HR-2D en Force.com: Beveiliging en Privacy HR-2D (HR-Today) is het on-demand geïntegreerde personeel- en salarissysteem. Kenmerken zijn de intuïtieve gebruikersomgeving die altijd en overal toegankelijk is. Maar ook de sterke mate van CAO ondersteuning waarbij toch een ongekende flexibiliteit beschikbaar is. Het toonaangevende Force.com platform waarop HR-2D beschikbaar is zorgt voor een hoge mate van betrouwbaarheid en beveiliging en sterke rapportagemogelijkheden. FORCE.COM HR-2D is ontwikkeld op het Force.com platform, het toonaangevende cloudplatform voor zakelijke applicaties met zo’n 80.000 klanten en 1,5 miljoen gebruikers. Force.com is het platform van Salesforce.com, die daarop ook haar marktleidende CRM en service management applicaties levert. Salesforce.com heeft een omzet van ca. $1,4 mrd. met ruim 20% jaarlijkse groei. Cloud computing wordt steeds populairder bij IT organisaties omdat er geen software of hardware hoeft te worden aangeschaft, geïnstalleerd, onderhouden of bijgewerkt. Voor gebruikers biedt het bovendien een betere beschikbaarheid, performance en beveiliging.
GEGEVENSBEVEILIGING: overzicht Beveiliging is een van de kerntaken van Salesforce.com Als leidinggevend bedrijf in cloud computing voor de zakelijke markt, heeft Salesforce.com vele jaren ervaring met het bouwen en draaien van datacenters die voldoen aan zelfs de meest strenge beveiligingseisen. De wereldwijde datacenters zijn gecertificeerd volgens de internationale standaarden ISO 27001, SAS 70 Type II en Systrust. Naast de reguliere testen en simulaties, heeft salesforce.com toonaangevende experts in IT-beveiliging in dienst. Wereldwijde bescherming Salesforce.com draait een aantal wereldwijde datacenters die geoptimaliseerd zijn voor beveiliging en prestaties. Wij bieden de hoogste kwaliteit aan professionele beveiligingsservices door oncontroleerbare gebeurtenissen te plannen en te laten gebeuren. Om de veiligheid van uw gegevens te waarborgen in zelfs de meest onwaarschijnlijke catastrofale scenario's, zorgen wij voor redundante capaciteit en worden gegevens meermalen gerepliceerd. Multitenancy: bescherming voor iedereen Het multitenantmodel zorgt voor innovatie voor iedere klant. Dit is het nieuwe "democratiserende effect” van IT dat er voor zorgt dat iedereen profiteert van de hoogste standaarden op het gebied van beveiliging. Dit betekent dat zelfs een klein bedrijf profiteert van een beveiligingsarchitectuur die voldoet aan de standaarden van een wereldwijde corporatie.
© EMERUS HR SOLUTIONS
1
Klanten Wereldwijd vertrouwen zo’n 80.000 klanten op oplossingen van salesforce.com en daarmee op een infrastructuur die in vele opzichten superieur is aan die van de eigen, interne datacenters. Veel van deze klanten zijn wereldwijde ondernemingen en bedrijven in sectoren zoals financiële dienstverlening waar veiligheid van het allerhoogste belang is. Onder de oudste Salesforce.com klanten bevinden zich vele IT-bedrijven waarvan de namen synoniem zijn aan netwerk- en internetbeveiliging, zoals Cisco en Symantec. GEGEVENSBEVEILIGING: uitwerking Veilige data centers Onze dienstverlening vindt plaats vanuit zeer beveiligde datacenter die aan vele veiligheidseisen voldoen, waaronder: Toegangscontrole en fysieke beveiliging 24-uurs bemande beveiliging Biometrische toegangsscanners Toegewezen, afgescheiden Data Center ruimtes Apparatuur in toegang-gecontroleerde stalen behuizing Video surveillance Gebouwen ontworpen voor locale geografische, storm of overstromingsrisico’s Volgen van verwijdering van apparatuur Omgevingsbeheersing Vocht- en temperatuurbeheersing Redundante (N+1) koelingsystemen Stroomvoorziening Ondergrondse stroomaanlevering Redundante (N+1) CPS/UPS systemen Redundante stroomdistributie, power distribution units (PDUs) Redundante (N+1) diesel generatoren met on-site diesel voorraad Netwerk Concrete kluizen voor netwerkaansluitingen Redundante interne netwerken Netwerk neutraal; verbonden met alle belangrijke internet-carriers en gelegen nabij belangrijke Internet hubs Hoge bandbreedte capaciteit Branddetectie en blussing VESDA (very early smoke detection apparatus) Dubbel gealarmeerde, dubbel interlock, multi-zone, pre-action droge pijp watergebaseerde brandblusapparatuur Beveiligde verbindingen Verbinding met de HR-2D omgeving gaat via SSL 3.0/TLS 1.0, inclusief certificaten van Verisign, waarmee we veilige verbindingen tussen browser en onze applicatie en data tot stand brengen Individuele gebruikers sessies worden geïdentificeerd and geverifieerd per transactie, dat gebruik maakt van beveiligde log-in informatie
© EMERUS HR SOLUTIONS
2
Netwerk beveiliging Firewalls en edge routers blokkeren ongebruikte protocollen Interne firewalls scheiden verkeer tussen de applicatie en database lagen Inbraak detectie sensoren verspreid over het interne network rapporteren gebeurtenissen aan een security event management system voor loggen, signaleringen en rapportage Een externe dienstverlener scant het network continu en signaleert wijzigingen in de basisconfiguratie Disaster Recovery De Salesforce service verzorgt real-time replicatie naar disk op elk data center, en near real-time replicatie tussen het productie data center and het disaster recovery center Gegevens worden verzoonder via versleutelde verbindingen Disaster recovery testen toetsen de voorziene hersteltijden en de integriteit van de klantgegevens Backups All gegevens worden op tape opgeslagen op elk data center, in een wisselend schema van incrementele en volledige backups De backups worden gecopieerd vie beveiligde lijnen naar een beveiligd tape archief Tapes worden niet buiten de locatie getransporteerd en veilig vernietigd na gebruik Interne en externe audits en assessments Salesforce.com voert regelmatig diverse audits en third-part assessments uit, teneinde zeker te stellen dat de applicatie en de data van haar klanten veilig is en blijft Ook worden regelmatig beoordelingen uitgevoerd door derden: Applicatie-kwetsbaarheid beoordeling Netwerk-kwetsbaarheid beoordeling Testen van geselecteerde penetratie en review van code Testen en beoordelen van het bevailigingsprotocol Begeiliging Bewaking De Information Security afdeling volgt meldingen van verschillende bronnen en signaleringen vanuit interne systemen om risico’s te kunnen identificeren en opvolgen. PRIVACY Gegevensbescherming De beveiligingsmaatregelen van Salesforce.com's IT voldoen aan de meest strikte internationale richtlijnen voor datacenters. Onze compliantie en onze gegevensbescherming zijn beoordeeld en goedgekeurd door TÜV Saarland, een wereldwijd toonaangevend en onafhankelijk bureau voor testen en evalueren. Waar de gegevens zich bevinden Dankzij de datahosting-redundanties, replicaties over geografische grenzen heen en een duidelijk gedefinieerde rampherstelstrategie, doen wij al het mogelijke om er voor te zorgen dat uw gegevens bij ons veilig zijn. Bedrijfsmodel Salesforce.com doet uitsluitend zaken met zakelijke klanten en heeft een transparant kostenmodel waarin klanten ons een maandelijks bedrag betalen voor onze services.
© EMERUS HR SOLUTIONS
3
Bovendien zijn er geen verborgen verdienmodellen zoals inkomsten uit advertenties of datamarketing. U bent en blijft de enige eigenaar van al uw gegevens! Medewerkers van Salesforce.com hebben geen toegang tot de gegevens van onze klanten. Een geavanceerd beveiligingssysteem zorgt voor een strikte scheiding tussen de gegevens van verschillende bedrijven. En mocht u uw gegevens uit salesforce.com willen exporteren, dan kunt u dat in de door u gewenste indeling doen. Wetgeving De afgelopen jaren zijn wereldwijd diverse wetten en kaders ingevoerd waarmee de verwerking van persoonlijke gegevens wordt geregeld. Voor de Europese Unie betreft dit: Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met het vrije verkeer van die gegevens (EU-richtlijn betreffende gegevensbescherming Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (EU-richtlijn betreffende privacy en elektronische communicatie) Hoewel de vereisten van deze wetten en kaders sterk uiteenlopen, delen ze enkele algemene thema's, zoals kennisgeving, keuze, toegang en beveiliging:
Kennisgeving: welke informatie moet aan personen worden verstrekt over de manier waarop hun gegevens kunnen worden gebruikt en met wie deze kunnen worden gedeeld? Wanneer moet deze kennisgeving worden verstrekt aan personen? Op welke manier moet deze kennisgeving worden verstrekt? Keuze: welke keuzen worden personen geboden met betrekking tot welke gegevens over hen worden verzameld en hoe deze gegevens worden gebruikt? Toegang: hebben personen toegang tot de gegevens die over hen worden onderhouden? Kunnen personen hun gegevens laten wijzigen of verwijderen? Beveiliging: zijn organisaties die persoonlijke gegevens verwerken, verplicht om deze gegevens te beschermen met administratieve, technische en fysieke maatregelen?
Alleen klanten van salesforce.com bepalen welke gegevens als klantgegevens worden verzonden naar de service van salesforce.com. Met betrekking tot deze gegevens fungeert salesforce.com als gegevensverwerker. In onze rol als verwerker van klantgegevens houdt salesforce.com zich aan de volgende algemene privacyprincipes, die hierboven op de volgende manieren zijn beschreven: Kennisgeving, keuze en toegang: salesforce.com heeft in het algemeen geen directe relatie met personen van wie persoonlijke gegevens als klantgegevens worden verzonden naar de service van salesforce.com. Salesforce.com verzamelt geen persoonlijke gegevens namens onze klanten en salesforce.com bepaalt niet hoe onze klanten deze gegevens mogen gebruiken. Bovendien heeft salesforce.com volgens contracten met klanten in het algemeen slechts in beperkte gevallen toegang tot klantgegevens. De naleving van onze principes op het gebied van kennisgeving, keuze en toegang is gebaseerd op de samenwerking tussen salesforce.com en onze klanten. In onze contracten met klanten staat bijvoorbeeld dat klanten verantwoordelijk zijn voor de nauwkeurigheid, kwaliteit, integriteit, betrouwbaarheid en geschiktheid van gegevens die bij salesforce.com zijn ingediend en dat klanten zich moeten houden aan toepasselijke wetgeving wanneer ze de service van salesforce.com gebruiken.
© EMERUS HR SOLUTIONS
4
Veiligheid: salesforce.com neemt passende administratieve, fysieke en technische maatregelen ter bescherming van de beveiliging, vertrouwelijkheid en integriteit van gegevens die onze klanten als klantgegevens indienen bij salesforce.com. Klanten van salesforce.com dienen zelf te zorgen voor de beveiliging van hun klantgegevens wanneer ze de service gebruiken. Salesforce.com erkent dat veel van onze klanten onder ten minste enkele privacywetten vallen waarmee de verwerking van persoonlijke gegevens wordt gereguleerd. We proberen onze klanten te steunen bij de naleving van dergelijke wetgeving door een uitgebreid privacyen beveiligingsprogramma te bieden, met inbegrip van certificeringen, beleidslijnen, procedures, personen en technologie n. Certificeringen Salesforce.com beschikt over uitgebreide en diepgaande certificeringen voor privacy en beveiliging, waaronder audits die door meerdere derde partijen worden uitgevoerd. Enkele relevante certificeringen zijn: Geografische erkenning EU Safe Harbor: zelfcertificering via het U.S. Department of Commerce, waarmee aangesloten wordt bij de European Data Protection Authorities (http://www.export.gov/safehrbr/companyinfo.aspx?id=9994) . TRUSTe EU Safe Harbor Seal en TRUSTe Certified Privacy Seal: salesforce.com, inc. is licentiehouder van het TRUSTe® Privacy Program en houdt zich aan het EU Safe Harbor Framework zoals beschreven door het U.S. Department of Commerce en de Europese Unie. (http://www.truste.org/ivalidate.php?companyName=Salesforce.com,%20Inc.&sealid=102) . Wereldwijde auditnaleving ISO 27001 SAS 70 type II SysTrust
BESCHIKBAARHEID In de afgelopen 18 maanden haalden de services een gemiddelde beschikbaarheid van meer dan 99,9% en een gemiddelde responstijd van minder dan 300 ms. Deze cijfers plaatsen de prestaties van salesforce.com boven die van de meeste eigen interne datacenters.
© EMERUS HR SOLUTIONS
5
