Überblick
Bei Sage HR nehmen wir den Schutz von Kundendaten sehr ernst. Diese Sage HR-Sicherheitsrichtlinie beschreibt die organisatorischen und technischen Maßnahmen, die Sage HR plattformweit implementiert, um den unbefugten Zugriff, die Verwendung, Änderung oder Offenlegung von Kundendaten zu verhindern.
Die Sage HR-Dienste werden auf Amazon Web Services (AWS) betrieben; Diese Richtlinie beschreibt die Aktivitäten von Sage HR innerhalb der Instanz auf AWS, sofern nicht anders angegeben. Wenn Sie mehr über Sage HR erfahren möchten, empfehlen wir Ihnen, auch unsere Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien zu lesen.
Bewährte Vorgehensweisen
Reaktion auf einen Vorfall
Wir haben ein formelles Verfahren für Sicherheitsvorfälle eingeführt und alle unsere Mitarbeiter über unsere Richtlinien geschult.
Wenn Sicherheitsvorfälle erkannt werden, werden sie an unseren Notfallstelle eskaliert, Mitarbeiter werden benachrichtigt und zusammengebracht, um das Problem umgehend zu beheben.
Nachdem der Vorfall bzw. das Problem behoben wurde, führend wir eine nachbetrachtende Analyse durch.
Die Analyse wird individuell überprüft, im Unternehmen verteilt und enthält Maßnahmen, die die Erkennung und Vermeidung eines ähnlichen Ereignisses in Zukunft erleichtern.
Sage HR wird Sie unverzüglich und schriftlich benachrichtigen, sobald eine Sicherheitsverletzung der Sage HR-Dienste festgestellt wurde, welche Ihre Daten betrifft. Diese Benachrichtigung enthält die Beschreibung des Vorfalls und den Status der Untersuchung von Sage HR.
Prozessautomatisierung
Wir verfügen über eine funktionierende, regelmäßige Automatisierung, um Änderungen an unserer Anwendung innerhalb von Minuten sicher und zuverlässig ausspielen zu können.
Infrastruktur
Alle unsere Dienste laufen in der Cloud. Sage HR betreibt keine eigenen Router, Load Balancer, DNS-Server oder physischen Server.
Alle unsere Dienste und Daten werden in AWS-Einrichtungen in Irland gehostet und sind durch AWS-Sicherheit geschützt, wie unter https://aws.amazon.com/security/ beschrieben.
Amazon gibt den genauen Standort seiner Rechenzentren nicht bekannt. Sage HR baut auf den physischen Sicherheits- und Umgebungskontrollen von AWS auf. Einzelheiten zur AWS-Sicherheitsinfrastruktur finden Sie unter https://aws.amazon.com/security/.
Sage HR verwendet eine Backup-Lösung für Datenspeicher, die Kundendaten enthalten. Erstellte Snapshots werden durch mehrstufige serverseitige Verschlüsselung mit Amazon S3-verwalteten Schlüsseln (SSE-S3) im Ruhezustand geschützt.
Daten
Alle Kundendaten werden in der Europäischen Union (EU) gespeichert.
Kundendaten werden in mandantenfähigen Datenspeichern gespeichert; es existieren keine individuelle Datenspeicher für einzelne Kunden. In unserem Anwendungscode gibt es jedoch strenge Datenschutzkontrollen, die den Datenschutz gewährleisten und verhindern sollen, dass ein Kunde auf die Daten eines anderen Kunden zugreift (d.h. logische Trennung). Wir haben viele Verhaltens- und Integrationstests, um sicherzustellen, dass diese Datenschutzkontrollen wie erwartet funktionieren. Diese Tests werden jedes Mal ausgeführt, wenn unsere Codebasis aktualisiert wird, und selbst ein einziger fehlgeschlagener Test verhindert, dass neuer Code an die Produktivumgebung ausgeliefert wird.
Jedes Sage HR-System, das zur Verarbeitung von Kundendaten verwendet wird, wird mit kommerziell vertretbaren Methoden gemäß branchenweit anerkannten Standards zur Systemstärkung angemessen konfiguriert und gepatcht.
Sage HR beauftragt bestimmte Subunternehmen mit der Verarbeitung von Kundendaten. Diese Subunternehmen sind in der Richtlinie „Subunternehmen“ aufgeführt, die von Sage HR von Zeit zu Zeit aktualisiert werden kann.
Wir sichern die Kundendaten alle 24 Stunden. Darüber hinaus führen wir 4 wöchentliche Backups und 12 monatliche Backups durch. Alle Backup-Dateien, die älter als 12 Monate sind, werden automatisch gelöscht.
Unsere Produktionsdaten und Backups werden im Ruhezustand mit AES-256-Block-Level-Speicherverschlüsselung verschlüsselt.
Wenn das Kundenkonto gelöscht wird, bewahren wir die Daten 12 Monate lang in unseren Sicherungsdateien auf. Sollten alle Daten gelöscht werden müssen, wenden Sie sich bitte an unseren Support.
Datentransfer
Alle Daten, die an oder von Sage HR gesendet werden, werden während der Übertragung mit einer 256-Bit-Verschlüsselung gesichert.
Unsere API- und Anwendungsendpunkte sind vollständig TLS/SSL und werden bei den Tests von SSL Labs mit "A" bewertet. Das bedeutet, dass wir nur starke Verschlüsselungsmethoden verwenden.
Authentifizierung
Sage HR wird vollständig über HTTPS bereitgestellt.
Es gibt keine Unternehmensressourcen oder zusätzliche Privilegien, wenn Sie sich im Netzwerk von Sage HR befinden.
Wir haben strenge Passwortrichtlinien und eine Multi-Factor Authentication auf GitHub, Google, AWS und Sage HR, um sicherzustellen, dass der Zugriff auf die Cloud-Dienste geschützt ist.
Berechtigungen und Admin-Steuerelemente
Sage HR ermöglicht die Definition von Berechtigungsstufen für alle Mitarbeiter mit Zugriff auf Sage HR.
Berechtigungen und Zugriff können auf Ebene von App-Einstellungen, Abrechnung sowie Benutzerdaten eingestellt werden
Für jeden Sage HR-Mitarbeiterzugang in das Sage HR-Administrationssystem wird die Zwei-Faktor-Authentifizierung verwendet.
Anwendungsüberwachung
Auf Anwendungsebene werden für alle Aktivitäten wir Audit-Logs erstellt.
Jeder Zugriff auf Sage HR-Anwendungen wird protokolliert und geprüft.
Alle in der Sage HR-Anwendung durchgeführten Aktionen werden protokolliert.
Sicherheitsaudits und Zertifizierungen
Sage HR ist konform zu ISO 27001 gemäß dem britischen Normungsgremium BSI (Zertifikat IS 692128).
Wir arbeiten in einem jährlichen Zyklus mit angesehenen externen Prüfern zusammen, um unsere Codebasis zu prüfen und um potenzielle Probleme zu erkennen und zu lösen.
Informationen zu AWS-Sicherheitszertifizierungen und zum Erhalt von Kopien von Sicherheitsberichten von AWS finden Sie unter http://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedram-faqs/
Unsere Daten werden in einem Rechenzentrum gespeichert, das den aktuellen Standards und Anforderungen wie unter anderem ISO27001, SOC 1 und SOC 2/SSAE entspricht. Lesen Sie mehr unter: https://aws.amazon.com/security/
Das SOC2-Audit von Sage HR ist für den Zeitraum 2021/2022 geplant.
Zahlungsabwicklung
Die gesamte Zahlungsmittelverarbeitung für den Kauf der Sage HR-Dienste wird von Stripe durchgeführt. Weitere Informationen zu den Sicherheitspraktiken von Stripe finden Sie unter https://stripe.com/docs/security/stripe.
Kundenverantwortung
Verwalten Sie Ihre eigenen Benutzerkonten und Rollen innerhalb der Sage HR-Dienste.
Schützen Sie Ihr eigenes Konto und Ihre Benutzeranmeldeinformationen, indem Sie lange Passwörter verwenden oder Single Sign On (SSO) für alle Ihre Mitarbeiter aktivieren, die auf die Sage HR-Dienste zugreifen.
Halten Sie sich an die Bedingungen Ihres Dienstleistungsvertrags mit Sage HR, einschließlich in Bezug auf die Einhaltung von Gesetzen.
Sage HR ist unverzüglich zu benachrichtigen, wenn die Zugangsdaten eines Benutzers kompromittiert wurden oder Sie mögliche verdächtige Aktivitäten vermuten, die sich negativ auf die Sicherheit der Sage HR-Dienste oder Ihres Kontos auswirken könnten.
Sie dürfen ohne die ausdrückliche vorherige schriftliche Zustimmung von Sage HR keine Sicherheitspenetrationstests oder Sicherheitsbewertungsaktivitäten durchführen.
Service-Level-Agreement
Diese Sage HR-Service Level Agreement ("SLA") begleitet die Sage HR Subskription-Servicebedingungen (die "Vereinbarung"), die zwischen Ihnen ("Kunde") und Sage HR geschlossen werden. In diesem SLA verwendete Begriffe mit Großbuchstaben, die hier nicht definiert sind, haben die ihnen in der Vereinbarung zugewiesene Bedeutung.
Zielverfügbarkeit. Sage HR wird wirtschaftlich angemessene Anstrengungen unternehmen, um jeden Dienst mit einer Verfügbarkeit von 99,8 % eines jeden Kalendermonats ("Zielverfügbarkeit") zur Verfügung zu stellen.
Ausschlüsse. Die Berechnung der Betriebszeit umfasst keine Nichtverfügbarkeit aufgrund von: (a) der Nutzung des Dienstes durch den Kunden in einer Weise, die in dieser Vereinbarung oder der anwendbaren Dokumentation nicht autorisiert ist; (b) allgemeine Internetprobleme, Ereignisse höherer Gewalt oder andere Faktoren, die außerhalb der angemessenen Kontrolle von Sage HR liegen; (c) Geräte, Software, Netzwerkverbindungen oder sonstige Infrastruktur des Kunden; (d) Systeme, Handlungen oder Unterlassungen Dritter; oder (e) planmäßige Wartung oder angemessene Notfallwartung.
Geplante Wartung. „Geplante Wartung“ bezeichnet die geplante routinemäßige Wartung der Dienste durch Sage HR, zu welcher Sage HR den Kunden mindestens vierundzwanzig (24) Stunden im Voraus benachrichtigt. Die geplante Wartung wird die Zeit von acht (8) Stunden pro Monat nicht überschreiten. Der Kunde wird nicht benachrichtigt, wenn die geplante Wartung weniger als zehn (10) Minuten dauert.
Abhilfe bei Nichterfüllung der Zielverfügbarkeit. Wenn ein Dienst die Zielverfügbarkeit in zwei (2) aufeinanderfolgenden Monaten nachweislich nicht erreicht, kann der Kunde die entsprechende Abonnementlaufzeit durch eine schriftliche Kündigung innerhalb von dreißig (30) Tagen nach dem Ende des zweiten solchen Monats kündigen. in diesem Fall erstattet Sage HR dem Kunden alle Gebühren, die der Kunde für die Nutzung dieses Dienstes für den gekündigten Teil der jeweiligen Abonnementlaufzeit im Voraus bezahlt hat. Dieses Kündigungs- und Rückerstattungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden und die einzige und ausschließliche Haftung von Sage HR für die Nichterfüllung der Zielverfügbarkeit durch Sage HR.
Subunternehmen
Sage HR beauftragt bestimmte weitere Unterauftragsverarbeiter, die personenbezogene Daten verarbeiten können, die an die Dienste von Sage HR übermittelt werden. Diese Unterauftragsverarbeiter sind unten aufgeführt und können von Sage HR von Zeit zu Zeit aktualisiert werden:
Amazon Web Services
Amazon.com Inc.
https://aws.amazon.com/compliance/gdpr-center/
PO Box 81226, Seattle, WA 98108-1226, United States
Server & Datenspeicher
CloudFlare
CloudFlare, Inc.
https://www.cloudflare.com/gdpr/introduction/
665 3rd Street, Suite 200, San Francisco, CA 94107, United States
Content Delivery Network & DDoS-Schadensregulierung
Convert API
UAB Baltsoft
https://www.convertapi.com/security/
Lauksargio 111,
Vilnius, LT-10105,
Lithuania
Google
Google, Inc.
https://www.google.com/intl/ru_ALL/cloud/security/gdpr/
1600 Amphitheatre Parkway, Mountain View, CA 94043, United States
Kalender, Dokumentenanzeige und Single Sign-On-Integration (SSO wird nur verwendet, wenn die G Suite-Integration aktiviert ist)
Intercom
Intercom, Inc.
https://www.intercom.com/help/pricing-privacy-and-terms/data-protection/how-intercom-complies-with-gdpr
55 2nd Street, 4th Floor, San Francisco, CA 94105, United States
Kunden-Helpdesk & Chat
Papertrail
SolarWinds Inc.
https://help.papertrailapp.com/kb/how-it-works/security-compliance/#general-data-protection-regulation-gdpr
7171 Southwest Parkway, Bldg 400, Austin, Texas 78735, United States
Protokollierung von Systemereignissen
Pusher
Pusher Ltd
https://pusher.com/legal/data-protection
28 Scrutton Street, London, EC2A 4RP, United Kingdom
Push-Benachrichtigung für mobile App
Scout
Scout
https://docs.scoutapm.com/#gdpr
320 East Vine Drive, Suite 221, Fort Collins, Colorado 80524, United States
Überwachung der Anwendungsleistung
Stripe
Stripe, Inc.
https://stripe.com/guides/general-data-protection-regulation
185 Berry Street, Suite 550, San Francisco, CA 94107, United States
Kartenzahlungsabwicklung
SendGrid
SendGrid, Inc.
https://sendgrid.com/resource/general-data-protection-regulation/
1801 California Street, Suite 500, Boulder, CO 80202, United States
E-Mail-Zustellung
Sentry
Functional Software, Inc.
https://sentry.io/security/#gdpr
1 Baker Street, Suite 5B, San Francisco, CA 94117, United States
Fehlerprotokollierung
Slack
Slack Technologies, Inc.
https://slack.com/gdpr
155 5th Street, 6th Floor, San Francisco, CA 94103, United States
Interner Chat (wird verwendet, wenn die Slack-Integration aktiviert ist)
Sqreen
Sqreen, Inc.
https://docs.sqreen.com/guides/gdpr/
188 King St., San Francisco, CA 94107, United States
Sicherheitsüberwachung und -schutz
Zapier
Zapier Inc.
https://zapier.com/help/account/data-management/gdpr-compliance-at-zapier
548 Market St. #62411. San Francisco, CA 94104, United States
Datenintegration