Navigation SearchNavigation ContactNavigation Products

Odlišný přístup:
zabezpečení a integrita

Od svého založení přikládá společnost DDI integritě údajů stěžejní význam. Společnost DDI se zavázala k podnikání způsobem, který buduje sebevědomí a důvěru, což zahrnuje řádné používání a správu osobních údajů, které nám poskytli naši spolupracovníci, zákazníci a dodavatelé. Každý pracovník společnosti DDI na světě byl proškolen v nejlepších postupech zabezpečení údajů, které pomáhají chránit údaje klientů.

Naše poslání v oblasti zabezpečení údajů

  • Být naprosto transparentní, co se týče způsobu používání a správy údajů.
  • Pomáhat našim zákazníkům maximalizovat prospěch z jejich údajů při současné minimalizaci potenciálních rizik.
  • Využívat ty nejlepší globální postupy v rámci našich zásad ochrany údajů a opatření na zajištění dodržování předpisů.
  • Zajistit tu nejvyšší úroveň ochrany údajů a důvěrnosti pro naše zákazníky.

Náš přístup k zabezpečení údajů

Společnost DDI uplatňuje vícevrstvý přístup k zabezpečení údajů v rámci ochrany údajů uživatelů (údaje kandidáta, účastníka, studenta, správce a zákazníka) a předcházení neoprávněnému přístupu, pozměnění či zničení. Naše zásady a postupy jsou navrženy tak, aby:

  • definovaly mechanismy na ochranu údajů a zabránily jejich zneužití,
  • vzdělávaly pracovníky společnosti DDI ohledně důležitosti bezpečné správy údajů a rozpoznání potenciálních bezpečnostních hrozeb,
  • poskytovaly komunikační kanál pro externí dotazy týkající se těchto zásad a souvisejících systémů.

Správa a řízení zabezpečení

V zájmu integrity údajů má společnost DDI zdroje, zásady a procesy vyhrazené k ochraně údajů, včetně kanceláře ochrany údajů a pověřence pro ochranu osobních údajů, kteří pravidelně sledují globální normy.

Pověřenec pro ochranu osobních údajů (DPO) společnosti DDI stanoví a realizuje vizi a strategii pro firemní program zabezpečení údajů a dodržování předpisů s cílem zajištění globální konzistence, řádného řízení rizik a dosažení cílů.

Školení v oblasti zabezpečení údajů

Společnost DDI provádí pravidelné školení pro pracovníky společnosti DDI na téma nejlepších postupů v oblasti ochrany, důvěrnosti a zabezpečení údajů. Koncoví uživatelé jsou proškoleni, aby dokázali rozpoznat phishingový útok, léčky využívající sociální inženýrství, škodlivé odkazy a stažené soubory a věděli, jak se těmto nástrahám vyhnout.

Zpracování údajů

Společnost DDI přebírá roli správce nebo zpracovatele v závislosti na obchodním kontextu. Jsou-li údaje zachyceny a zpracovány v rámci marketingu, prodeje nebo výzkumu vedeného společností DDI, společnost DDI funguje jako „správce údajů“ a plní všechny povinnosti a požadavky v oblasti zabezpečení údajů předepsané pro danou roli. Jsou-li údaje zachyceny a zpracovány v rámci zakázky financované zákazníkem, roli správce údajů převezme zákazník. Společnost DDI funguje jako „zpracovatel údajů“ a plní všechny povinnosti a požadavky v oblasti zabezpečení údajů předepsané pro danou roli.

Spolupráce na zabezpečení

Zabezpečení a důvěrnost údajů našich zákazníků je sdílenou odpovědností mezi společností DDI a našimi zákazníky. Společnost DDI zajišťuje bezpečnou platformu, na které mohou zákazníci přistupovat ke svým údajům a využívat je. Kromě toho společnost DDI poskytuje nástroje, služby, podporu a zdroje, které našim zákazníkům umožňují zabezpečit své údaje v průběhu celého životního cyklu zakázky. Viz Prohlášení společnosti DDI o ochraně osobních údajů.

Zákazníci jsou společně odpovědní za zabezpečení svých údajů v průběhu své zakázky u společnosti DDI i po ní. Zákazníci musí chápat, jaké údaje jsou shromažďovány a drženy v systémech společnosti DDI, a definovat vhodné zásady sdílení údajů, aby bylo zajištěno, že údaje budou sdíleny pouze s těmi, kteří mají oprávnění k nim přistupovat. Zásady sdílení údajů musí splňovat požadavky na řízení rizik a dodržování předpisů, které odpovídají důležitosti a klasifikaci těchto údajů.

Klasifikace údajů

· Diagnostické/výkonnostní údaje jsou zachyceny v procesu plnění smluvních závazků vůči našim zákazníkům podle pokynů zákazníka a pod jeho kontrolou. Úložiště údajů z aplikací DDI mají přísná kontrolní opatření zabraňující zpřístupnění těchto údajů neoprávněným stranám. Přístup k nim je omezen na interní uživatele společnosti DDI, kteří je potřebují k poskytování smluvených obchodních služeb a/nebo správě zabezpečení, a na uživatele určené klientem a oprávněné uživatele v souladu se zásadami klienta o sdílení údajů.

Minimální právo přístupu

K údajům

Přístup ke všem údajům (bez ohledu na klasifikaci) je zajištěn prostřednictvím modelu zabezpečení „minimální nezbytná práva“, tj. přístup je udělen osobám s oprávněnou obchodní potřebou údaje znát, jako jsou např. koncoví uživatelé, správci klientů a různé týmy podpory společnosti DDI a klienta. Další opatření lze použít k zajištění, aby údaje byly zabezpečeny podle požadavků pro každou klasifikaci. Mezi jednotlivce, kterým může být udělen přístup, patří:

Koncoví uživatelé

Koncoví uživatelé jsou lidé, kteří jsou zapojeni do online procesu (jako je test nebo hodnocení) nebo vytvořili dotazník či dotazník vyplnili.

Správci klienta

Správci klienta jsou koncoví uživatelů systému, kteří spravují účty a pracovní procesy v rámci systému aplikací DDI, jako jsou personální manažeři, specialisté na rozvoj pracovníků a jiní personalisté. Správci mohou být buď pracovníci klienta nebo pracovníci společnosti DDI, kteří zadávají osobní informace jménem klientů nebo uchazečů o zaměstnání a mohou je přesunovat mezi jednotlivými fázemi procesu.

Podpůrný personál

Když si uživatel vyžádá technickou podporu od týmu podpory produktů společnosti DDI, daný uživatel může udělit zástupci podpory dočasný přístup k účtu. Tým podpory si možná bude muset při řešení incidentu podpory zobrazit test, hodnocení nebo dotazník uživatele.

K aplikacím

Aplikace používají k určení přístupových práv model zabezpečení založený na rolích. Údaje klientů jsou logicky odděleny podle umístění, dokumentu, uživatele a jiných kritérií. Změny systému jsou řízeny prostřednictvím procesu řízení změn nejlepších postupů.

K účtům

Koncovým uživatelům je uděleno to nejnižší přístupové právo nezbytné k efektivnímu a účinnému plnění jejich pracovních povinností. Společnost DDI přísně řídí veškerou administrativu a správu účtů. Uživatelské účty musí mít silná hesla a spořiče obrazovky chráněné heslem. Přístup k účtu bude automaticky zablokován po nadměrném počtu neúspěšných pokusů o přihlášení nebo po ukončení pracovního poměru.

Do databází

Vybraní členové našeho týmu inženýrů mají přístup na úrovni databáze. Tento přístup se používá pro vytváření zálohy mimo pracoviště a obnovování údajů. To vše probíhá bez zobrazování údajů.

Do datových center nebo záloh

Fyzický přístup do datových center je omezen na jmenný seznam pracovníků společnosti DDI. Fyzický přístup neznamená přístup k údajům. Fyzická média se nachází na serverech v uzamčené skříni. Zálohy mimo pracoviště jsou uloženy v protipožárním sejfu v zabezpečené místnosti. Přístup do této místnosti je omezen a evidován.

Zabezpečené předávání

Při používání aplikací DDI údaje obvykle proudí mezi třemi důležitými stranami – zákazník a jeho pracovníci/uchazeči a společnost DDI. Pokud koncový uživatel přistoupí do aplikace DDI, budou informace, které poskytne, zaslány pomocí zabezpečených šifrovaných (HTTPS) metod. Údaje zpracované našimi aplikačními servery jsou zasílány na naše databázové servery k uložení. Servery pro webové stránky / aplikace a databáze se nachází na samostatných logických a fyzických sítích chráněných bránou firewall.

Společnost DDI používá protokoly SSL/TLS 1.2 pro zabezpečený přístup k údajům v aplikaci přes HTTPS. Technologie SSL je dodávána jako standard pro všechny aplikace DDI a všechny zálohovací pásky jsou šifrovány pomocí 256bitového šifrování AES. Šifrování se používá pro hesla uložená v aplikačních databázích. Při kopírování z notebooku společnosti DDI na externí úložné zařízení zůstanou všechny soubory (bez ohledu na důvěrnost) zašifrovány.

Proces vývoje produktů a správa kódů

Vývojový distribuční cyklus

Společnost DDI používá model agilní metodiky řízení vývoje softwaru. Agilní metodiky jsou iterativním přístupem k vývoji softwaru a zajišťují velkou pohotovost, která umožňuje společnosti DDI rychle reagovat na potřeby našich klientů. Máme plánovaný cyklus vydávání nových kódů – obvykle týdenní – což znamená, že zhruba jednou týdně společnost DDI vydává nové funkce a vylepšení. Model agilní metodiky řízení vývoje softwaru nabízí často příležitost pro zlepšování stávajících a/nebo přidávání nových funkcí. Mimo tento cyklus můžeme vydávat urgentní funkce (tzv. „hot fix“) podle naléhavosti.

Vývojové (digitální) prostředí

Společnost DDI používá samostatné aplikační instance pro testování aktualizovaného kódu stejně jako samostatné instance pro první zkušební verzi kódu a testovací verzi softwaru. Tento přístup chrání údaje před tím, aby nad nimi nepřevzal kontrolu nebo k nim nezískal přístup kód, který je stále ve fázi vývoje. Veškerý vývojový kód běží na „fiktivních databázích“.

Kontrola kódu

Programátoři pracují při vývoji nového kódu samostatně a v týmech. Ke konci každého vývojového cyklu jejich kolegové kód kontrolují a testují v prostředí QA (prostředí pro účely zajišťování kvality) odděleně od produkčního prostředí. Toto testovací období umožňuje vyřešit většinu chyb dříve, než jsou zavedeny do produkce. Na kódu je rovněž programově kontrolována přítomnost známých zranitelností pomocí nástroje NTOSpider.

Řízení kódu

K řízení procesu vývoje softwaru se používá nástroj Git a slouží jako úložiště zdrojového kódu. Nástroj Git a související procesy zajišťují, aby nebyly přepsány žádné změny vlivem většího počtu změn provedených na stejném modulu větším počtem vývojářů. Procesy řízení změn existují na mnoha různých úrovních v rámci vývoje, zajišťování kvality a implementace, včetně:

Zabezpečení v oblasti infrastruktury

Zabezpečený hosting

Společnost DDI zajišťuje hosting aplikací, které jsou v kontaktu s klientem, v redundantních datových centrech s certifikací SSAE18, SOC 2 Type II, ISO / IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1.

Serverová infrastruktura společnosti DDI je uložena ve vyhrazeném a v kleci uzavřeném prostoru o rozměrech 244 x 488 cm. Přístup do této oblasti je omezen na pracovníky společnosti DDI odpovědné za správu aplikačních serverů a síťových komponentů. Budova datového centra má zavedené rozsáhlé systémy pro zajištění zabezpečení a fyzické ochrany zařízení.

Protože servery se mohou stát cílem útoku, společnost DDI zajišťuje, aby její servery byly vhodným způsobem zabezpečeny. Proces vylepšování zabezpečení serverů společnosti DDI zahrnuje následující opatření: [Z bezpečnostních důvodů nemůžeme poskytnout veškeré podrobnosti o našich kontrolních opatřeních na zabezpečení serverů.]

Kontinuita

Paralelní/redundantní systémy s technologií hot sync používané v datovém centru zajišťují redundantní napájecí zdroj prostřednictvím nepřerušitelných zdrojů napájení (UPS) a záložních generátorů. Je zřízeno připojení k sítím několika telekomunikačních společností pro zajištění redundantního přístupu k internetu, zatížení konektivity je vyvážené a konektivita je zajišťována více než jedním poskytovatelem internetu.

Obnova po havárii

Společnost DDI má vypracovaný podrobný plán pro obnovu po havárii pro účely obnovení provozu v případě rozsáhlého selhání systému. Tento plán je aktualizován s tím, jak se provádí změny systémové infrastruktury nebo konfigurace produkční webové farmy.

Zabezpečení sítě

Naše síťová infrastruktura sestává z duálního páru zařízení pro vysokou dostupnost, který zajišťuje schopnost vyvážení a akcelerace a naslouchá požadavkům přicházejícím přes porty TCP 80 nebo 443 (podle úrovně SSL) na externí adresu IP webové stránky. Společnost používá systémy detekce podle hostitele a sítě, které jsou monitorovány, a reakce na ně přichází v kteroukoli denní dobu každý den v roce.

Antimalwarová/antivirová ochrana

Naše monitorovací prostředí bylo nakonfigurováno tak, aby automaticky zasílalo upozornění příslušným pracovníkům, kteří jsou k dispozici na telefonu v kteroukoli denní dobu každý den v roce. Všechny příslušné systémy – počítače, servery, bránové systémy atd. – jsou chráněny koncovým antivirovým softwarem společnosti Microsoft zajišťujícím neustálou ochranu bez výpadků, který je řízen a aktualizován centrálně.

Uchovávání a odstraňovaná údajů

Společnost DDI uplatňuje komplexní zásady uchovávání údajů pro správu a ochranu osobních údajů. Standardním postupem společnosti DDI je to, že neuchovává osobní údaje po delší dobu, než jaká je nezbytná ke splnění jejích smluvních a/nebo zákonných povinností. Naše zásady (1) vyžadují, aby byly osobní údaje po uplynutí doby uchovávání smazány/zničeny nebo anonymizovány, přičemž toto období nesmí překročit 5 let; a (2) umožňují uchovávání údajů v depersonalizovaném formátu pro obchodní a výzkumné účely na dobu neurčitou.

Před 25. květnem 2018 budou údaje postupně zálohovány každou noc za účelem zajištění, aby byly zachovány všechny údaje aplikací a klientů a bylo možné je obnovit v případě ztráty údajů nebo katastrofické události. Po tomto datu budou noční zálohy uchovávány pouze po dobu třiceti (30) dnů.

Plány zálohování a uchovávání údajů

Reakce na bezpečnostní incident

Společnost DDI uplatňuje komplexní plán odhalování bezpečnostních incidentů a reakce na ně včetně odhalování neoprávněného vniknutí, skenů a dalších metod, které se považují za účinné a vhodné. Zatímco počítačové incidenty jsou nejběžnější, jiné než počítačové incidenty lze hlásit prostřednictvím Linky pro hlášení incidentů nebo kontaktováním pověřence pro ochranu osobních údajů nebo firemního právního poradce společnosti DDI. Společnost DDI oznámí případné podezření na bezpečnostní incidenty nebo skutečné bezpečnostní incidenty skutečně dotčeným nebo potenciálně dotčeným klientům a příslušným úřadům do 72 hodin od zjištění narušení zabezpečení. Jakmile bude incident napraven a budou učiněna nezbytná oznámení, společnost DDI bude i nadále podnikat kroky ke zlepšení kontrolních opatření, aby se předešlo opakování situace.

Dodržování předpisů

Certifikace

SSAE-18: Společnost DDI uchovává údaje pouze v datových centrech, která úspěšně absolvovala nezávislé roční audity SAS 70 typ II. Upozorňujeme, že audit SAS 70 byl nahrazen normou SSAE (Statement on Standards for Attestation Engagements) č. 18 a naše datová centra jsou certifikována podle této normy.

ISO 27001: Společnost DDI se řídí touto celosvětově široce uznávanou bezpečnostní normou vypracovanou Mezinárodní organizací pro normalizaci a využívá pouze datová centra, která prokázala svůj soulad formou pravidelných hodnocení a každoroční certifikace.

SOC 1 / SOC 2 – Společnost DDI není držitelem certifikace SOC 1 ani SOC 2. Poskytovatel hostingových datových služeb společnosti DDI má však platnou certifikaci SOC 2.

Důvěrné informace

Při zahájení pracovního poměru jsou všichni pracovníci společnosti DDI povinni podepsat dohodu o zachování důvěrnosti, která se věnuje konkrétně obavám a rizikům souvisejícím s nakládáním s důvěrnými informacemi. Pokud kterýkoli pracovník tuto zásadu poruší, bude jeho pracovní poměr okamžitě ukončen nebo vůči němu budou podniknuty odpovídající právní kroky.

Prověrky

Společnost DDI bude k provádění prověrek uchazečů o zaměstnání obecně používat externí agentury ve fázi nabídky v rámci výběrového procesu. Typem informací, které může tato agentura shromažďovat, jsou zejména informace týkající se předchozího zaměstnání, vzdělání, charakteru, financí, reputace osoby atd. Všechny prověrky se provádí v souladu s federálními i státními právními předpisy.

Ověření čísla SSN

U všech pracovníků pracujících v USA se ověřuje jejich legální pracovní status, čísla sociálního zabezpečení (SSN) nebo pracovní povolení.

Předpisy EU o ochraně údajů

Společnost DDI má svoji centrálu ve Spojených státech, obsluhuje zákazníky po celém světě a zavedla mechanismy, které zaručují, že předávání údajů z EU do USA je zajištěno zákonnými ochrannými opatřeními požadovanými podle předpisů EU o ochraně údajů, včetně štítu na ochranu soukromí Privacy Shield (náhrada za dohodu Safe Harbor), standardních smluvních doložek EU a souhlasu koncového uživatele. Certifikaci společnosti DDI v rámci programu štítu na ochranu soukromí Privacy Shield naleznete na stránce štítu soukromí: https://www.privacyshield.gov/.

Standardní smluvní doložky EU

Standardní smluvní doložka EU je standardní dodatek ke smlouvě mezi poskytovateli služeb, jako je společnost DDI, a jejich zákazníky, který je určen k zajištění toho, aby veškeré osobní údaje opouštějící prostor EHS byly předávány v souladu s právními předpisy EU o ochraně osobních údajů, a který splňuje požadavky směrnice EU o ochraně osobních údajů 95/46/ES.

Obecné nařízení o ochraně osobních údajů

Dne 25. května 2018 vstoupí v účinnost nový předpis věnující se ochraně osobních údajů zvaný obecné nařízení o ochraně osobních údajů (GDPR). Nařízení GDPR rozšiřuje práva jednotlivců v EU v souvislosti s osobními údaji a ukládá nové povinnosti poskytovatelům služeb, jako je DDI, kteří uchovávají a zpracovávají osobní údaje v EU. Společnost DDI nahlíží na nařízení GDPR jako na příležitost prohloubit svůj závazek uplatňovat nejlepší postupy v oblasti ochrany soukromí a osobních údajů, a to interně i ve vztahu k zákazníkům.

Stejně jako u jiných zákonných požadavků vyžaduje dodržování nařízení GDPR spolupráci mezi společností DDI, jejími dílčími zpracovateli a našimi zákazníky. Společnost bude při poskytování služeb svým zákazníkům nařízení GDPR dodržovat a usilovat o to, aby pomohla dodržovat toto nařízení i našim zákazníkům. Požadavky nařízení GDPR jsme podrobně analyzovali a pracujeme na vylepšování našich produktů, smluv a dokumentace na podporu dodržování nařízení GDPR ze strany společnosti DDI i našich zákazníků.

Externí poskytovatelé

Společnost DDI využívá externí poskytovatele k poskytování svých služeb tak, jak je popsáno v našich smlouvách. Využíváme přísný proces výběru, prověřování a auditu, abychom tak zajistili trvalý soulad s našimi parametry a požadavky na zpracování osobních údajů. Všichni externí poskytovatelé jsou povinni dodržovat standardy společnosti DDI týkající se zpracování, ochrany a zabezpečení osobních údajů.

Seznam našich dílčích zpracovatelů naleznete na adrese https://www.ddiworld.com/thirdpartyproviders

  • Osobní údaje zahrnují veškeré informace, které mohou identifikovat jednotlivce. Osobní údaje shromažďujeme, přistupujeme k nim, používáme je nebo zpřístupňujeme pouze pro oprávněné a vhodné obchodní účely. Tyto informace řádně zabezpečujeme a nesdílíme je s nikým ve společnosti ani mimo ni, kdo nemá aktuální a oprávněnou obchodní potřebu je znát.
  • Citlivé/důvěrné údaje jsou veškeré údaje, na které se vztahují zákonné požadavky na prevenci zpřístupnění nebo jejichž zpřístupnění by způsobilo závažné ohrožení důvěrnosti jednotlivce. Přístup k důvěrným údajům je omezen na interní uživatele společnosti DDI, kteří je nezbytně potřebují k poskytování smluvených obchodních služeb a/nebo správě zabezpečení. Aplikace DDI Software as a Service (SaaS – software jako služba) nesbírají ani neukládají důvěrné informace.
  • Veřejné údaje jsou informace, které jsou k dispozici k veřejnému šíření nebo které mohou být přístupné z jiných veřejných zdrojů. S většinou informací o jednotlivcích se však zachází jako s důvěrnými nebo citlivými informacemi, i pokud jsou veřejně dostupné.
    • dokumentace a vlastnictví změnového požadavku, což zahrnuje přezkum, schválení a dokumentaci všech změn vlastníkem aplikace,
    • stupňovitého procesu schvalování při postupu kódu z vývoje do QA, z QA do testování a z testování do produkce,
    • multifázového procesu testování a zajišťování kvality softwaru (po testu jednotky následuje systémový test, po kterém následuje uživatelská akceptační zkouška). Vývoj a testování jednotky provádí vývojáři softwaru na samostatných vývojových systémech před uvolněním k systémovému a uživatelskému akceptačnímu testování na samostatných QA systémech.
    • deaktivace nebo odstranění nepotřebných služeb, aplikací a síťových protokolů,
    • deaktivace nepotřebných uživatelských účtů a přejmenování výchozích účtů,
    • požadavky na heslo nakonfigurované tak, aby byly v souladu se Zásadami pro hesla společnosti DDI,
    • aktivace protokolování serveru a záznamu auditních stop,
    • instalace antivirového/antimalwarového softwaru s aktuálními definičními soubory,
    • konfigurace s aktuálními opravami zabezpečení, které jsou nejprve otestovány na testovací platformě.
    • Fyzické souborové servery a zálohy DB serveru: (uchovávány na disku po dobu 35 dnů)
    • Produkční virtuální stroje: (uchovávány na disku po dobu 35 dnů)
    • Klientské stránky na Sharepointu: (uchovávány na disku po dobu 35 dnů)
    • Měsíční kopie na pásku: (uchovávána na pásce po dobu 1 roku)
    • Roční kopie na pásku: (uchovávána na pásce po dobu 5 let)
Talk to an Expert: GISP
* Denotes required field
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Souhlasím s tím, že společnost DDI bude shromažďovat a zpracovávat mé osobní údaje při poskytování služeb a pro účely marketingu a průzkumu. Jsem si vědom/a svých práv a způsobů, jakými budou mé údaje využívány, jak je uvedeno v zásadách ochrany osobních údajů společnosti DDI. Jsem si vědom(a) svého práva tento svůj souhlas kdykoli zrušit.

Enter security code:
 Security code