О безопасности сервиса Хантфлоу

Мы заботимся о том, чтобы ваши данные были в безопасности при использовании Хантфлоу. И постоянно принимаем меры для повышения безопасности.

1. Безопасность и защита персональных данных

  • в Хантфлоу обеспечивается 3 уровень защищенности персональных данных — для этого мы принимаем необходимые организационные и технические меры;
  • наша компания внесена в реестр операторов персональных данных в сентябре 2018 года под номером 77-18-011506;
  • назначен ответственный за обработку персональных данных;
  • установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ;
  • разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных;
  • разработаны модель угроз и модель защиты персональных данных;
  • все данные хранятся в ЦОД ООО «Селектел» на территории РФ и регионально распределены.
  • файлы, загружаемые в Хантфлоу, хранятся в S3-хранилище Yandex Cloud, где обеспечивается 1 уровень защищенности персональных данных. ЦОД Yandex Cloud так же регионально распределены.

2. Безопасность технической инфраструктуры

  • физическая защита инфраструктуры организована средствами ЦОД ООО «Селектел», серверы которого соответствуют международным стандартам уровня TIER III;
  • используется Межсетевой экран (МЭ) Fortinet FG-100E;
  • доступ администраторов к внутренней сети осуществляется через МЭ посредством защищенного VPN-соединения с двухфакторной аутентификацией;
  • установлен пакет антивирусной защиты Kaspersky Endpoint Security;
  • в ЦОД ООО «Селектел» применяется шифрование дисков, стандарт шифрования AES;
  • файлы, загружаемые в Хантфлоу, мы шифруем самостоятельно и передаем в хранилище Yandex Cloud в зашифрованном виде;
  • передача данных осуществляется по защищенному каналу с шифрованием TLSv1.2;
  • все данные, включая базу кандидатов, вакансии, историю работы с кандидатами или комментарии, в реальном времени копируются на резервный сервер средствами PostgreSQL. Файлы, хранящиеся в Yandex Cloud, сохраняются дополнительно в виде резервной копии в ЦОД ООО «Селектел». Все сервера с данными регионально распределены — это исключает риск потери данных;
  • при использовании методов API мы ввели дополнительные организационные меры защиты: получить токен могут только пользователи в роли управляющего рекрутера (администратора), а у самого токена ограничен срок действия — его требуется обновлять каждые 7 дней.

3. Безопасность приложения

  • в Хантфлоу разработана и введена система логирования действий пользователей, информация о которых хранится на протяжении всего срока сотрудничества. Типы логируемых событий:

    • действия, связанные с изменением прав пользователей
    • действия, связанные с массовым скачиванием кандидатов
    • безуспешные попытки входа в аккаунт
    • успешный вход в аккаунт
    • выход из системы
    • принятие приглашения в систему
    • добавление внешней (OAuth2) учетной записи пользователем
    • действия по публикации вакансий на внешних ресурсах

  • вход в операционную систему на сервер приложения и базы данных выполняется по закрытому ключу;

  • доступ пользователей осуществляется посредством веб-браузера через защищенное HTTPS-соединение (TLSv1.2) по имени пользователя и паролю. Пароль не хранится в открытом виде, применяется хеширование пароля с «солью»;

  • в Хантфлоу реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:

    • управляющий рекрутер:
      • администрирование справочников
      • управление платными учетными записями пользователей
      • создание приватных вакансий
    • опции прав рекрутера:
      • создание и удаление вакансий
      • назначение коллег на вакансии
      • ограничение видимости только своими вакансиями
      • приглашение заказчиков
      • удаление кандидатов
      • управление общими шаблонами писем
      • управление метками
      • получение и распределение заявок на вакансии
    • заказчик
      • подача заявки
      • видимость кандидатов только на установленных вакансиях и этапах подбора
      • скрытие зарплаты кандидатов

  • все базы данных клиентов разделены:

    • в облачном сервисе применяется логическое разделение,
    • при размещении Хантфлоу на выделенном сервере — физическое разделение;

  • в приложении Хантфлоу не подключаются внешние JavaScript скрипты, которые имеют прямой доступ к персональным данным (Google Analytics, Yandex Metrika, CarrotQuest, Intercom, Facebook, FullStory, NewRelic и пр.);

  • ежегодно с 2019 года Хантфлоу успешно проходит аудит безопасности в крупнейшей мировой компании Bishop Fox, включая penetration test инфраструктуры и приложения;

    Письмо о прохождении аудита безопасности (2023 год) 29.09.2023 Письмо о прохождении аудита безопасности (2022 год) 11.03.2022 Письмо о прохождении аудита безопасности (2021 год) 09.02.2021 Письмо о прохождении аудита безопасности (2020 год) 23.12.2019

  • возможны индивидуальные настройки безопасности:

    • pазмещение Хантфлоу на выделенных серверах в дата-центре Хантфлоу (Private cloud) с организацией обмена информацией между инфраструктурами по IPSec-туннелю;
    • размещение Хантфлоу на серверах клиента (on-premise),
    • интеграция с корпоративной системой аутентификацией (SSO): LDAP/AD/ADFS, OAuth или X.509
    • поддержка корпоративной парольной политики при использовании встроенной системы аутентификации Хантфлоу. Возможные параметры парольной политики: количество и состав символов, срок действия и запрет на повторы прошлых паролей.

Организационные меры

Все внутренние процессы Хантфлоу, связанные с безопасностью и обработкой данных, строго регламентированы:

  • введена политика информационной безопасности;
  • разработан план устранения инцидентов;
  • разработаны документы в отношении обработки данных, в том числе: политика конфиденциальности (приватности), перечень лиц, имеющих доступ к данным, регламент по предоставлению такого доступа, перечень обрабатываемых данных;
  • ведется журнал передачи и уничтожения материальных носителей персональных данных и другой конфиденциальной информации;
  • с сотрудниками Хантфлоу подписаны документы о порядке работы с конфиденциальной информацией, в том числе соглашения о неразглашении;
  • доступ сотрудников к рабочим инструментам осуществляется с использованием корпоративной системы аутентификации;
  • ежегодно проводится внутренний аудит принимаемых мер обеспечения безопасности.

Мы постоянно следим за изменениями и тенденциями в области информационной безопасности, проводим регулярный аудит и принимаем меры по усовершенствованию системы безопасности в Хантфлоу.

На главную страницу