Bezpieczeństwo w Factorial

Factorial HR może być zarówno Administratorem, jak i Podmiotem przetwarzającym dane osobowe na potrzeby Ogólnego Rozporządzenia o Ochronie Danych 2016/679 (dalej "RODO"). Na przykład, Factorial będzie Administratorem danych osobowych, gdy Klient zawrze z nami umowę bezpośrednio w celu przetwarzania danych tego Klienta.

Jednak w większości przypadków, ze względu na charakter naszej działalności, Factorial nie ma bezpośredniego kontaktu z osobami, których dane dotyczą, i przetwarza wyłącznie dane osobowe użytkownika końcowego w imieniu klientów oraz zgodnie z ich instrukcjami. W związku z tym, jeśli jesteś pracownikiem korzystającym z naszej platformy, działamy wyłącznie jako Podmiot przetwarzający Twoje dane. Nasi Klienci decydują o celach, w jakich wykorzystują naszą Platformę, oraz o sposobach zbierania danych odpowiadających zakresowi funkcji naszej platformy.

W przypadku użytkowników przeglądających naszą stronę internetową, Factorial będzie Administratorem danych zbieranych tutaj, takich jak pliki cookie lub wszelkie dane niezbędne do korzystania z naszej zawartości.

Politykę przetwarzania danych osobowych (DPA) Factorial znajdziesz tutaj.

Factorial HR wyznaczył Inspektora Ochrony Danych, którego dane kontaktowe są następujące:

First Privacy B.V. FIRST PRIVACY B.V., Naritaweg 127-137, PC 1043 BS, Amsterdam, Holandia.

[email protected]

W przypadku, gdy Factorial wykryje naruszenie bezpieczeństwa, uruchomi procedurę analizy naruszenia bezpieczeństwa, która pozwoli ustalić:

- Charakter naruszenia bezpieczeństwa

- Kategorie naruszonych danych osobowych

- Przybliżoną liczbę zainteresowanych osób, których dotyczy naruszenie

- Przybliżoną liczbę rekordów danych osobowych dotkniętych naruszeniem; oraz

- Konsekwencje naruszenia

Równolegle do śledztwa, Factorial podejmie niezbędne działania mające na celu ograniczenie i korektę skutków oraz zarejestruje incydent w taki sposób, aby zapewnić śledzenie zdarzeń w organizacji.

Po dokonaniu analizy Factorial zdecyduje, czy organ nadzorczy powinien zostać powiadomiony, oceniając, czy naruszenie danych osobowych może stanowić ryzyko dla praw i wolności osób, których naruszenie dotyczy.

Ponadto Factorial oceni, czy konieczne jest powiadomienie zainteresowanych osób.

W każdym przypadku, jako administrator przetwarzający dane osobowe, Factorial powiadomi klienta o naruszeniu bezpieczeństwa w terminie nieprzekraczającym 48 godzin. Komunikacja ta będzie zawierać:

- Podjęte środki ograniczające ryzyko

- Ulepszenia technologiczne

- Zmiany w zarządzaniu incydentami

- Aktualizację procedur

W przypadku posiadania wiedzy o incydencie bezpieczeństwa w Factorial, prosimy o zgłoszenie go na adres [email protected].

Informacje do przekazania (jeśli dotyczy):

- Opis incydentu:

- Nazwa firmy i dotknięty użytkownik:

- Typ danych objętych incydentem:

- Zakres wykrytego incydentu:

- Stopień naruszenia praw osób zainteresowanych:

Factorial posiada certyfikat ISO/IEC 27001:2023 i odnowił go w marcu 2025 roku. Obecnie jest to najwyższy poziom globalnej normy bezpieczeństwa informacji, który daje klientom gwarancję spełniania przez nas surowych międzynarodowych standardów bezpieczeństwa.

Możesz pobrać nasz certyfikat ISO 27001 tutaj.

Factorial posiada raport SOC2 Typ I z sierpnia 2022 oraz raport SOC2 Typ II z lutego 2024.

Szczegóły i powiązane raporty certyfikacyjne mogą być udostępnione na formalne żądanie i po podpisaniu NDA przez wnioskodawcę.

Factorial uzyskał certyfikat kategorii Wysokiej w ramach Krajowego Systemu Bezpieczeństwa. Certyfikat ten określa standardy bezpieczeństwa stosowane we wszystkich instytucjach publicznych w Hiszpanii, a także u dostawców usług, od których zależą usługi publiczne. Możesz pobrać nasz certyfikat ENS tutaj.

Wszystkie nasze usługi działają w chmurze. Nie hostujemy ani nie obsługujemy własnych routerów, równoważników obciążenia, serwerów DNS ani serwerów fizycznych.

Wszystkie dane naszych klientów są przechowywane na serwerach Amazon Web Services (AWS) we Frankfurcie nad Menem w Niemczech, zestawie usług chmurowych, które gwarantują najwyższe bezpieczeństwo. Firmy takie jak Netflix czy Airbnb polegają na AWS w zarządzaniu danymi milionów użytkowników.

Centrum danych Amazon Web Services jest chronione trzema fizycznymi warstwami bezpieczeństwa. Ponadto obiekty są zabezpieczone przed uszkodzeniami i dostęp do nich możliwy jest wyłącznie za pomocą osobistej, nieprzenoszalnej karty i kodu PIN.

Możesz przeczytać więcej o ich praktykach bezpieczeństwa tutaj: AWS

Nasza architektura bezpieczeństwa sieci składa się z kilku stref bezpieczeństwa. Monitorujemy i chronimy naszą sieć, aby upewnić się, że nie dochodzi do żadnego nieautoryzowanego dostępu za pomocą: Wirtualnej prywatnej chmury (VPC), zapory ogniowej, która monitoruje i kontroluje przychodzący i wychodzący ruch sieciowy.

- Szyfrowanie w tranzycie: wszystkie dane wysyłane do lub z naszej infrastruktury są szyfrowane w tranzycie zgodnie z najlepszymi praktykami branżowymi, z wykorzystaniem Transport Layer Security (TLS). Możesz zobaczyć nasz raport na SSLLABS.

- Szyfrowanie w spoczynku: Polegamy na AWS Key Management Service (AWS KMS) do zarządzania naszymi kluczami kryptograficznymi. Domyślnie wybierany jest algorytm szyfrowania "SYMMETRIC_DEFAULT", który obecnie oznacza AES-256-GCM, symetryczny algorytm oparty na Zaawansowanym Standardzie Szyfrowania (AES). Te klucze są używane do szyfrowania/odszyfrowywania naszych zasobników S3, baz danych, menedżera sekretów, lambda, redshift oraz lightsail.

Domyślnie i o ile klient nie wyda wyraźnej instrukcji, Factorial usunie wszystkie dane osobowe po upływie 30 dni od zakończenia świadczenia usług przetwarzania. Po upływie okresu 1 roku Factorial usunie wszystkie istniejące kopie, chyba że wymagana jest przechowywanie danych osobowych zgodnie z prawem Unii lub państw członkowskich oraz chyba że klient wyraźnie zażąda ostatecznego usunięcia tych danych w tym okresie.

- Używamy technologii do monitorowania wyjątków, rejestrów i wykrywania anomalii w naszych aplikacjach.

- Zbieramy i przechowujemy rejestry, aby zapewnić śledzenie audytu aktywności naszych aplikacji. W zależności od wybranego przez naszych klientów planu, administratorzy mogą śledzić wszystkie działania i korzystanie z rejestrów pracowników na platformie oraz uzyskać większą widoczność. Więcej informacji na temat rejestrów audytu znajdziesz tutaj.

Tworzymy oprogramowanie zgodnie z najlepszymi praktykami i ramami bezpieczeństwa (OWASP Top 10, SANS Top 25), aby zapewnić najwyższy poziom bezpieczeństwa w naszym oprogramowaniu:

- Regularnie przeglądamy nasz kod pod kątem luk bezpieczeństwa. - Regularnie aktualizujemy nasze zależności i upewniamy się, że żadna z nich nie ma znanych podatności. - Korzystamy z testów bezpieczeństwa aplikacji statycznych (SAST), aby wykrywać podatności w naszej bazie kodu oraz egzekwować standardy kodowania. - Regularnie weryfikujemy incydenty bezpieczeństwa zgłaszane przez łowców błędów lub dostawców testów penetracyjnych i z zaangażowaniem je naprawiamy. Nasz ostatni test penetracyjny przeprowadziła firma Cobalt https://cobalt.io/. Wewnętrzne testy podatności są wykonywane nieustannie, podobnie jak ciągłe testy penetracyjne za pośrednictwem HackerOne (https://hackerone.com/factorial). - Przechowujemy sekretne dane z dala od kodu. - Aktualizujemy obrazy systemu operacyjnego i Dockera oraz uruchamiamy usługi z rolą bez uprawnień.

- Zapewniamy separację środowisk i segregację obowiązków podczas procesu rozwoju. Deweloperzy nie mają możliwości migracji zmian do środowisk produkcyjnych.

- Chronimy naszych użytkowników przed wyciekami danych poprzez monitorowanie i blokowanie ataków typu brute force.

- Logowanie jednokrotne (SSO) jest dostępne za pomocą kont Google, Microsoft i Okta.

- Kontrola dostępu oparta na uprawnieniach jest oferowana na wszystkich naszych kontach i pozwala użytkownikom definiować uprawnienia.

- Korzystamy z AWS Cognito, więc domyślnie wspieramy uwierzytelnianie wieloskładnikowe.

- Używamy narzędzi bezpieczeństwa Github do otrzymywania alertów w przypadku wykrycia luk. Zespół ds. bezpieczeństwa rutynowo stosuje łatki.

- Przeprowadzamy kwartalne przeglądy praw dostępu do naszych krytycznych aplikacji, w tym takie kroki, jak przegląd autoryzacji, kont generycznych oraz zapewnienie usunięcia dostępu zwolnionych pracowników.

Całe przetwarzanie instrumentów płatniczych jest bezpiecznie zlecane firmie Stripe, która jest certyfikowanym dostawcą usług na poziomie PCI 1. Nie zbieramy żadnych informacji płatniczych i w związku z tym nie podlegamy obowiązkom PCI.

- Zarządzamy kontami w sposób scentralizowany

- Polegamy na systemie zarządzania hasłami

- Używamy kont nominalnych z wdrożonym 2FA

- Rotujemy hasła co 90 dni

- Przeprowadzamy onboardingi i offboardingi nowych pracowników, korzystając z listy kontrolnej uwzględniającej najlepsze praktyki bezpieczeństwa.

- Dbamy o to, aby uprawnienia dostępu były zgodne z zasadą najmniejszych uprawnień.

- Stosujemy fizyczne środki bezpieczeństwa w biurach, aby upewnić się, że dostęp mają tylko nasi pracownicy.

- Regularnie przypominamy naszym pracownikom o blokowaniu swoich komputerów.

- Ustanowiliśmy procedury dotyczące korzystania z urządzeń mobilnych i nośników wymiennych.

Zapewniamy, że wszyscy nasi pracownicy posiadają specjalistyczne szkolenia z zakresu ochrony danych oraz bezpieczeństwa informacji. Ponadto organizowane są szkolenia i warsztaty dotyczące bezpieczeństwa, ukierunkowane na praktyki w zakresie bezpiecznego programowania.

Przeprowadzamy weryfikacje przeszłości dla potencjalnych nowych pracowników.

Factorial dołoży wszelkich starań, aby być dostępny z miesięcznym wskaźnikiem co najmniej 99,9%. Pod warunkiem wyłączeń SLA, jeśli nie spełnimy zobowiązania serwisowego, klient będzie uprawniony do otrzymania kredytu serwisowego. Oznacza to, że gwarantujemy, iż klient nie doświadczy więcej niż 43,5 minuty/miesiąc niedostępności.

Utrzymujemy publicznie dostępną stronę dla naszego czasu działania na https://status.factorialhr.com. Prosimy o subskrypcję, aby otrzymywać aktualizacje dotyczące incydentów.

Factorial codziennie wykonuje kopie zapasowe danych i przechowuje je przez 30 dni. Wysoka dostępność jest gwarantowana dzięki RDS Multi-AZ. Ponieważ aby doszło do utraty danych, obie strefy dostępności musiałyby mieć awarię jednocześnie, zmniejsza to prawdopodobieństwo utraty danych. Naszym celem czasu przywracania (RTO) jest 1 godzina a naszym celem punktu przywracania (RPO) jest 1 dzień.

Plany związane z ciągłością działania i odzyskiwaniem po awarii są formalnie dokumentowane zgodnie z wymaganiami ram ISO27001 i SOC2.

Kredyty serwisowe są obliczane jako procent całkowitych opłat należnych na Twojej fakturze Factorial za miesięczny okres rozliczeniowy, w którym wystąpiła niedostępność.

Przy miesięcznym czasie dostępności poniżej 99,9% będziesz uprawniony do kredytu serwisowego w wysokości 5% opłat za bieżący okres.

Kredyty serwisowe zostaną zastosowane wyłącznie względem przyszłych płatności za świadczenie usług.

Aby otrzymać Kredyt serwisowy, należy złożyć wniosek za pośrednictwem portalu klienta, podając daty i godziny każdego wykrytego przypadku niedostępności.

Jeśli potwierdzimy miesięczny procent czasu dostępności podany we wniosku i będzie on niższy niż Zobowiązanie Serwisowe, wystawimy Kredyt serwisowy w cyklu rozliczeniowym miesiąca następującego po miesiącu, w którym złożono potwierdzony przez nas wniosek.

Jeżeli klient nie złoży wniosku lub nie poda powyższych wymaganych informacji, zostanie wykluczony z otrzymania kredytu serwisowego.

Zobowiązanie dotyczące usługi nie ma zastosowania do żadnej niedostępności:

- Spowodowanej czynnikami poza rozsądną kontrolą Factorial, w tym jakimkolwiek zdarzeniem siły wyższej, dostępem do Internetu lub problemami poza punktem demarkacyjnym Factorial.

- Wynikającej z jakiegokolwiek działania lub zaniechania klienta wobec podmiotu trzeciego.

- Wynikającej ze sprzętu, oprogramowania lub innej technologii własnej lub podmiotu trzeciego (z wyjątkiem sprzętu stron trzecich pod naszą bezpośrednią kontrolą).

- Wynikającej z jakichkolwiek prac konserwacyjnych.

Jeżeli dostępność zostanie naruszona na skutek czynników innych niż te użyte do obliczenia miesięcznego procentu czasu aktywności, na naszą wyłączną decyzję wystawimy kredyt serwisowy uwzględniający te czynniki.

Tutaj możesz znaleźć naszą zaktualizowaną politykę prywatności.

Tutaj możesz znaleźć warunki korzystania z Factorial.

W sposób wyliczający, lecz nie wyczerpujący, za Informacje Poufne uznaje się informacje dotyczące danych klientów, ich istnienia, ich struktury, planów promocji i sprzedaży, kodów źródłowych i obiektowych programów komputerowych, systemów, technik, wynalazków, procesów, patentów, znaków towarowych, wzorów zarejestrowanych, praw autorskich, know-how, nazw handlowych, danych technicznych i nietechnicznych, rysunków, szkiców, danych finansowych, planów dotyczących nowych produktów, danych dotyczących klientów lub potencjalnych klientów, jak również wszelkich innych informacji wykorzystywanych w działalności gospodarczej Factorial i Klienta.

Obowiązek zachowania poufności będzie obowiązywał nawet po rozwiązaniu, z jakiejkolwiek przyczyny, stosunku umownego między stronami, bez powstania prawa do jakiegokolwiek odszkodowania.

Naruszenie obowiązku zachowania poufności wynikającego z niniejszej umowy lub zwrot Informacji Poufnych określonych powyżej uprawnia każdą ze Stron do dochodzenia pełnej kwoty odszkodowania za szkody powstałe w wyniku tego naruszenia.