在myhrtoolkit中,我们了解安全性和信息安全防护对客户和网站访问者的重要性。考虑到这一点,我们采用现代安全性最佳实践来确保您的数据安全。此外,myhrtoolkit已在信息专员办公室注册为数据处理器。 以下各节概述了我们的安全和支持系统。
您可能还想访问我们的 隐私和GDPR区域.
我们公司已达到国际认可的信息安全管理标准ISO27001。ISO/ IEC 27001:2013(ISO 27001)认证要求我们展示一种系统且严格的方法来确保客户和公司信息的安全。我们通过有效的信息安全管理系统(ISMS)来实现这一目标。在我们的手册中查找有关我们如何获得认证的更多信息 新闻公告.
您还可以查看 ISO 27001证书的PDF.
该Web工具监视并显示我们每项服务的当前状态;主工具包应用,移动应用,API和 myhrtoolkit.com 网站。它还提供了将来任何维护的详细信息。您可以查看我们的 状态页面.
最好的安全性需要一直扩展到硬件级别。 Myhrtoolkit利用 Google Cloud Platform(GCP) 提供安全可靠的基础架构。
我们的基础架构受到高级防火墙的保护。除标准Web端口以外的所有服务和端口均已被IP地址删除或锁定。他们运行修补和强化的Linux安装。
我们的基础架构具有高度的弹性,能够自动修复并按需扩展。我们所有的服务器都保持最新的最新安全措施和补丁。
GCP也完全符合ISO 27001。
如果在阅读本文档后,您需要有关Google Cloud Platform及其向我们提供的服务的更多信息,请访问 cloud.google.com/why-google-cloud/。您还可以在以下位置了解有关其安全性的更多信息,并查看GCP的所有认证 cloud.google.com/security/compliance/
Myhrtoolkit利用现有的最佳加密技术。我们的证书使用256位加密进行加密,并且您和我们的服务器之间传递的所有数据都使用行业标准的128位加密进行加密。所有密码均使用标准AES加密算法加密。常规数据会被混淆,但不会被加密,因为需要对其进行搜索和索引。加密所有现场级别的数据可能会对性能造成太大影响,因此不可行。这是一种标准方法。我们会定期更新加密方法,以确保我们不再支持弱密码,并在安全补丁发布后立即予以应用。与我们服务器之间的连接通过SSL进行。我们已大大增强了SSL(或准确地说是TLS)连接,仅支持强大的密码套件。连接到我们的任何网站都要求至少TLS 1.2。我们不支持TLS 1.0,TLS 1.1或SSL v2和v3协议。
我们不需要经过PCI DSS审核,但在可能的情况下,我们将此标准用作最佳实践。我们已经实现了 Qualys SSL Labs的等级.
由于我们不处理或保存支付卡数据,因此我们不需要PCI审核。我们进行的此类卡处理工作由第三方商家Worldpay为我们管理;一家国际卡支付公司,每天处理约3100万笔付款。它们完全符合PCI标准。
但是,我们确实希望使用PCI标准来指导我们的内部开发和流程。
通信加密有2个组成部分:关键强度和传输中的数据。
我们的密钥强度符合RSA2048位标准,因此非常安全。
用于传输数据的加密级别取决于浏览器。 也就是说,它依赖于用户浏览器支持的加密级别。因此,符合PCI标准,我们目前支持128到256位之间的连接。较低级别将根据当前PCI准则弃用。与此同时, 我们将放弃对TLS 1.0的支持& 1.1 ciphers 并强制使用TLS 1.2(2013年已删除SSL)。
因此,对IE 8、9、10及更低版本的支持也将被删除。微软于2016年1月放弃了对除IE11和Edge之外的所有软件的支持。
2018年,互联网安全发生了重大变化。 PCI建议组织,最悠久的安全协议之一,传输层安全版本1(TLS 1.0,在某些情况下为TLS 1.1)将于同年6月删除。各种浏览器开发代理均表示将在2020年从其产品中删除支持。
对于通过现代浏览器访问网络的大多数人来说,这并不构成问题。但是,任何仍在使用旧版浏览器的人都将发现他们无法访问许多站点,包括myhrtoolkit。
为了帮助确定您是否会受到影响,我们将在登录屏幕上显示一条消息,检测到您正在通过较旧的浏览器进行连接。
解决方案是升级现有的浏览器,或切换到更现代的版本。
为了进一步了解问题并提供一些指导,我们的技术总监写了 解释TLS 1.0和1.1折旧的文章.
Netcraft每周都会扫描我们的服务器应用程序中的漏洞。发现的任何问题都将在几天之内解决。在Netcraft网站上:“ Netcraft每天都会更新其测试套件,并添加针对最新安全漏洞的新测试。具有“ Netcraft审核”标志的网站可以确保站点所有者保持警惕并维护其安全性。网站以应对最新的Internet安全漏洞。”
您可以看到我们当前的 由Netcraft状态审核 以及Netcraft网站上的更多信息。
DDoS攻击是通过以异常高的流量淹没该服务,直到该服务不再能够处理真正的请求,从而恶意破坏联机服务。通常,这可能会伴随有要求付款以停止攻击的请求。可悲的是,随着诸如Twitter和Instagram之类的公司受到影响,这已成为在线业务中越来越普遍的一部分。
为了保持可靠的防御DDoS类型的攻击,我们的技术合作伙伴GCP和CloudFlare利用复杂的专有系统来预防和缓解这种攻击。
我们的登录系统具有内置的保护功能,可以防止尝试使用自动暴力攻击闯入系统。
我们了解定期可靠备份对确保系统可用性和连续性的重要性;因此,出于灾难恢复的目的,我们运行了全面的备份程序。
我们的数据库每小时备份一次。此备份经过加密,并通过安全连接传输到多个异地,并且在网络之外时仍保持加密状态。它与多个PCI DSS 1级服务提供商一起存储在弹性和容错媒体上。
除了跨多个区域进行加密和冗余存储外,客户上传的文件也被备份到安全的异地位置。 Google云端存储提供99.999999999%的耐用性和99.9%的可用性.
我们的所有备份最多可以存储31天,然后安全删除。
所有设施都完全基于EEA。
请注意,不能从此备份中提取单个数据,记录或文档。
在发出客户服务通知以终止其对myhrtoolkit的使用后,帐户将正常运行,直到合同的最后一天,通常是下一张月度发票的前一天。在此期间,我们很乐意协助数据提取。
然后,将客户数据再存档30天,然后再删除所有数据,以使其不可恢复。
存档期过后,帐户数据将在灾难恢复中保留另外30天(如上所述)。
此后,唯一保留的数据是适合于记录我们以前存在的商业关系的公司级别数据。没有存储个人数据。
| 阶段 | 期 | 访问 |
|---|---|---|
| 正常使用 | 直到合同的最后一天 | 充分 |
| 封存 | 30天 | 可应要求恢复(收费) |
| 备份数据恢复 | 30天 | 没有 |
接收或查看所有客户数据时,将其视为机密信息。出于“需要了解”的目的,只有有限数量的人员可以访问此信息,这些人员必须遵守内部保密协议。
我们的默认位置是没有人出于任何原因访问任何可识别的客户数据。但是,为了使我们能够正确诊断问题并修复错误,有时可能需要遵循定义明确且以权限为中心的过程来访问客户数据。看我们的 客户数据访问政策 更多细节。
我们的IT总监会定期记录和检查所有数据库访问权限。解决问题后,所有数据副本都将安全地从我们的开发环境和服务器中销毁,所有纸质记录也被粉碎。从最初的客户数据访问请求到最终破坏检索到的数据,整个过程都由IT总监定期审核和检查。
硬拷贝信息通过一家完全认可的第三方数据销毁公司进行处置。
有关此内容的完整说明,请参见我们的 客户数据访问政策.
每个myhrtoolkit系统都具有一个称为“安全中心”的中心。为系统控制器提供监督和管理其自身安全性的工具。
这包括一个密码生成器,该密码生成器使控制器可以指定组成其密码的组件,例如最小长度和字符类型。
有关安全中心的更多信息,请参见我们的 安全中心支持指南.
Myhrtoolkit由专业团队组成,他们致力于使myhrtoolkit既安全又极其可靠。我们致力于确保确实出现问题时,我们会及时响应并迅速解决。在硬件级别,我们的GCP基础架构已设置为具有自动修复和自动缩放功能,尽可能地容错。
当您确实需要支持时,可以在myhrtoolkit中找到完全集成的帮助部分。在这里,您可以找到有关使用myhrtoolkit的指南以及向myhrtoolkit支持团队发送直接消息的表格。此外,网站上还提供了广泛的支持文档和视频 支援区 我们的网站。
另外,团队成员可在myhrtoolkit营业时间内获得支持:09:00-17:00 星期一至星期五(英国时间),请通过myhrtoolkit帐户致电支持热线以提交支持票。
Myhrtoolkit符合通用数据保护法规(GDPR)(EU)2016/679。
我们有一个 隐私和GDPR资源中心.
最后更新时间:2020年11月16日17:00
假期计划者
缺勤管理
员工管理
文件管理
培训管理
薪酬与福利
报告中
健康与安全管理
任务管理
安全Centre
自助服务
移动