Práca za rohom pre firmy – Technická špecifikácia a zabezpečenie

Čo je Práca za rohom pre firmy

Práca za rohom pre firmy – Business je mobilná aplikácia, ktorá umožňuje firmám inzerovať voľné pracovné pozície v mobilnej aplikácii Práce za rohem/Práca za rohom a na webe www.pracezarohem.cz / www.pracazarohom.sk tak, aby mohli čo najlepšie a najjednoduchšie využiť služby systému Práca za rohom – teda získavať vhodných kandidátov na inzerované pracovné pozície a komunikovať s nimi v rámci náborového procesu.

Tento dokument opisuje mobilnú aplikáciu Práca za rohom pre firmy a nezaoberá sa stranou systému Práca za rohom používaného kandidátmi hlásiacimi sa na pozície inzerované firmami okrem prípadov, keď je to potrebné na objasnenie funkcie aplikácie pre firmy.

Služby môžu firemní používatelia vyskúšať zadarmo a po vyskúšaní aplikácia vyžaduje platbu, ktorú používateľ vykonáva buď pomocou Apple, alebo Google platieb, prípadne pomocou platobnej brány GoPay.

Mobilná aplikácia Práca za rohom pre firmy funguje v mobilných zariadeniach s operačnými systémami iOS alebo Android. Aplikáciu si môže firemný používateľ nainštalovať z AppStore, respektíve Google Play.

Poskytovateľom služby aj autorom aplikácie je spoločnosť Alma Career.

Ochrana osobných údajov

Údaje, ktoré zhromažďujeme

Práca za rohom pre firmy spracúva nasledujúce osobné údaje firemného používateľa:

• Meno a priezvisko
• Telefónne číslo
• E-mailová adresa
• Názov firmy a jej identifikačné číslo
• Aktuálnu GPS polohu mobilného zariadenia (ak ju používateľ použije na uverejnenie inzerátu)

O kandidátoch na pracovné pozície uchovávame tieto osobné údaje:

• Meno a priezvisko
• Telefónne číslo
• E-mailovú adresu
• CV ako priložené dokumenty
• Zoznam pracovných pozícií, na ktoré kandidát odpovedal
• Komunikáciu s firmou v rámci náborového procesu

Interné obmedzenie prístupu v Alma Career

Rozpoznávame nasledujúce kategórie prístupu z pohľadu spracovania používateľských požiadaviek:

• Zákaznícka podpora (40+) – prijíma požiadavky od zákazníkov a snaží sa ich spracovať (v prvej línii)
• Podpora (20+) – technický podporný personál (druhá línia spracovateľského reťazca)
• Obchodné oddelenie (20+) – rieši funkčné požiadavky na produkty, kampane atď. (tretia línia)
• Správa systémov (10+) – udržiava technické zdroje (servery, zálohy...)

Príslušná kategória pracovníkov Alma Career musí (alebo potenciálne môže) mať prístup k časti alebo kompletným používateľským dátam. Orientačný počet zamestnancov je úmerný veľkosti podpory, ktorá musí nevyhnutne pristupovať k osobným údajom.

Súhlas s podmienkami služby

Pri inštalácii aplikácie z tzv. „storu“ je používateľ informovaný o podmienkach použitia služby. Pri spustení aplikácie je používateľ informovaný o tom, že aplikácia pracuje s jeho údajmi a zdieľa ich so serverovou časťou. Ďalej môže používateľ vyjadriť dodatočný súhlas s využitím dát na analytické a ďalšie účely (cookies).

Ďalej pri nákupe služby musí používateľ aktívne vyjadriť súhlas s obchodnými a tiež produktovými podmienkami služby.

Okrem tohto povinného súhlasu môže používateľ vyjadriť súhlas so spracúvaním osobných údajov spoločnostiam Alma Career na konkrétne účely uvedené v aplikácii.

Vymazanie osobných údajov používateľa

Vymazanie osobných údajov môže používateľ vykonať sám pomocou menu v mobilnej aplikácii alebo môže požiadať o vymazanie na príslušnej e-mailovej adrese – v tom prípade vymazanie vykoná oddelenie podpory.

Vymazanie údajov kandidátov, ktorí odpovedali na voľné pozície, sa deje automaticky (6 mesiacov), tak aby firemný používateľ mal dostupné iba údaje, na ktoré má oprávnenie.

Doplníme, že dáta kandidátov sa automaticky mažú po jednom roku od ich poslednej aktivity v aplikácii Práca za rohom.

Súlad s GDPR

Spracúvanie a ochrana používateľských údajov je zabezpečená v súlade s legislatívou EÚ, najmä so všeobecným nariadením o ochrane údajov (EÚ) 2016/679 („GDPR“).

Všetky zistené prípady porušenia ochrany osobných údajov sú hlásené zákazníkom, t. j. prevádzkovateľom osobných údajov, ktorým je plne poskytovaná súčinnosť pre prípadné ohlásenie porušenia príslušnému dozornému orgánu alebo tiež dotknutým osobám.

Informácie, ktoré svojim zákazníkom hlásime, sú presne legislatívne vymedzené a vyplývajú z GDPR. Alma Career spracúva osobné údaje uchádzačov, ktorí reagujú na pracovné ponuky. Prevádzkovatelia údajov sú však zamestnávatelia, ktorí zverejňujú ponuky pracovných miest.

Podpora používateľov

Podporu používateľov zabezpečuje oddelenie Zákaznickej podpory. O podporu môže firemný používateľ požiadať pomocou formulára spätnej väzby v mobilnej aplikácii, prípadne na telefónnom čísle podpory.

Kompatibilita a minimálne požiadavky

iOS: 13.4
Android 5

Bezpečnosť

Prenos dát – data in transit

Serverová časť povoľuje komunikáciu zo strany aplikácie iba pomocou šifrovaného spojenia HTTPS s podporou protokolov TLS 1.1, 1.2, 1.3.

Certifikát X509v3 SSL je podpísaný dôveryhodnými certifikačnými autoritami prijímanými poprednými a najrozšírenejšími webovými prehliadačmi. Klientsky certifikát nie je podporovaný.

Oddelenie jednotlivých klientskych relácií zabezpečujú unikátne pridelené session ID obsiahnuté v každej požiadavke odovzdávanej z aplikácie na server.

Uchovanie dát – data in rest

Aplikácia pri svojom fungovaní v mobilnom zariadení používateľa komunikuje so servermi poskytovateľa služby (spoločnosti Alma Career).

Servery bežia jednak na súkromnom cloude (vo viacerých dátových centrách) a tiež v cloudovej službe Amazon Web Services.

Dáta sa ukladajú v databáze PostgreSQL, ktorá je v reálnom čase zrkadlená medzi viacerými dátovými centrami. Záloha sa vykonáva pravidelne každý deň pomocou snímkovania cloud platformy. Úplná záloha dát sa vykonáva raz za týždeň. Retencia je nastavená na 14 dní. Zálohovanie transakčného protokolu je nepretržité, aby bolo zaistené obnovenie dát do 8 hodín od havárie.

Overovanie prístupu – prihlásenie

Overenie používateľa prebieha po zadaní telefónneho čísla, vložením jednorazového kódu, ktorý server zašle používateľovi pomocou SMS správy.

Po zadaní správneho kódu systém nastaví používateľskú session ako prihlásenú.

Jednorazový kód obsahuje 6 číslic a je platný iba 5 minút. Po treťom pokuse pri zadaní nesprávneho kódu systém kód znefunkční.

Používateľské roly

Aplikácia Práca za rohom pre firmy neobsahuje používateľské roly. Každý firemný používateľ má v systéme svoj účet jednoznačne prepojený s telefónnym číslom. Firemný používateľ má všetky dáta aj operácie so svojím účtom pod svojou správou. Ak je v systéme zaregistrovaných viac používateľov z jednej firmy, nič medzi sebou v aplikácii priamo nezdieľajú.

Monitorovanie a dohľad

Monitorovanie prevádzky prebieha nepretržite v režime 24/7.

Stav je denne sledovaný automatickým (externým aj interným) monitorovacím systémom a akékoľvek problémy sú hlásené.

Logovanie

Na logovanie dôležitých udalostí a chybových stavov sa využíva systém Graylog prevádzkovaný v súkromnom cloude a tiež externý systém Sentry. Tieto záznamy sa ukladajú max. na 6 mesiacov.

Pre auditný log operácií jednotlivých používateľov sa využíva primárna databáza.

Logovanie prístupov k súkromným údajom vykonávame do špecializovaného na to určeného úložiska s obmedzeným prístupom.

Vývojový cyklus

Vývojové, integračné a testovacie prostredia sú plne virtualizované a bežia na súkromnej cloudovej platforme prípadne v Amazon Web Services. Prostredia sú logicky rozdelené (firewallom). Prístupové práva k rôznym prostrediam sa líšia. Produkčné prostredie je úplne oddelené od neprodukčných prostredí.

Plánovanie, vývoj a testovanie akýchkoľvek aktualizácií a nových verzií prebieha v rámci agilného vývoja (v dvojtýždňových cykloch).

Všetky použité komponenty (vrátane tých vyvinutých interne) sú pred nasadením do produkcie testované z hľadiska stability, dostupnosti a bezpečnosti, aby bola vždy zaistená podpora dodávateľa/výrobcu platformy.

V prípade zistených bezpečnostných chýb sú aktualizácie (záplaty/opravné balíčky) aplikované po testovaní v čo najkratšom čase.

Testovanie prebieha v kontinuálnom a viacúrovňovom vývojovom režime:

• Pred prijatím akejkoľvek zmeny v zdrojovom kóde prebieha kontrola vývojárov (statická analýza kódu a code-review – princíp „štyroch očí“).
• V rámci kontroly kvality kódu sa vykonáva statická analýza kódu (pomocou nástrojov na kontrolu kódu).
• Pravidelne sa vykonáva nezávislé testovanie bezpečnosti (penetračné testovanie) pomocou špecializovaných firiem.
• Automatické testy sa spúšťajú v každej verzii mobilnej aplikácie aj serverovej časti pripravovanej na vydanie.
• Ručné testy sa vykonávajú na overenie funkčnosti a kvality na niekoľkých vybraných typoch mobilných zariadení.

Release process

Nasadzovanie zmien serverovej časti do produkčného prostredia sa deje obvykle niekoľkokrát týždenne. Nasadzovaný balíček vždy prejde testovaním (opísaným vyššie).

Vydávanie nových verzií mobilnej aplikácie podlieha obmedzeniam na strane mobilnej platformy (iOS review/Google review). Novú verziu aplikácie vždy vydávame postupne tak, aby prípadná chyba mohla byť zachytená skôr, než by ovplyvnila väčšiu časť používateľov.