracovné povinnosti. Uvedený približný počet zamestnancov odrážarozsah podpory potrebný pre prístup k citlivým údajom. 

Vymazanie osobných údajov 

V rámci platformy Nelisa môžu spoločnosti manuálne vymazať: 

• kandidátov a 
• záznamy o nábore  
  zo zoznamu kandidátov a zoznamu náborov. 

Nelisa nezbiera súhlas na spracúvanie osobných údajov kandidátov na vlastné účely, keďže Nelisa priamo s kandidátmi nepracuje a ich údaje sprístupňuje iba spoločnostiam. Spoločnosti môžu poskytnúť vlastný text súhlasupodľa GDPR a určiť požadovanú dobu uchovávania údajov. Ak kandidát udelí súhlas na dlhšiu dobu uchovávania, vymazanie údajov sa riadi platnosťou tohto súhlasu. Ak kandidát súhlas neudelí alebo ak spoločnosťneposkytne vlastný GDPR súhlas, osobné údaje sa vymažú po 6 mesiacoch. 

Technické bezpečnostné opatrenia 

Prístup používateľov je zabezpečený prostredníctvom šifrovaných spojení. 

Neprodukčné prostredia (vývoj a testovanie) sú oddelené od produkčných dát. 

Používateľské dáta sú obmedzené na produkčné prostredie; neprodukčné prostredia používajú vlastné testovacie dáta, ktoré nie sú odvodené z produkčných dát. 

Nelisa sa priebežne vyvíja a testuje so zameraním na funkčnosť aj bezpečnosť. 

Aktualizácie a záplaty (patches) sa nasadzujú denne. 

Používateľská podpora 

Požiadavky na podporu sa zbierajú a evidujú prostredníctvom Intercomu a riešia sa bezodkladne tímom zákazníckej podpory počas pracovných hodín (Po–Pi, 08:00–17:00 CET/CEST, Bratislava). 

Kontakt: support@nelisa.com, +420 702 102 080 (CZ/SK/EN). 

Kompatibilita a minimálne požiadavky 

Nelisa je dostupná cez webový prehliadač a je kompatibilná s hlavnými prehliadačmi vrátane Firefox, Chrome, Explorer/Edge a Safari. 

Vyžaduje sa podpora JavaScriptu a nevyhnutné cookies. 

Pre najlepší používateľský zážitok odporúčame používať najnovšiu verziu prehliadača. 

Prenášané údaje 

Webový prístup je dostupný výhradne prostredníctvom šifrovaných HTTPS spojení. 

Oddelenie jednotlivých klientskych relácií je zabezpečené pomocou session cookies. 

Všetka prichádzajúca aj odchádzajúca produkčná prevádzka je filtrovaná. HTTPS je povolené iba na interakciu používateľov a šifrovaný prístup (SSH s autentifikáciou pomocou kľúča) sa používa výlučne na údržbu aplikáciea aktualizácie. 

Autentifikácia 

Používateľské účty sa považujú za individuálne (Nelisa dôrazne neodporúča zdieľanie účtov medzi používateľmi). 

Heslá v otvorenom texte sa nikdy neukladajú a existujú iba v pamäti počas prihlásenia používateľa. Heslá sa ukladajú výhradne v hashovanej forme. 

Hashovací algoritmus sa priebežne aktualizuje tak, aby zodpovedal aktuálnym technologickým štandardom. 

Ukladanie dát a infraštruktúra 

Na ukladanie dát Nelisa používa spravovaný MySQL od DigitalOcean. 

Servery bežia v kontajnerizovaných prostrediach (Kubernetes) na Linuxe. 

Zálohovanie a možnosti obnovy sa riadia predvolenými nastaveniami DigitalOcean so 7-dňovou dobou uchovávania:  https://docs.digitalocean.com/products/databases/mysql/how-to/restore-from-backups/ 

Monitoring a dohľad 

Prevádzkový monitoring beží nepretržite (24/7). 

Stav systému sa kontroluje denne: 

• Na monitorovanie používame kombináciu externých monitorovacích služieb a interných systémov. 
• Na zobrazenie trojmesačnej prevádzkovej histórie hlavných vstupných bodov Nelisy navštívte  
  https://nelisa.betteruptime.com/. 

Vývojový cyklus  

Vývojové, integračné a testovacie prostredia sú plne virtualizované a bežia na cloudovej platforme. Každé prostredie má odlišné prístupové oprávnenia. Produkčné prostredie je úplne (fyzicky) oddelené od neprodukčnýchprostredí. 

Plánovanie, vývoj a testovanie všetkých aktualizácií a nových verzií Nelisy prebieha agilným prístupom s využitím SCRUM šprintov. 

Všetky používané komponenty – vrátane interne vyvíjaných – sa pred nasadením do produkcie testujú z hľadiska stability, dostupnosti a bezpečnosti, aby bola zabezpečená priebežná podpora dodávateľa a platformy.  

Ak sa identifikujú bezpečnostné zraniteľnosti, aktualizácie (patches a opravy) sa aplikujú čo najskôr po riadnom otestovaní. 

Testovanie je kontinuálne a prebieha vo viacerých vrstvách: 

• pred prijatím akejkoľvek zmeny do zdrojového kódu prejde kontrolou vývojára (lokálny linting a princíp „four-eyes“), 
• statická analýza kódu je súčasťou kontroly kvality s využitím automatizovaných nástrojov na code review, 
• nová funkcionalita sa testuje manuálne, 
• po úspešnom dokončení všetkých testov sa spustí riadený proces nasadenia a nový kód sa uvoľní do produkcie. 
• nasadzovanie je plne automatizované – manuálne zásahy nie sú povolené. 

Audity a história 

Audity konfigurácie systému sú súčasťou našich interných procesov. 

Spracúvanie osobných údajov je pod dohľadom zodpovednej osoby (DPO), ktorú je možné kontaktovať na dpo@nelisa.com. 

História: Nelisa uchováva vybrané záznamy týkajúce sa: 

• používania služby, 
• správy objednávok, 
• správy kandidátov, 
• zmien prístupových oprávnení spoločnosti.