Jak Teamio pomáhá s náborem malým firmám

🎥Nahlédnout do Dřevojasu

Bezpečnost je u nás na prvním místě

Novinka: Ochrana osobních údajů dle GDPR

Na změny v legislativě jsme vždy včas připraveni – to se týká i nového nařízení o ochraně osobních údajů (tzv. GDPR neboli General Data Protection Regulation). Jak vám s GDPR pomůžeme? A jak to vaši práci v Teamiu změní?

Více o GDPR v Teamiu

Technické informace a bezpečnost

Základní specifikace

Teamio je modulární webová aplikace pro správu náborového procesu.

Umožňuje řízení workflow mezi personálními odděleními firem a uchazeči o zaměstnání. Tedy pomáhá firemním personalistům udržovat proces náboru potenciálních zaměstnanců. Vystavení nové pracovní pozice, komunikace s uchazeči, kteří o nabízenou práci projeví zájem, organizace výběrových řízení a pracovních pohovorů, evidence potenciálních kandidátů. To vše a mnohem více, v souladu s platnou mezinárodní legislativou, komfortně a bezpečně. To je Teamio.

Infrastruktura aplikace

Aplikace Teamio je provozována jako SaaS (Software as a Service).

  • Aplikace je provozována v privátním cloudu u externích poskytovatelů.
  • LMC jako ASP (Application Service Provider) zajišťuje aktuálnost a provoz systému, poskytuje funkcionalitu uživatelům.

Servery systému Teamio jsou umístěny ve více datových centrech v rámci EU.

Ochrana uživatelských dat

  • Uživatelský přístup je zajištěn výhradně pomocí šifrovaného spojení.
  • Produkční provoz je plně oddělen od vývoje/testování a nesdílí uživatelská data.
  • Přístup na produkční systémy (údržba, aktualizace) je striktně omezen na formálně definovanou skupinu pověřených osob.
  • Veškeré klíčové aktivity na produkčních systémech jsou monitorovány, logovány a vyhodnocovány.
  • Aktivace přístupu k modulům jsou (na autorizovanou žádost uživatelů) administrovány v LMC.
  • Aplikace je kontinuálně vyvíjena a testována (z hlediska funkčního i bezpečnostního). Aktualizace jsou vydávány na denní bázi. V případě kritické, bezpečnostní či jinak závažné chyby jsou opravy nasazovány v řádu hodin.

Ochrana uživatelských dat je zajištěna v souladu s EU legislativou (GDPR).

Výmaz dat uchazeče

Ke smazání uchazeče v Teamiu může dojít dvojím způsobem:

  • Manuální smazání

    V Teamiu máte možnost smazat uchazeče, a to ve všech edicích. Smazat uchazeče lze buď v Hledání uchazečů, či na Kartě uchazeče.

    Smazaný uchazeč zmizí z celého Teamia a to i s veškerými souvisejícími údaji jako je historie, poznámky, štítky a tak dále. Uchazeče už nebudete mít v databázi Teamia a zmizí i ze všech pozic, ke kterým byl vázaný. Jedná se o nevratný krok, proto si vždy ověřte, že mažete správného uchazeče.

  • Automatické smazání

    K automatickému smazání uchazeče dochází také dvojím způsobem:

    • V edici Teamio Free jsou automaticky mazáni všichni uchazeči po archivaci pozice.
    • V edicích Teamio Easy a Teamio Smart dochází ke smazání uchazeče buď po uplynutí 6 měsíců od přijetí reakce, pokud uchazeč nedal souhlas s zpracováním osobních údajů, nebo po vypršení souhlasu, pokud jej uchazeč zaměstnavateli udělil. Každý klient si může zvolit individuální dobu platnosti souhlasu.

    I v tomto případě se jedná o nevratný krok.

Požadavky na provoz

Teamio je dostupné prostřednictvím webového rozhraní.

Rozhraní je kompatibilní s majoritními prohlížeči (Firefox, Chrome, MS Internet Explorer 11 a vyšší). Pro fungování systému je nutné, aby klient (webový prohlížeč) podporoval JavaScript a ukládání cookies.

Aplikace vyžaduje běžné internetové připojení (nároky nepřekračují rychlosti běžné u mobilních připojení typu CDMA, EDGE či UMTS).

Aplikační podpora

Požadavky na podporu jsou hlášeny pomocí systému HelpDesku a vyřizovány v obvyklé pracovní době v nejkratším možném čase pracovníky Customer Care (pracovní dny, 8.00–17.00 hodin CET).

Bezpečnost

Komunikace

Aplikace komunikuje s klientem výhradně pomocí zabezpečeného spojení protokolem HTTPS.

  • Pro zabezpečení je vynucován protokol TLS 1.2.
  • Serverový SSL certifikát X509v3 je podepsán důvěryhodnými certifikačními autoritami a je akceptován všemi majoritními webovými prohlížeči.
  • Klientský certifikát není vyžadován.

Rozlišení jednotlivých relací (sessions) s klienty je zajištěno pomocí mechanismu cookies.

Veškerý provoz na produkční systémy (v obou směrech) je filtrován a povolen je pouze webový přístup (HTTPS) pro uživatelskou interakci a dále šifrovaný přístup (SSH protokol s autentizací pomocí klíče) pro údržbu/aktualizaci aplikace.

Autentizace

Autentizace uživatele je jednofaktorová. Autentizační mechanismus vyžaduje k ověření uživatelské jméno a heslo (form-based autentizace). Počet pokusů o přihlášení uživatele je dynamicky omezován (ochrana před Brute-force útoky). Uživatelské účty jsou individuální (LMC důrazně nedoporučuje sdílení účtů mezi více uživateli). Hesla jsou v aplikaci ukládána pouze jako tzv. otisky (heše), čitelná podoba (plaintext) hesla se nikdy v systému neukládá a kontroluje se pouze v okamžiku přihlašování uživatele. Algoritmus hešování průběžně modifikujeme, abychom reagovali na měnící se stav technologií.

Parametry přihlašovacích údajů jsou kontrolovány vůči definovatelné systémové politice. Akuální nastavení je následující:

  • Uživatelské jméno je unikátní identifikátor (lze použít i e-mailovou adresu).
  • Minimální vynucovaná délka hesla je nastavena na 6 znaků, shora je omezena 128 znaky.
  • Je vynucována komplexita hesla (kombinace nejméně dvou skupin znaků z číslic, písmen, speciálních znaků).
  • Nejsou povolena tzv. triviální hesla (číselné/znakové řady, např. 123456, abcdef).
  • Je vynucována změna iniciálního hesla (po založení uživatele / nastavení hesla operátorem) při následujícím přihlášení.
  • Není vynucována obměna hesla (tj. heslo neexpiruje), historie použitých hesel proto není zaznamenávána.
  • Heslo je ukládáno pomocí algoritmu PBKDF2(HMAC-SHA256), 1M iterací a individuální „salt“ pro jednotlivý účet.
  • 5 neúspěšných pokusů o zadání hesla vyvolá zablokování přístupu danému uživateli na 1 hodinu.

Autorizace – systém uživatelských rolí

V aplikaci Teamio jsou definovány následující uživatelské role (v závislosti na příslušné edici Teamio). Správu rolí v rámci příslušné firemní registrace nastavuje oprávněný firemní uživatel.

  • HR Manažer – má přístup k pozicím všech uživatelů a zároveň ke všem reakcím na tyto pozice. Má právo měnit firemní nastavení (šablony, hlavičky aj.).
    U role lze (volitelně) nastavit libovolnou kombinaci následujících práv:
    • přístup ke statistikám čerpání služeb,
    • přístup k náborovým statistikám,
    • přístup k administraci kont kreditů,
    • správce uživatelů.
  • Náborář – má přístup pouze ke svým pozicím a zároveň k reakcím na tyto pozice.
    Nemá právo měnit firemní nastavení.
    Role má práva pro:
    • Přístup ke sdíleným uchazečům. V části Hledání uchazečů má přístup i k uchazečům ostatních kolegů, kteří jednou byli předvybraní, na pohovoru nebo nastoupili.
    • Přístup k došlým zprávám (pouze pokud edice obsahuje službu Inbox).
  • Náborář, který nemůže utrácet – oproti roli „Náborář“ se liší pouze blokovanou možností útraty kreditů (např. platba kreditem za vystavení pozice, odkrytí CV v databázi apod.).
  • Liniový manažer – má přístup k uchazečům na pozicích, které jsou mu zpřístupněny (sdíleny).
    Nemá právo měnit firemní nastavení ani pracovat s pozicí.
    Role má práva pro:
    • komentáře,
    • pozvánky uchazečů na pohovor.

Provozní monitoring

Aplikace je monitorována v režimu 24x7:

  • externím systémem (Pingdom),
  • interním systémem (ICINGA).

Status je sledován (a případné potíže notifikovány) online (pomocích mobilních aplikací) pověřeným dohledem v době 7–22 hodin CET, každý den.

Zálohování systému a dat

Zálohování probíhá na pravidelné bázi podle definovaného zálohovacího plánu:

  • zálohování transakčního logu probíhá kontinuálně (aby byla zajištěna obnova dat do 8 hodin od času havárie),
  • 1x denně probíhá snapshot cloudovou platformou,
  • 1x týdně probíhá full backup dat.

Retence je implicitně stanovena na 14 dní.

Je používáno několikaúrovňového systému záloh:

  • online replikace dat do více lokací,
  • zálohovací systémy cloudových poskytovatelů,
  • aplikační zálohování interním systémem (Networker, Bareos).

Softwarová platforma

  • Aplikace je vytvořena v jazyce Java a provozována na aplikačních serverech Wildfly (JBoss) s operačním systémem na bázi Linux.
  • Databázový backend (IBM DB2 UDB v10.5.x) je provozován v režimu vysoké dostupnosti DB2_HADR (High Availability Disaster Recovery).
  • Pomocné aplikace používají databázi PostgreSQL (v 9.5).
  • Veškeré použité komponenty jsou před produkčním nasazením testovány na stabilitu, dostupnost a bezpečnost tak, aby byla vždy zachována podpora dodavatele/výrobce platformy. V případě identifikovaných bezpečnostních chyb jsou aktualizace (patch, hot fix) aplikovány po otestování v nejkratším možném čase.

Vývoj, testování, nasazování do produkce

Plánování, vývoj a testování aktualizací / nových verzí systému Teamio probíhá v rámci agilního vývoje (Sprinty).

Vývojová, integrační (staging) a testovací prostředí jsou plně virtualizována a provozována na privátní cloudové platformě, prostředí jsou vzájemně logicky oddělena.

Produkční prostředí je plně odděleno (fyzicky i logicky/síťově) od neprodukčních prostředí.

Testování probíhá v rámci vývoje kontinuálně a víceúrovňově:

  • Před přijetím změny ve zdrojovém kódu probíhá vývojářské review (lokální Lint a princip kontroly čtyř očí).
  • V rámci řízení kvality kódu je během vývoje prováděna statická analýza kódu (pomocí code review nástrojů – SonarQube).
  • Aplikace je dále kontrolována (předprodukčně) pomocí dynamické analýzy (ZAProxy, Burp Suite).
  • Pravidelné (každoroční), nezávislé posouzení bezpečnosti aplikace (formou penetračního testování) je prováděno též třetí stranou.

Po otestování je aplikace do produkce uvolňována formálně definovaným procesem (Release management) pomocí definovaného, automatizovaného “deployment” procesu (s plným auditem a možností návratu k předchozí funkční verzi).

Přístupová oprávnění do různých prostředí jsou odlišná a je oddělen přístup do produkčních a neprodukčních prostředí (s formálně definovaným okruhem autorizovaných osob a systémů).

Audit

Auditní záznamy jsou pořizovány ze všech podstatných aktivit uživatelů aplikace. Logování je strukturováno (sestupně od aplikační úrovně po systémovou) následovně:

  • Logy aktivit
  • Business log
  • Auditní log
  • Aplikační log
  • Systémový log

Každý záznam obsahuje informaci o přesném čase provedení (timestamp) a uživateli.

Záznamy jsou uchovávány v logu po dobu specifikovanou zvlášť pro každý log.

Logy aktivit
Detailní informace o aktivitách uživatelů (např. důvody zamítnutí, „brand“, ze kterého byla doručena reakce apod.):

  • Log aktivit nad uchazečem

    Kdekoliv na výpisu uchazečů se lze prokliknout do Karty uchazeče/Detailu reakce. Zobrazena je zde i historie reakce, ta se týká konkrétního náboru, který si prohlížíte. Pokud si i v Detailu reakce chcete zobrazit celou historii uchazeče v Teamiu, rozklikněte odkaz Celá historie.

  • Log aktivit nad náborem (pouze v edici Teamio Smart)

    V seznamu aktivních pozic se kliknutím na název pozice nově dostanete do Detailu náboru – úplně nové stránky v Teamiu. Tady přehledně najdete ty nejdůležitější informace o celém náboru a log aktivit týkajících se inzerátů, konkrétně v části Historie inzerce.

  • Log aktivit nad uživateli a firmou

    Na vyžádání poskytneme log aktivit, které nenajdete ve vaší registraci Teamia. Jde o aktivity, které souvisí se správou uživatelů a firmy. Logy archivujeme 5 měsíců.

    • Předání práv hlavního uživatele
    • Změna stavu uživatele
    • Změna login name firmy

Business log
Informace o akcích uživatele i automaticky prováděných akcích systému (aktuálně je evidováno přes 700 různých typů akcí - operace s pozicemi, uchazeči, objednávky služeb, apod.).

Auditní log
Informace o bezpečnostně-relevantních operacích (autentizace apod.).

Systémový log
Obsahuje:

  • každý požadavek uživatele (HTTPS request),
  • přístupy do databáze,
  • informace k měření výkonnosti,
  • aplikační chyby.

Připravili jsme pro vás nápovědu s tipy a návody pro každou fázi náboru.

Přejít do nápovědy