Wir haben ein formelles Verfahren für Sicherheitsvorfälle eingeführt und alle unsere Mitarbeiter über unsere Richtlinien geschult.

Wenn Sicherheitsvorfälle erkannt werden, werden sie an unseren Notfallstelle eskaliert, Mitarbeiter werden benachrichtigt und zusammengebracht, um das Problem umgehend zu beheben.

Nachdem der Vorfall bzw. das Problem behoben wurde, führend wir eine nachbetrachtende Analyse durch.

Die Analyse wird individuell überprüft, im Unternehmen verteilt und enthält Maßnahmen, die die Erkennung und Vermeidung eines ähnlichen Ereignisses in Zukunft erleichtern.

Sage HR wird Sie unverzüglich und schriftlich benachrichtigen, sobald eine Sicherheitsverletzung der Sage HR-Dienste festgestellt wurde, welche Ihre Daten betrifft. Diese Benachrichtigung enthält die Beschreibung des Vorfalls und den Status der Untersuchung von Sage HR.

Wir verfügen über eine funktionierende, regelmäßige Automatisierung, um Änderungen an unserer Anwendung innerhalb von Minuten sicher und zuverlässig ausspielen zu können.

Alle unsere Dienste laufen in der Cloud. Sage HR betreibt keine eigenen Router, Load Balancer, DNS-Server oder physischen Server.

Alle unsere Dienste und Daten werden in AWS-Einrichtungen in Irland gehostet und sind durch AWS-Sicherheit geschützt, wie unter https://aws.amazon.com/security/ beschrieben.

Amazon gibt den genauen Standort seiner Rechenzentren nicht bekannt. Sage HR baut auf den physischen Sicherheits- und Umgebungskontrollen von AWS auf. Einzelheiten zur AWS-Sicherheitsinfrastruktur finden Sie unter https://aws.amazon.com/security/.

Sage HR verwendet eine Backup-Lösung für Datenspeicher, die Kundendaten enthalten. Erstellte Snapshots werden durch mehrstufige serverseitige Verschlüsselung mit Amazon S3-verwalteten Schlüsseln (SSE-S3) im Ruhezustand geschützt.

Alle Kundendaten werden in der Europäischen Union (EU) gespeichert.

Kundendaten werden in mandantenfähigen Datenspeichern gespeichert; es existieren keine individuelle Datenspeicher für einzelne Kunden. In unserem Anwendungscode gibt es jedoch strenge Datenschutzkontrollen, die den Datenschutz gewährleisten und verhindern sollen, dass ein Kunde auf die Daten eines anderen Kunden zugreift (d.h. logische Trennung). Wir haben viele Verhaltens- und Integrationstests, um sicherzustellen, dass diese Datenschutzkontrollen wie erwartet funktionieren. Diese Tests werden jedes Mal ausgeführt, wenn unsere Codebasis aktualisiert wird, und selbst ein einziger fehlgeschlagener Test verhindert, dass neuer Code an die Produktivumgebung ausgeliefert wird.

Jedes Sage HR-System, das zur Verarbeitung von Kundendaten verwendet wird, wird mit kommerziell vertretbaren Methoden gemäß branchenweit anerkannten Standards zur Systemstärkung angemessen konfiguriert und gepatcht.

Sage HR beauftragt bestimmte Subunternehmen mit der Verarbeitung von Kundendaten. Diese Subunternehmen sind in der Richtlinie „Subunternehmen“ aufgeführt, die von Sage HR von Zeit zu Zeit aktualisiert werden kann.

Wir sichern die Kundendaten alle 24 Stunden. Darüber hinaus führen wir 4 wöchentliche Backups und 12 monatliche Backups durch. Alle Backup-Dateien, die älter als 12 Monate sind, werden automatisch gelöscht.

Unsere Produktionsdaten und Backups werden im Ruhezustand mit AES-256-Block-Level-Speicherverschlüsselung verschlüsselt.

Wenn das Kundenkonto gelöscht wird, bewahren wir die Daten 12 Monate lang in unseren Sicherungsdateien auf. Sollten alle Daten gelöscht werden müssen, wenden Sie sich bitte an unseren Support.

Alle Daten, die an oder von Sage HR gesendet werden, werden während der Übertragung mit einer 256-Bit-Verschlüsselung gesichert.

Unsere API- und Anwendungsendpunkte sind vollständig TLS/SSL und werden bei den Tests von SSL Labs mit "A" bewertet. Das bedeutet, dass wir nur starke Verschlüsselungsmethoden verwenden.

Sage HR wird vollständig über HTTPS bereitgestellt.

Es gibt keine Unternehmensressourcen oder zusätzliche Privilegien, wenn Sie sich im Netzwerk von Sage HR befinden.

Wir haben strenge Passwortrichtlinien und eine Multi-Factor Authentication auf GitHub, Google, AWS und Sage HR, um sicherzustellen, dass der Zugriff auf die Cloud-Dienste geschützt ist.

Sage HR ermöglicht die Definition von Berechtigungsstufen für alle Mitarbeiter mit Zugriff auf Sage HR.

Berechtigungen und Zugriff können auf Ebene von App-Einstellungen, Abrechnung sowie Benutzerdaten eingestellt werden

Für jeden Sage HR-Mitarbeiterzugang in das Sage HR-Administrationssystem wird die Zwei-Faktor-Authentifizierung verwendet.

Auf Anwendungsebene werden für alle Aktivitäten wir Audit-Logs erstellt.

Jeder Zugriff auf Sage HR-Anwendungen wird protokolliert und geprüft.

Alle in der Sage HR-Anwendung durchgeführten Aktionen werden protokolliert.

Sage HR ist konform zu ISO 27001 gemäß dem britischen Normungsgremium BSI (Zertifikat IS 692128).

Wir arbeiten in einem jährlichen Zyklus mit angesehenen externen Prüfern zusammen, um unsere Codebasis zu prüfen und um potenzielle Probleme zu erkennen und zu lösen.

Informationen zu AWS-Sicherheitszertifizierungen und zum Erhalt von Kopien von Sicherheitsberichten von AWS finden Sie unter http://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedram-faqs/

Unsere Daten werden in einem Rechenzentrum gespeichert, das den aktuellen Standards und Anforderungen wie unter anderem ISO27001, SOC 1 und SOC 2/SSAE entspricht. Lesen Sie mehr unter: https://aws.amazon.com/security/

Das SOC2-Audit von Sage HR ist für den Zeitraum 2021/2022 geplant.

Verwalten Sie Ihre eigenen Benutzerkonten und Rollen innerhalb der Sage HR-Dienste.

Schützen Sie Ihr eigenes Konto und Ihre Benutzeranmeldeinformationen, indem Sie lange Passwörter verwenden oder Single Sign On (SSO) für alle Ihre Mitarbeiter aktivieren, die auf die Sage HR-Dienste zugreifen.

Halten Sie sich an die Bedingungen Ihres Dienstleistungsvertrags mit Sage HR, einschließlich in Bezug auf die Einhaltung von Gesetzen.

Sage HR ist unverzüglich zu benachrichtigen, wenn die Zugangsdaten eines Benutzers kompromittiert wurden oder Sie mögliche verdächtige Aktivitäten vermuten, die sich negativ auf die Sicherheit der Sage HR-Dienste oder Ihres Kontos auswirken könnten.

Sie dürfen ohne die ausdrückliche vorherige schriftliche Zustimmung von Sage HR keine Sicherheitspenetrationstests oder Sicherheitsbewertungsaktivitäten durchführen.