О безопасности сервиса Хантфлоу

Мы заботимся о том, чтобы ваши данные были в безопасности при использовании Хантфлоу. И постоянно принимаем меры для повышения безопасности.

  1. Безопасность и защита персональных данных
    • в Хантфлоу обеспечивается 3 уровень защищенности персональных данных — для этого мы принимаем необходимые организационные и технические меры;
    • наша компания внесена в реестр операторов персональных данных в сентябре 2018 года под номером 77-18-011506;
    • назначен ответственный за обработку персональных данных;
    • установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ;
    • разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных;
    • разработаны модель угроз и модель защиты персональных данных;
    • все данные хранятся в ЦОД ООО «Селектел» на территории РФ и регионально распределены.
  2. Безопасность технической инфраструктуры
    • физическая защита инфраструктуры организована средствами ЦОД ООО «Селектел», серверы которого соответствуют международным стандартам уровня TIER III;
    • используется Межсетевой экран (МЭ) Fortinet FG-100D;

      pdf Сертификат на экран 16.03.2017

    • доступ администраторов к внутренней сети осуществляется через МЭ посредством защищенного VPN-соединения с двухфакторной аутентификацией;
    • установлен пакет антивирусной защиты Kaspersky Endpoint Security;
    • применяется шифрование дисков на базе технологии LUKS, стандарт шифрования AES;
    • все данные, включая базу кандидатов, вакансии, историю работы с кандидатами или комментарии, в реальном времени копируются на резервный сервер средствами PostgreSQL. Сервера с данными регионально распределены — это исключает риск потери данных.
  3. Безопасность приложения
    • в Хантфлоу разработана и введена система логирования действий пользователей, информация о которых хранится на протяжении всего срока сотрудничества. Типы логируемых событий:
      • действия, связанные с изменением прав пользователей
      • действия, связанные с массовым скачиванием кандидатов
      • безуспешные попытки входа в аккаунт
      • успешный вход в аккаунт
      • выход из системы
      • принятие приглашения в систему
      • добавление внешней (OAuth2) учетной записи пользователем
      • действия по публикации вакансий на внешних ресурсах
    • вход в операционную систему на сервер приложения и базы данных выполняется по закрытому ключу;
    • доступ пользователей осуществляется посредством веб-браузера через защищенное HTTPS-соединение по имени пользователя и паролю. Пароль не хранится в открытом виде, применяется хеширование пароля с «солью»;
    • в Хантфлоу реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:
      • управляющий рекрутер:
        • администрирование справочников
        • управление платными учетными записями пользователей
        • создание приватных вакансий
      • опции прав рекрутера:
        • создание и удаление вакансий
        • назначение коллег на вакансии
        • ограничение видимости только своими вакансиями
        • приглашение заказчиков
        • удаление кандидатов
        • управление общими шаблонами писем
        • управление метками
        • получение и распределение заявок на вакансии
      • заказчик:
        • подача заявки
        • видимость кандидатов только на установленных вакансиях и этапах подбора
        • скрытие зарплаты кандидатов
    • все базы данных клиентов разделены:
      • в облачном сервисе применяется логическое разделение,
      • при размещении Хантфлоу на выделенном сервере — физическое разделение;
    • в приложении Хантфлоу не подключаются внешние JavaScript скрипты, которые имеют прямой доступ к персональным данным (Google Analytics, Yandex Metrika, CarrotQuest, Intercom, Facebook, FullStory, NewRelic и пр.);
    • ежегодно с 2019 года Хантфлоу успешно проходит аудит безопасности в крупнейшей мировой компании Bishop Fox, включая penetration test инфраструктуры и приложения;

      pdf Письмо о прохождении аудита безопасности (2021 год) 09.02.2021

      pdf Письмо о прохождении аудита безопасности (2020 год) 23.12.2019

    • возможны индивидуальные настройки безопасности:
      • pазмещение Хантфлоу на выделенных серверах в дата-центре Хантфлоу (Private cloud) с организацией обмена информацией между инфраструктурами по IPSec-туннелю;
      • размещение Хантфлоу на серверах клиента (on-premise),
      • интеграция с корпоративной системой аутентификацией (SSO): LDAP/AD/ADFS, OAuth или X.509
      • поддержка корпоративной парольной политики при использовании встроенной системы аутентификации Хантфлоу. Возможные параметры парольной политики: количество и состав символов, срок действия и запрет на повторы прошлых паролей.
  4. Организационные меры
    Все внутренние процессы Хантфлоу, связанные с безопасностью и обработкой данных, строго регламентированы:
    • введена политика информационной безопасности;
    • разработан план устранения инцидентов;
    • разработаны документы в отношении обработки данных, в том числе: политика конфиденциальности (приватности), перечень лиц, имеющих доступ к данным, регламент по предоставлению такого доступа, перечень обрабатываемых данных;
    • ведется журнал передачи и уничтожения материальных носителей персональных данных и другой конфиденциальной информации;
    • с сотрудниками Хантфлоу подписаны документы о порядке работы с конфиденциальной информацией, в том числе соглашения о неразглашении;
    • доступ сотрудников к рабочим инструментам осуществляется с использованием корпоративной системы аутентификации;
    • ежегодно проводится внутренний аудит принимаемых мер обеспечения безопасности.

Мы постоянно следим за изменениями и тенденциями в области информационной безопасности, проводим регулярный аудит и принимаем меры по усовершенствованию системы безопасности в Хантфлоу.