Главное Свежее Вакансии Образование
😼
Выбор
редакции
471 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Как компании организовать безопасный КЭДО

Выбрать безопасную систему кадрового электронного документооборота не так уж сложно — если знать, на что обращать внимание. Рассказываем, как сберечь персональные данные сотрудников при внедрении КЭДО.

Кто отвечает за безопасность данных


Оформление любых кадровых документов неизменно сопряжено с обработкой персональных данных сотрудников компании. Под обработкой документа имеют в виду целый комплекс действий:

  • сбор
  • запись
  • хранение
  • систематизация
  • обновление
  • передача
  • использование
  • удаление

Работодатель в этом случае выступает в роли оператора персональных данных и несет ответственность за их сохранность. Если произойдет утечка чувствительных данных, компании грозит судебное разбирательство и штраф.

Работу оператора регулируют два нормативно-правовых акта:

  1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
  2. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Чтобы избежать проблем с персональными данными, работодателю важно подойти к организации кадрового электронного документооборота комплексно.

Что обеспечивает безопасность КЭДО


Хранение данных


Существует два варианта размещения данных — локальное (на собственных серверах) и облачное (на удаленном сервере). У каждого варианта есть свои плюсы и минусы.

Локальное размещение (on-premise)


Локальный сервер обеспечивает высокий уровень контроля и защиты данных. Система КЭДО в этом случае развертывается во внутреннем контуре компании, что помогает снизить риск незаконного доступа к данным сотрудников. Кроме этого, в будущем можно будет доработать решение, чтобы оно закрывало больше задач.

При размещении данных on-premise, достаточно один раз получить письменное согласие сотрудников на обработку данных — потому что их видит только работодатель.

Минусы у локального размещения тоже есть:

— если собственного сервера нет, компании придется сначала на него потратиться;

— удаленным сотрудникам работать с локальной системой КЭДО чуть сложнее, чем с облачным решением.


Коробочная версия LDM.КЭДО разворачивается на серверах заказчика или в арендованном защищенном облачном хранилище. За счет технологии low-code решение можно доработать под нужды конкретного бизнеса.

Размещение в облаке


Облачные сервисы обеспечивают доступ к данным из любой точки мира. Это удобно для компаний с филиалами или удаленными сотрудниками. Однако такой подход несет риск утечки данных или несанкционированного доступа, а также требует дополнительной организации архива кадровых документов.

Важно! Согласий на обработку персональных данных уже нужно два — одно для работодателя-оператора, а другое — для облачного провайдера.

На что обратить внимание при выборе облачного КЭДО:

  • методы шифрования данных;
  • способы аутентификации (есть ли двухфакторная авторизация);
  • резервное копирование данных и логирование процессов;
  • местоположение и безопасность дата-центров (по закону сервера должны находиться только в России);
  • проводился ли независимый аудит безопасности системы КЭДО;

У разных пользователей системы КЭДО должны быть разные права доступа к информации. Как правило, права зависят от роли в системе:

— Сотрудник — видит свои документы и персональные данные, может создавать некоторые виды кадровых электронных документов и отправлять их на согласование;

— Руководитель — к стандартным правам сотрудника здесь уже добавляется возможность согласовывать некоторые документы подчиненных;

— Кадровик — может создавать любые документы и работать с ними, обычно видит персональные данные всех сотрудников;

— Администратор — управляет правами всех остальных пользователей системы КЭДО, может отслеживать действия сотрудников, кадровиков и руководителей.

Кроме настройки прав доступа, безопасная система КЭДО должна логировать процессы — отслеживать каждый шаг пользователей и уведомлять администратора о попытках доступа к чувствительным данным.

Электронные подписи


В соответствии с законодательством, подписывать электронные документы можно тремя видами электронных подписей.

Простая электронная подпись (ПЭП)


Имеет юридическую силу?

Только в случае, когда одновременно:

— между работодателем и сотрудником заключено соглашение о взаимном признании ЭП,

— порядок работы с ЭП закреплен в ЛНА.

Что можно подписать?

Ограниченный круг документов, типа объяснительной записки. Для стандартных кадровых документов обычно не используется из-за своей ненадежности. Нельзя подписывать документы, связанные с Гостайной.

Неквалифицированная электронная подпись (НЭП)


Имеет юридическую силу?

Только в случае, когда одновременно:

— между работодателем и сотрудником заключено соглашение о взаимном признании ЭП,

— порядок работы с ЭП закреплен в ЛНА.

Что можно подписать?

Ограниченный круг документов, типа объяснительной записки. Для стандартных кадровых документов обычно не используется из-за своей ненадежности. Нельзя подписывать документы, связанные с Гостайной.

Сотрудники могут подписывать НЭП любые кадровые документы. Представитель работодателя не может подписывать НЭП:

— трудовой и ученический договоры;

— договор на получение образования;

— договор о материальной ответственности;

— приказ о дисциплинарном взыскании.

Квалифицированная электронная подпись (КЭП)


Имеет юридическую силу?

Да, без дополнительных согласований.

Что можно подписать?

И сотрудник, и работодатель могут подписывать КЭП любые электронные документы.


LDM.КЭДО позволяет подписывать кадровые документы всеми видами электронных подписей, кроме этого, НЭП можно выпустить прямо в системе.

Система кадрового электронного документооборота должна уметь работать с любыми подписями, при этом постоянно проверяя срок их действия. Удобно, если в сервис сразу встроен выпуск НЭП и сотрудник может выпустить подпись за несколько минут.

Регулярный аудит


Чтобы снизить риск утечки данных, компании стоит позаботиться о регулярном аудите работы в системе КЭДО. Обычно этим занимаются специалисты по информационной безопасности.

Вот что стоит периодически проверять:

— надежность паролей пользователей;

— актуальность списка пользователей с расширенными правами;

— настройки уведомлений администраторов о сомнительных действиях в системе.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.