О безопасности сервиса Хантфлоу

Мы заботимся о том, чтобы ваши данные были в безопасности при использовании Хантфлоу. И постоянно принимаем меры для повышения безопасности.

1. Безопасность и защита персональных данных

в Хантфлоу обеспечивается 3 уровень защищенности персональных данных — для этого мы принимаем необходимые организационные и технические меры;
наша компания внесена в реестр операторов персональных данных в сентябре 2018 года под номером 77-18-011506;
назначен ответственный за обработку персональных данных;
установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ;
разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных;
разработаны модель угроз и модель защиты персональных данных;
все данные хранятся в ЦОД ООО «Селектел» на территории РФ и регионально распределены.
файлы, загружаемые в Хантфлоу, хранятся в S3-хранилище Yandex Cloud, где обеспечивается 1 уровень защищенности персональных данных. ЦОД Yandex Cloud так же регионально распределены.

2. Безопасность технической инфраструктуры

физическая защита инфраструктуры организована средствами ЦОД ООО «Селектел», серверы которого соответствуют международным стандартам уровня TIER III;
используется Межсетевой экран (МЭ) Fortinet FG-100E;
доступ администраторов к внутренней сети осуществляется через МЭ посредством защищенного VPN-соединения с двухфакторной аутентификацией;
установлен пакет антивирусной защиты Kaspersky Endpoint Security;
в ЦОД ООО «Селектел» применяется шифрование дисков, стандарт шифрования AES;
файлы, загружаемые в Хантфлоу, мы шифруем самостоятельно и передаем в хранилище Yandex Cloud в зашифрованном виде;
передача данных осуществляется по защищенному каналу с шифрованием TLSv1.2;
все данные, включая базу кандидатов, вакансии, историю работы с кандидатами или комментарии, в реальном времени копируются на резервный сервер средствами PostgreSQL. Файлы, хранящиеся в Yandex Cloud, сохраняются дополнительно в виде резервной копии в ЦОД ООО «Селектел». Все сервера с данными регионально распределены — это исключает риск потери данных.

3. Безопасность приложения

в Хантфлоу разработана и введена система логирования действий пользователей, информация о которых хранится на протяжении всего срока сотрудничества. Типы логируемых событий:
- действия, связанные с изменением прав пользователей
- действия, связанные с массовым скачиванием кандидатов
- безуспешные попытки входа в аккаунт
- успешный вход в аккаунт
- выход из системы
- принятие приглашения в систему
- добавление внешней (OAuth2) учетной записи пользователем
- действия по публикации вакансий на внешних ресурсах
вход в операционную систему на сервер приложения и базы данных выполняется по закрытому ключу;
доступ пользователей осуществляется посредством веб-браузера через защищенное HTTPS-соединение (TLSv1.2) по имени пользователя и паролю. Пароль не хранится в открытом виде, применяется хеширование пароля с «солью»;
в Хантфлоу реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:
- управляющий рекрутер:
  - администрирование справочников
  - управление платными учетными записями пользователей
  - создание приватных вакансий
- опции прав рекрутера:
  - создание и удаление вакансий
  - назначение коллег на вакансии
  - ограничение видимости только своими вакансиями
  - приглашение заказчиков
  - удаление кандидатов
  - управление общими шаблонами писем
  - управление метками
  - получение и распределение заявок на вакансии
- заказчик
  - подача заявки
  - видимость кандидатов только на установленных вакансиях и этапах подбора
  - скрытие зарплаты кандидатов
все базы данных клиентов разделены:
- в облачном сервисе применяется логическое разделение,
- при размещении Хантфлоу на выделенном сервере — физическое разделение;
в приложении Хантфлоу не подключаются внешние JavaScript скрипты, которые имеют прямой доступ к персональным данным (Google Analytics, Yandex Metrika, CarrotQuest, Intercom, Facebook, FullStory, NewRelic и пр.);
ежегодно с 2019 года Хантфлоу успешно проходит аудит безопасности в крупнейшей мировой компании Bishop Fox, включая penetration test инфраструктуры и приложения;
Письмо о прохождении аудита безопасности (2022 год) 11.03.2022 Письмо о прохождении аудита безопасности (2021 год) 09.02.2021 Письмо о прохождении аудита безопасности (2020 год) 23.12.2019
возможны индивидуальные настройки безопасности:
- pазмещение Хантфлоу на выделенных серверах в дата-центре Хантфлоу (Private cloud) с организацией обмена информацией между инфраструктурами по IPSec-туннелю;
- размещение Хантфлоу на серверах клиента (on-premise),
- интеграция с корпоративной системой аутентификацией (SSO): LDAP/AD/ADFS, OAuth или X.509
- поддержка корпоративной парольной политики при использовании встроенной системы аутентификации Хантфлоу. Возможные параметры парольной политики: количество и состав символов, срок действия и запрет на повторы прошлых паролей.

Организационные меры

Все внутренние процессы Хантфлоу, связанные с безопасностью и обработкой данных, строго регламентированы:

введена политика информационной безопасности;
разработан план устранения инцидентов;
разработаны документы в отношении обработки данных, в том числе: политика конфиденциальности (приватности), перечень лиц, имеющих доступ к данным, регламент по предоставлению такого доступа, перечень обрабатываемых данных;
ведется журнал передачи и уничтожения материальных носителей персональных данных и другой конфиденциальной информации;
с сотрудниками Хантфлоу подписаны документы о порядке работы с конфиденциальной информацией, в том числе соглашения о неразглашении;
доступ сотрудников к рабочим инструментам осуществляется с использованием корпоративной системы аутентификации;
ежегодно проводится внутренний аудит принимаемых мер обеспечения безопасности.

Мы постоянно следим за изменениями и тенденциями в области информационной безопасности, проводим регулярный аудит и принимаем меры по усовершенствованию системы безопасности в Хантфлоу.

На главную страницу