Práce za rohem pro firmy - Technická specifikace a zabezpečení

Co je Práce za rohem pro firmy

Práce za rohem pro firmy – Business, je mobilní aplikace, která umožňuje firmám inzerovat volné pracovní pozice na mobilní aplikaci Práce za rohem / Práca za rohom a na webu www.pracezarohem.cz / www.pracazarohom.sk tak, aby mohli co nejlépe a nejjednodušeji využít služeb systému Práce za rohem – tedy získávat vhodné kandidáty na inzerované pracovní pozice a komunikovat s nimi v rámci náborového procesu.

Tento dokument popisuje mobilní aplikaci Práce za rohem pro firmy a nezabývá se stranou systému Práce za rohem používaného kandidáty hlásícími se na pozice inzerované firmami, kromě případů, kdy je to potřeba k vyjasnění funkce aplikace pro firmy.

Služby mohou firemní uživatelé vyzkoušet zdarma a po vyzkoušení aplikace vyžaduje platbu, kterou uživatel provádí buďto pomocí Apple nebo Google plateb připadně pomocí platební brány GoPay.

Mobilní aplikace Práce za rohem pro firmy funguje na mobilních zařízeních s operačními systémy iOS nebo Android. Aplikaci si může firemní uživatel nainstalovat AppStore resp. Google Play.

Poskytovatelem služby i autorem aplikace je společnost Alma Career.

Ochrana osobních údajů

Údaje, které shromažďujeme

Práce za rohem pro firmy zpracovává následující osobní údaje firemního uživatele:

• Jméno a příjmenní
• Telefonní číslo
• E-mailová adresa
• Název firmy a její identifikační číslo
• Aktuální GPS polohu mobilního zařízení (pokud ji uživatel použije pro zadání inzerátu)

O kandidátech na pracovní pozice uchováváme tyto osobní údaje:

• Jméno a příjmenní
• Telefonní číslo
• E-mailová adresa
• CV jako přiložené dokumenty
• Seznam pracovních pozic, na které kandidát odpověděl
• Komunikaci s firmou v rámci náborového procesu

Interní omezení přístupu v Alma Career

Rozeznáváme následující kategorie přístupu z pohledu zpracování uživatelských požadavků:

• Zákaznická podpora [40+] – přijímá požadavky od zákazníků a snaží se je zpracovat (v první linii)
• Podpora [20+] – technický podpůrný personál (druhá linie zpracovatelského řetězce)
• Obchodní oddělení [20+] – řeší funkční požadavky na produkty, kampaně atd. (třetí linie)
• Správa systémů [10+] – udržuje technické zdroje (servery, zálohy...)

Příslušná kategorie pracovníků Alma Career musí (nebo potenciálně může) mít přístup k části nebo kompletním uživatelským datům. Orientační počet zaměstnanců je úměrný velikosti podpory, která musí nevyhnutelně přistupovat k osobním údajům.

Souhlas s podmínkami služby

Při instalaci aplikace z tzv. „storu“ je uživatel informován o podmínkách použití služby. Při spuštění aplikace je uživatel informován o tom, že aplikace pracuje s jeho údaji a sdíli je se serverovou částí. Dále může uživatel vyjádřit dodatečný souhlas s využitím dat pro analytické a další účely (cookies).

Dále při nákupu služby musí uživatel aktivně vyjádřit souhlas s obchodními a také produktovými podmínkami služby.

Kromě tohoto poviného souhlasu může uživatel vyjádřit souhlas se zpracováním osobních údajů společnostem Alma Career pro konkrétní účely uvedené v aplikaci.

Výmaz osobních údajů uživatele

Výmaz osobních údajů může uživatel provést sám pomocí menu v mobilní aplikaci nebo může požádat o výmaz na příslušné e-mailové adrese – v tom případě vymazání provede oddělení podpory.

Vymaz údajú kandidátů, kteří odpověděli na volné pozice se děje automaticky (6 měsíců), tak aby firemní uživatel měl dostupné pouze údaje, ke kterým má oprávnění.

Doplníme, že data kandidátů se automaticky mažou po jednom roce od jejich poslední aktivity v aplikaci Práce za rohem.

Soulad s GDPR

Zpracování a ochrana uživatelských údajů je zajištěna v souladu s legislativou EU, zejména obecným nařízením pro ochranu osobních údajů (EU) 2016/679 („GDPR“).

Všechny zjištěné případy porušení ochrany osobních údajů jsou hlášeny zákazníkům, tj. správcům osobních údajů, kterým je plně poskytována součinnost pro případné ohlášení porušení příslušnému dozorovému orgánu nebo také subjektům údajů.

Výčet informací, který svým zákazníkům hlásíme, je přesně legislativně vymezen a vyplývá z GDPR. Alma Career zpracovává osobní údaje uchazečů, kteří reagují na pracovní nabídky. Správci údajů jsou však zaměstnavatelé, kteří zveřejňují nabídky pracovních míst.

Podpora uživatelů

Podporu uživatelů zajišťuje oddělení podpory. O podporu může firemní uživatel požádat pomocí formuláře zpětné vazby v mobilní aplikaci případně na supportním telefonním čísle.

Kompatibilita a minimální požadavky

iOS: 13.4
Android 5

Bezpečnost

Přenos dat - data in transit

Serverová část povoluje komunikaci ze strany aplikace pouze pomocí šifrovaného spojení HTTPS s podporou protokolů TLS 1.1, 1.2, 1.3.

Certifikát X509v3 SSL je podepsán důvěruhodnými certifikačními autoritami přijímanými předními a nejrozšířenějšími webovými prohlížeči. Klientský certifikát není podporován.

Oddělení jednotlivých klientských relací zajišťují unikátní přidělené session ID obsažené v každém požadavku předávaném z aplikace na server.

Uchování dat – data in rest

Aplikace při svém běhu na mobilním zařízení uživatele komunikuje se servery poskytovatele služby (společnosti Alma Career).

Servery běží jednak v soukromém cloudu (ve více datových centrech) a také v cloudové službě Amazon Web Services.

Data se ukládají v databázi PostgreSQL, která je v reálném čase zrcadlená mezi více datacentry. Záloha se provádí pravidelně každý den pomocí snímkování cloud platformy. Úplná záloha dat se provádí jednou za týden. Retence je nastavena na 14 dní. Zálohování transakčního protokolu je nepřetržité, aby bylo zajištěno obnovení dat do 8 hodin od havárie.

Ověřování přístupu - přihlášení

Ověření uživatele probíhá po zadání telefonního čísla, vložením jednorázového kódu, který server zašle uživateli pomocí SMS zprávy.

Po zadání správného kódu system nastaví uživatelskou session jako přihlášenou.

Jednorázový kód obsahuje 6 číslic a je platný pouze 5 minut. Po třetím pokusu o zadání nesprávného kódu systém kód zneplatní.

Uživatelské role

Aplikace Práce za rohem pro firmy nebosahuje uživatelské role. Každý firemní uživatel má v systému svůj účet jednoznačně provázaný s telefonním číslem. Firemní uživatel má veškerá data i operace nad svým účtem pod svou správou. Je-li v systému zaregistrováno více uživatelů z jedné firmy, nic mezi sebou v aplikaci přímo nesdílí.

Monitorování a dohled

Monitorování provozu probíhá nepřetržitě v režimu 24x7.

Stav je denně sledován automatickým (externím i interním) monitorovacím systémem a jakékoli problémy jsou hlášeny.

Logování

Pro logování důležitých událostí a chybových stavů se využívá systém Graylog provozovaný v soukromém cloudu a také externí systém Sentry. Tyto záznamy se ukládají max. po dobu 6 měsíců.

Pro auditní log operací jednotlivých uživatelů se využívá primární databáze.

Logování přístupů k soukromým údajům provádíme do specializovaného k tomu určeného úložiště s omezeným přístupem.

Vývojový cyklus

Vývojová, integrační a testovací prostředí jsou plně virualizována a běží na soukromé cloudové platformě případně v Amazon Web Services. Prostředí jsou logicky rozdělena (firewallem). Přístupová práva k různým prostředím se liší. Produkční prostředí je zcela odděleno od neprodukčních prostředí.

Plánování, vývoj a testování jakýchkoli aktualizací a nových verzí probíhá v rámci agilního vývoje (ve dvoutýdenních cyklech).

Všechny použité komponenty (včetně těch vyvinutých interně) jsou před nasazením do produkce testovány z hlediska stability, dostupnosti a bezpečnosti, aby byla vždy zajištěna podpora dodavatele/výrobce platformy.

V případě zjištěných bezpečnostních chyb jsou aktualizace (záplaty/opravné balíčky) aplikovány po testování v co nejkratší době.

Testování probíhá v kontinuálním a víceúrovňovém vývojovém režimu:

• Před přijetím jakékoli změny ve zdrojovém kódu probíhá kontrola vývojářů (statická analýza kód a code-review – princip „čtyř očí“).
• V rámci kontroly kvality kódu se provádí statická anaylýza kódu (pomocí nástrojů pro kontrolu kódu).
• Pravidelně se provádí nezávislé testování bezpečnosti (penetrační testování) pomocí specializovaných firem.
• Automatické testy se spouštějí na každé verzi mobilní aplikace i serverové části připravované pro vydání.
• Ruční testy se provádějí pro ověření funkčnosti a kvality na několika vybraných typech mobilních zařízení.

Release process

Nasazování změn serverové části do produkčního prostředí se děje obvykle několikrát týdně. Nasazovaný balíček vždy projde testováním (popsaným výše).

Vydávání nových verzí mobilní aplikace podléhá omezením na straně mobilní platformy (iOS review / Google review). Novou verzi aplikace vždy vydáváme postupně tak, aby případná chyba mohla být zachycena dříve než by ovlivnila větší část uživatelů.