Navigation SearchNavigation ContactNavigation Products

O preocupare care ne diferențiază de alții:
securitatea și integritatea

Încă de la înființare, DDI a acordat cea mai mare importanță integrității datelor.  DDI se angajează să își desfășoare activitatea într-un mod care să promoveze încrederea, inclusiv prin utilizarea și gestionarea corespunzătoare a datelor cu caracter personal puse la dispoziție de către colegii, clienții și furnizorii săi.  Fiecare asociat DDI de pe glob a fost instruit cu privire la cele mai bune practici pentru securitatea datelor, care contribuie la protejarea datelor clienților.

Misiunea noastră cu privire la securitate

  • Să oferim transparență deplină privind modul în care utilizăm și gestionăm datele.
  • Să îi ajutăm pe clienții noștri să beneficieze la maximum de pe urma datelor lor, reducând la minimum potențialele riscuri.
  • Să aplicăm cele mai bune practici globale în politicile noastre privind datele și măsurile noastre de asigurare a conformității.
  • Să asigurăm cel mai înalt nivel de protecție și de confidențialitate a datelor pentru clienții noștri.

Abordarea noastră privind securitatea datelor

DDI utilizează o abordare pe mai multe niveluri în ceea ce privește securitatea informațiilor pentru a proteja datele utilizatorilor (informațiile despre candidați, participanți, cursanți, administratori și clienți) și pentru a preveni accesul neautorizat, modificarea sau distrugerea datelor.  Politicile și procesele noastre sunt concepute pentru:

  • Stabilirea mecanismelor pentru protecția datelor și prevenirea utilizării abuzive a acestora
  • Educarea asociaților DDI cu privire la importanța gestionării securizate a datelor și a recunoașterii potențialelor amenințări la adresa securității
  • Asigurarea unui canal de comunicații pentru solicitările externe referitoare la această politică și sistemele asociate

Guvernanța în materie de securitate

Pentru a asigura integritatea datelor, DDI are resurse, politici și procese dedicate protecției datelor, inclusiv un Birou pentru securitatea datelor și un Responsabil cu protecția datelor, care efectuează monitorizarea de rutină a standardelor globale. 

Responsabilul cu protecția datelor din cadrul DDI stabilește și aplică viziunea și strategia pentru programul de securitate și conformitate al companiei, având ca scop coerența globală și asigurându-se că riscurile sunt gestionate corespunzător și că obiectivele sunt atinse.

Instruirea în domeniul securității

DDI organizează cursuri de instruire periodice pentru ca asociații DDI să învețe despre confidențialitatea datelor, confidențialitatea în general și cele mai bune practici în domeniul securității.   Utilizatorii finali sunt instruiți să recunoască și să evite atacurile de phishing, atacurile de inginerie socială și linkurile și descărcările rău intenționate.

Prelucrarea datelor

DDI își asumă rolul de Operator de date sau de Persoană împuternicită de operator, în funcție de contextul comercial.  Atunci când datele sunt înregistrate și prelucrate în contextul unor operațiuni de marketing, vânzări sau cercetare desfășurate de DDI, DDI acționează ca Operator de date, își asumă toate responsabilitățile și respectă toate cerințele privind securitatea datelor prevăzute pentru rolul respectiv.  Atunci când datele sunt înregistrate și prelucrate în contextul unui angajament finanțat de client, clientul își asumă rolul de Operator de date.  DDI acționează ca Persoană împuternicită de operator pentru prelucrarea datelor, își asumă toate responsabilitățile și respectă toate cerințele privind securitatea datelor prevăzute pentru rolul respectiv. 

Securitatea în cadrul parteneriatelor

Securitatea și confidențialitatea datelor clienților noștri reprezintă o responsabilitate comună a companiei DDI și a clienților săi.  DDI oferă o platformă securizată pe care clienții își pot accesa și utiliza datele.  În plus, DDI pune la dispoziție instrumente, servicii, asistență și resurse care le dau clienților posibilitatea să garanteze securitatea datelor lor pe toată perioada angajamentului. Consultați Declarația DDI privind confidențialitatea.

Clienții sunt parțial responsabili pentru securitatea datelor lor în timpul și după încheierea angajamentului lor cu DDI.  Aceștia trebuie să înțeleagă că datele sunt colectate și păstrate în sistemele DDI și să stabilească o politică adecvată privind distribuirea datelor, pentru a se asigura că acestea sunt distribuite numai persoanelor care au o autorizație de acces la date.  Politica privind distribuirea datelor trebuie să respecte cerințele privind riscul și conformitatea, care se aplică în funcție de importanța și de categoria datelor respective.

Categoriile de date

  • Datele cu caracter personal reprezintă orice informații care pot identifica o persoană. Noi colectăm, accesăm, utilizăm sau dezvăluim date cu caracter personal numai în scopuri comerciale valide și adecvate. Securizăm aceste informații în mod corespunzător și nu le distribuim nimănui, în interiorul sau în afara Companiei, care nu are o necesitate comercială actuală și validă.
  • Datele cu caracter sensibil/confidențiale reprezintă orice resursă informațională pentru care există cerințe legale ce împiedică dezvăluirea sau a cărei dezvăluire poate duce la compromiterea gravă a confidențialității unei persoane.  Accesul la datele confidențiale se limitează la utilizatorii interni din cadrul DDI cărora le sunt necesare pentru a furniza serviciile comerciale contractate și/sau a gestiona securitatea.  Aplicațiile Software as a Service (SaaS) ale DDI nu procură și nu stochează resurse informaționale confidențiale. 
  • Datele de diagnosticare/privind performanța sunt înregistrate în cursul îndeplinirii obligațiilor contractuale față de clienții noștri, în contextul prevăzut și deținut de client.  Depozitele de date din aplicațiile DDI au controale stricte care împiedică dezvăluirea acestor date părților neautorizate.  Accesul la acestea se limitează la utilizatorii interni din cadrul DDI cărora le sunt necesare pentru a furniza serviciile comerciale contractate și/sau a gestiona securitatea și la utilizatorii identificați și autorizați de client, conform politicii clientului privind distribuirea datelor.
  • Datele publice reprezintă informații disponibile pentru a fi puse la dispoziția publicului sau care pot fi accesate din alte surse publice.  Cu toate acestea, majoritatea informațiilor despre persoane sunt tratate ca fiind Confidențiale sau având Caracter sensibil, chiar dacă sunt disponibile public.

Accesul conform principiului celui mai mic privilegiu

La date

Accesul la toate datele (indiferent de categorie) se acordă pe baza modelului de securitate „Principiul celui mai mic privilegiu”, adică este permis celor care au o nevoie legitimă de afaceri, cum ar fi utilizatorii finali, administratorii clientului și diferite echipe de asistență pentru clienți și echipe DDI.  Pot fi aplicate măsuri suplimentare pentru asigurarea securizării datelor conform cerințelor pentru fiecare categorie.  Printre persoanele cărora li se acordă accesul se numără:

Utilizatorii finali

Utilizatorii finali sunt persoanele care au participat la un proces online (de exemplu, un test sau o evaluare) sau care au creat ori au răspuns la un sondaj.

Administratorii clientului

Administratorii clientului sunt utilizatorii finali ai sistemului care gestionează conturi și procese de flux de lucru pe un sistem de aplicații al DDI, de exemplu, manageri care gestionează angajările, specialiști în dezvoltarea personalului și alte roluri în cadrul Departamentului de resurse umane.  Administratorii pot fi asociați ai clientului sau asociați DDI care introduc informații cu caracter personal în numele clienților sau candidaților și pot să îi treacă prin diferite etape ale unui proces. 

Personalul de asistență

Atunci când un utilizator solicită asistență tehnică din partea echipei de asistență pentru produse DDI, acesta poate acorda reprezentantului serviciului de asistență acces temporar la contul său.  Poate fi necesar ca echipa de asistență să examineze testul, evaluarea sau sondajul utilizatorului individual în cadrul procesului de rezolvare a incidentelor.

La aplicații

Aplicațiile utilizează un model de securitate bazat pe roluri pentru a stabili drepturile de acces. Datele clientului sunt împărțite logic în funcție de site, document, utilizator și alte criterii.  Modificările sistemului sunt controlate folosind o bună practică de gestionare a modificărilor.

La conturi

Utilizatorilor finali li se acordă permisiuni de tipul „Acces conform principiului celui mai mic privilegiu” pentru a-și executa sarcinile în mod eficient și eficace.  Toate operațiunile de administrare și de gestionare a conturilor sunt strict controlate de către DDI. Utilizatorii trebuie să aibă parole puternice și ecrane protejate prin parolă.  Accesul la cont va fi dezactivat automat după depășirea numărului maxim de încercări de conectare nereușite sau după rezilierea contractului de muncă.

La bazele de date

Anumiți membri ai echipei noastre de inginerie au acces la nivel de bază de date. Acest acces se acordă pentru crearea backupurilor offline și restaurarea datelor. Toate acestea se efectuează fără vizualizarea datelor.

La centrele de date sau la backupuri

Accesul fizic la centrele de date se limitează la o listă cu asociați DDI desemnați. Accesul fizic nu înseamnă accesul la date. Suportul fizic se găsește pe servere aflate într-un dulap încuiat. Backupurile offline sunt stocate într-un seif rezistent la foc, într-o încăpere securizată. Accesul la această încăpere este restricționat și contorizat.

Transmisiile securizate

În timpul utilizării aplicațiilor DDI, datele circulă de obicei între trei părți importante: clientul, asociații/candidații săi și DDI.  Atunci când un utilizator final accesează o aplicație DDI, informațiile pe care le oferă sunt transmise prin metode criptate securizate (HTTPS).  Datele prelucrate de serverele noastre de aplicații sunt trimise la serverele de baze de date în vederea stocării. Serverele web/de aplicații și serverele de baze de date se află în rețele logice și fizice separate, protejate de firewalluri.

DDI utilizează SSL/TLS 1.2 pentru accesul HTTPS securizat la datele aplicațiilor. Tehnologia SSL este oferită drept caracteristică standard pentru toate aplicațiile DDI și toate benzile pentru backup sunt criptate folosind criptarea AES pe 256 de biți. Criptarea este utilizată pentru parolele stocate în bazele de date ale aplicațiilor.  Toate fișierele (indiferent de nivelul de confidențialitate) rămân criptate atunci când sunt copiate de pe un laptop DDI pe un dispozitiv de stocare extern.

Procesul de dezvoltare a produselor și gestionarea codului software

Ciclul de lansare a versiunilor dezvoltate

DDI utilizează un model de dezvoltare Agile.  Dezvoltarea Agile este o abordare iterativă a procesului de dezvoltare de software și oferă o capacitate foarte dinamică ce dă companiei DDI posibilitatea să satisfacă rapid cerințele clienților.  Avem un ciclu planificat de lansare a unui nou cod software – de regulă un ciclu săptămânal – ceea ce înseamnă că DDI lansează aproape săptămânal funcții și upgrade-uri noi.  Modelul de dezvoltare Agile oferă intervale de timp frecvente pentru îmbunătățirea funcțiilor existente și/sau adăugarea de noi funcții. În afara acestui ciclu putem face lansări imediate („remedieri rapide”), în funcție de gradul de urgență.

Mediile (digitale) de dezvoltare

DDI utilizează instanțe separate ale aplicațiilor pentru a testa codul software actualizat și instanțe separate pentru codul software propus pentru faza preliminară și software-ul propus pentru lansare. Această abordare protejează datele împotriva controlului sau accesării cu ajutorul codului software aflat încă în curs de dezvoltare.  Orice cod de dezvoltare software este executat în „baze de date dummy”.

Revizuirea codului

Programatorii lucrează individual și în echipe pentru a dezvolta cod software nou.  Spre sfârșitul fiecărui ciclu de dezvoltare, codul este revizuit printr-o evaluare efectuată de colegi și testat într-un mediu pentru asigurarea calității, separat de mediul de producție.  Această perioadă de testare permite remedierea celor mai multe erori, înainte de intrarea în producție.  Codul software este, de asemenea, verificat programatic pentru vulnerabilitățile cunoscute, folosind instrumentul NTOSpider.

Gestionarea codului software

Git se utilizează pentru gestionarea procesului de dezvoltare de software și servește ca depozit pentru codul sursă.  Instrumentul Git și procesele corelate asigură faptul că modificările nu se suprascriu din cauza mai multor dezvoltatori care fac modificări în aceluiași modul.  Sunt disponibile procese pentru controlul modificărilor în diferite etape de dezvoltare, asigurare a calității și implementare, inclusiv:

  • Documentația și responsabilitatea pentru Solicitarea de modificare, inclusiv examinarea, aprobarea și documentarea tuturor modificărilor de către proprietarul aplicației.
  • Un proces de aprobare cu filtrare și blocare pentru promovarea codului software de la: dezvoltare la asigurarea calității, de la asigurarea calității la etapizare și de la etapizare la producție.
  • Testarea în mai multe etape a software-ului și procesul de asigurare a calității (testarea la nivel de unitate urmată de testarea sistemului, urmată de testul de acceptare de către utilizatori). Dezvoltarea și testarea la nivel de unitate sunt efectuate pe sisteme de dezvoltare diferite de către dezvoltatorii de software, înainte de a fi lansate pentru testarea sistemului și testarea acceptării de către utilizatori pe sisteme separate pentru asigurarea calității.

Securitatea în cadrul infrastructurii

Facilități de găzduire securizate

DDI găzduiește aplicații destinate clienților în centre de date redundante certificate conform SSAE18, SOC 2 Tip II, ISO/IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1.

Infrastructura de servere a DDI este găzduită într-un spațiu închis special de 8’ x 16’.  Accesul în această zonă se limitează la personalul DDI responsabil cu gestionarea serverelor de aplicații și a componentelor de rețea. Centrele de date au implementat sisteme extinse pentru a garanta securitatea și protecția fizică a structurii. 

Deoarece serverele pot fi ținta unui atac, DDI se asigură că serverele sale sunt securizate corespunzător.  Procesul DDI de îmbunătățire a securității serverelor include următoarele măsuri:  [Din motive de securitate, nu putem oferi toate detaliile despre controalele noastre pentru securitatea serverelor.]

  • Dezactivarea sau eliminarea serviciilor, a aplicațiilor și a protocoalelor de rețea inutile.
  • Dezactivarea conturilor de utilizator inutile și redenumirea conturilor implicite.
  • Cerințe privind parola configurate pentru respectarea Politicii DDI privind parolele.
  • Activarea conectării la server și a pistelor de audit.
  • Instalarea de software antivirus/antimalware cu fișiere cu definiții actualizate.
  • Configurații cu corecții de securitate actualizate, care sunt testate mai întâi pe o platformă de testare.

Continuitatea

Sistemele Hot Sync paralele/redundante ale centrului de date asigură alimentarea redundantă prin intermediul sistemelor de alimentare neîntreruptibile (UPS) și generatoarelor de rezervă.  Sunt disponibile conexiuni la mai multe rețele ale companiilor de telecomunicații pentru acces redundant la internet, iar conectivitatea este echilibrată în funcție de sarcină și asigurată de mai mulți furnizori de servicii de internet.

Recuperarea după dezastru

DDI menține un plan detaliat pentru Recuperarea după dezastru în vederea restaurării serviciilor comerciale în eventualitatea unei defecțiuni de sistem pe scară largă. Acest plan este actualizat pe măsură ce sunt aduse modificări asupra infrastructurii sistemului sau configurației uniunii web de producție.

Securitatea rețelelor

Protecția antimalware/antivirus

Mediul nostru de monitorizare a fost configurat astfel încât să trimită automat avertizări membrilor de personal corespunzători, care sunt disponibili non-stop.  Toate sistemele corespunzătoare – PC-uri, servere, sisteme de gateway etc. – sunt protejate de software antivirus Microsoft Endpoint Protection și software „zero-day protection”, care este gestionat și actualizat la nivel central. 

Păstrarea și ștergerea datelor

DDI aplică o politică cuprinzătoare privind păstrarea datelor pentru gestionarea și protejarea datelor cu caracter personal.  Ca standard de bună practică, DDI nu păstrează datele cu caracter personal mai mult timp decât este necesar pentru a-și îndeplini obligațiile contractuale și/sau legale.  Politica noastră (1) impune ștergerea/distrugerea sau anonimizarea datelor cu caracter personal după expirarea perioadei de păstrare care nu va depăși 5 ani și (2) permite păstrarea pe termen nelimitat a datelor în formă depersonalizată în scopuri comerciale și de cercetare.

Până la data de 25 mai 2018, se va efectua în fiecare noapte un backup al datelor, pentru a garanta că toate aplicațiile și datele clienților sunt păstrate și disponibile pentru restaurare în eventualitatea unei pierderi de date sau a unui eveniment catastrofal.  După această dată, backupurile efectuate în fiecare noapte vor fi păstrate doar pe o perioadă de treizeci (30) de zile.

Programele de backup și păstrarea datelor

  • Backupuri pentru serverele de fișiere fizice și serverele de baze de date: (păstrate pe unitatea de disc timp de 35 de zile)
  • Mașinile virtuale pentru producție: (păstrate pe unitatea de disc timp de 35 de zile)
  • Site-urile clienților SharePoint: (păstrate pe unitatea de disc timp de 35 de zile)
  • Copiile lunare pe unități de bandă: (păstrate pe unitatea de bandă timp de un an)
  • Copiile anuale pe unități de bandă: (păstrate pe unitatea de bandă timp de 5 ani)

Reacția la incidente de securitate

DDI aplică un plan cuprinzător de detectare și reacție la incidente de securitate, plan care include detectarea intruziunilor, scanări și alte metode considerate eficiente și adecvate. Deși incidentele legate de computere sunt cele mai frecvente, incidentele care nu au legătură cu computerele pot fi raportate apelând Linia de asistență pentru incidente sau contactând Responsabilul cu protecția datelor sau Consilierul corporativ al DDI.  DDI va raporta orice incidente de securitate suspectate sau reale către clienții afectați sau potențial afectați și către autoritățile competente în termen de 72 de ore de la descoperirea breșei de securitate.  După remedierea unui incident și trimiterea notificărilor corespunzătoare, DDI va lua în continuare măsuri pentru îmbunătățirea controalelor de confidențialitate și prevenirea repetării.

Conformitate

Certificări

SSAE-18: DDI stochează date numai în centrele de date care au beneficiat de rapoarte de audit anuale favorabile imparțiale în conformitate cu standardul SAS 70 Tip II. Rețineți că standardul SAS 70 a fost înlocuit de Declarația privind standardele pentru auditurile de certificare (SSAE) nr. 18 și centrele noastre de date sunt certificate conform acestui standard.

ISO 27001: DDI respectă acest standard de securitate globală adoptat pe scară largă, elaborat de către Organizația Internațională de Standardizare, și utilizează numai centre de date care și-au dovedit conformitatea prin evaluări periodice și certificări anuale.

SOC 1/SOC 2 – DDI nu deține nici certificare SOC 1, nici certificare SOC 2.  Cu toate acestea, furnizorul de servicii de găzduire a datelor al DDI deține certificări SOC 2 la zi. 

Informațiile confidențiale

La angajare, toți asociații DDI trebuie să semneze un acord de confidențialitate care tratează în mod specific preocupările și riscurile legate de gestionarea informațiilor confidențiale.  Dacă se constată că un asociat a încălcat această politică, acesta este pasibil de desfacerea imediată a contractului de muncă sau de acționare în instanță.

Verificările antecedentelor

DDI va colabora în general cu o agenție terță parte care va efectua verificări ale antecedentelor candidaților în etapa de ofertă a procesului de selecție. Tipurile de informații care pot fi colectate de această agenție includ, dar fără a se limita la, informații despre locurile de muncă anterioare, educația, caracterul, resursele financiare, reputația persoanei respective etc. Toate verificările antecedentelor se realizează în conformitate cu legislația federală și statală aplicabilă.

Verificarea numărului de asigurare socială

Toți asociații care au sediul în S.U.A. sunt lucrători verificați care desfășoară o activitate legală în S.U.A., iar numerele de asigurare socială sau permisele lor de muncă sunt verificate.

Regulamentele UE privind protecția datelor

DDI are sediul central în Statele Unite, deservește clienți internaționali și a implementat mecanisme pentru a se asigura că transferurile de date din UE în S.U.A. respectă măsurile de protecție legale impuse de Regulamentele UE privind protecția datelor, inclusiv Scutul de confidențialitate (care înlocuiește Acordul Safe Harbor), Modelul de clauze contractuale al UE și consimțământul utilizatorului final.  Certificarea DDI în baza programului Scutul de confidențialitate poate fi consultată pe site-ul Scutului de confidențialitate: https://www.privacyshield.gov/

Modelul de clauze al UE

Modelul de clauze al UE este un act adițional standard la contractul încheiat între furnizori de servicii precum DDI și clienții lor, conceput pentru a asigura faptul că toate datele cu caracter personal transmise din SEE vor fi transferate în conformitate cu legislația UE privind protecția datelor și că acestea îndeplinesc cerințele Directivei 95/46/CE privind protecția datelor.

Regulamentele generale privind protecția datelor

Pe 25 mai 2018 va intra în vigoare o nouă obligație privind confidențialitatea, numită Regulamentul general privind protecția datelor (RGPD).  RGPD extinde drepturile la viața privată ale persoanelor din UE și impune noi obligații furnizorilor de servicii din UE, precum DDI, care stochează și prelucrează date cu caracter personal.  DDI consideră RGPD o oportunitate de aprofundare a angajamentului său cu privire la cele mai bune practici privind confidențialitatea și protecția datelor la nivel intern și față de clienți.

La fel ca alte cerințe legale, conformitatea cu RGPD impune un parteneriat între DDI, operatorii de date care prelucrează date în numele DDI și clienți. DDI va respecta RGPD în furnizarea serviciilor către clienții săi și se va angaja să ofere asistență pentru a-i ajuta pe aceștia să se conformeze. Am analizat îndeaproape cerințele RGPD și depunem eforturi pentru îmbunătățirea produselor, a contractelor și a documentației noastre în sprijinul conformității DDI și a clienților cu RGPD.   

Furnizorii terță parte

DDI colaborează cu furnizori terță parte pentru a vă furniza Serviciile sale, așa cum este prevăzut în contractele sale.  Utilizăm un proces riguros de cerere, verificare a antecedentelor și auditare pentru a asigura în permanență respectarea parametrilor și a cerințelor de prelucrare a datelor.  Toți furnizorii terță parte trebuie să respecte standardele DDI privind prelucrarea, protecția și securitatea datelor.

Pentru o listă a operatorilor de date care prelucrează date în numele DDI, consultați https://www.ddiworld.com/thirdpartyproviders

Talk to an Expert: GISP
* Denotes required field
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Consimt ca DDI să îmi colecteze și prelucreze datele personale în furnizarea de servicii către mine și în scopuri de marketing și de cercetare. Îmi cunosc drepturile și înțeleg modurile în care vor fi utilizate datele mele, conform prevederilor Politicii de confidențialitate a datelor DDI. Înțeleg că am dreptul să îmi revoc oricând consimțământul.

Enter security code:
 Security code