Seguridad y protección

En Personio, contamos con diversos mecanismos de control implementados en todos y cada uno de nuestros productos. Es lo que, de forma conjunta, denominamos "Ciclo de vida del desarrollo de software seguro" (SSDLC). Nuestro SSDLC nos ayuda a descubrir vulnerabilidades de seguridad de manera proactiva y retroactiva, y por supuesto, a resolverlas.

• Ciclo de vida del desarrollo de software seguro (SSDLC)

• Pruebas de seguridad recurrentes

• Diseño seguro

• Programa de "bug bounty" (recompensa por detección de errores)

El SSDLC de Personio sigue las prácticas recomendadas del sector de la seguridad para la implementación de controles sobre los servicios, los componentes de software, el código y las bibliotecas que se utilizan en Personio.

Entre los controles del SSDLC, se incluyen los siguiente:

• Revisión de los cambios en producción por parte de dos o tres personas (4- to 6- eyes review)

• Análisis de composición de software (SCA)

• Pruebas de seguridad de aplicaciones estáticas (SAST)

• Evaluaciones formales por parte de ingenieros de seguridad

Además de nuestros controles internos para detectar vulnerabilidades, colaboramos de manera habitual con proveedores externos de servicios de seguridad que realizan pruebas de penetración y examinan nuestros sistemas y aplicaciones en busca de errores y puntos débiles.

Dado que la detección de ataques y la seguridad de nuestros sistemas y de nuestra aplicación es de suma importancia para nosotros, confiamos en el reconocido proveedor de servicios de seguridad informática Cobalt para llevar a cabo pruebas de penetración y evaluaciones de seguridad externas de nuestros productos.

Todas las cuentas de clientes de Personio se crean siguiendo las prácticas recomendadas del sector. No existen cuentas de usuario predeterminadas ni pasos de configuración para considerar la instancia “segura” desde el primer momento.

No obstante, proporcionamos a los administradores de Personio los controles necesarios para armonizar los ajustes de Personio con las políticas de seguridad y las necesidades relativas al cumplimiento de su organización.

Tanto si tienes que configurar la autenticación de inicio de sesión único (SSO) para integrarlo con tu proveedor de identidad, habilitar la autenticación de 2 factores (2FA/MFA), configurar una Política de contraseñas o establecer controles y permisos de acceso basados en roles (RBAC) para tus empleados, puedes contar con nosotros.

En Personio nos tomamos muy en serio la seguridad de la plataforma y los datos de nuestros clientes. Por ello, queremos recompensar a quienes nos ayudan a mejorar nuestro nivel general de seguridad identificando vulnerabilidades en nuestros productos.

Nuestro equipo de seguridad sabe que un buen programa de "bug bounty" ayuda a  generar confianza en nuestra plataforma y mantenerla con los mejores estándares. Por eso nos hemos aliado con Intigriti con el fin de contar con un programa de "bug bounty".

Para participar, consulta la página de nuestro programa de "bug bounty".

En ella, puedes consultar las condiciones y el ámbito de nuestras recompensas, además de compartir de forma segura con nuestro equipo lo que descubras.

En esencia, Personio procesa y gestiona información sensible. Esta información incluye datos salariales de los empleados, informes de ausencias, documentos personales y solicitudes internas, entre otros. Personio ha creado su producto otorgando prioridad a la seguridad de los datos mediante el uso de diversos programas con los que ha desarrollado una serie de firmes controles de seguridad.

Los controles se han diseñado e implementado en Personio siguiendo las prácticas recomendadas del sector y los estándares internacionales. Personio cuenta con la certificación ISO 27001, y el cumplimiento lo ratifica anualmente una empresa de auditoría externa. Personio también colabora estrechamente con importantes responsables y comités del sector de la protección de datos y la seguridad informática, y es miembro de la Sociedad para la protección y la seguridad de los datos de Alemania, la Alianza para la ciberseguridad de Alemania y Bitkom eV.

• RGPD

• Sub responsables del tratamiento de datos

• Compromisos contractuales

• ISO 27001

Personio cumple los requisitos fundamentales del RGPD de la UE, garantizando que la protección de datos esté incorporada desde el diseño y siempre forme parte de toda la aplicación, infraestructura y organización de Personio.

Personio cuenta con los servicios de Bitkom Servicegesellschaft mbH como nuestros Oficiales de Protección de Datos. Bitkom, una de las principales consultoras alemanas sobre economía digital, audita de forma periódica el cumplimiento de los requisitos de privacidad de los datos por parte de Personio.

• Haga clic aquí para consultar la carta de referencia (DE 🇩🇪) del nombramiento de Bitkom como responsable de la protección de los datos.

• Haga clic aquí para consultar el informe de auditoría de Bitkom (DE 🇩🇪) sobre la Política de privacidad de Personio.

Personio garantiza a sus clientes el respeto de sus derechos como titulares de los datos, como, por ejemplo, el derecho a solicitar la eliminación de datos personales o los derechos de acceso a los datos y su portabilidad. Los clientes de Personio pueden eliminar los datos de los candidatos de forma automática o bajo petición, y también pueden exportar los datos del personal, bloquear el acceso a ellos o eliminarlos de manera segura.

Con el método de autoservicio de Personio, los empleados tienen acceso directo a su expediente personal digital en todo momento. Además, pueden hacer una copia de seguridad de sus datos o exportarlos desde la lista de personal y también pueden descargar todos los documentos que hayan añadido personalmente.

No obstante, nos aseguramos de que la aplicación, la infraestructura subyacente y la estructura de la organización estén perfectamente dotadas para cumplir los requisitos del RGPD de la UE.

Tu cuenta de Personio te ofrece una lista de todos los subprocesadores del tratamiento de datos personales. En la lista constan los subprocesadores, las categorías de los datos tratados y la ubicación en la que se procesan. Cada cuenta de Personio puede tener una lista diferente, dependiendo de las integraciones que estén activadas. Ve a nuestro centro de ayuda para obtener más información sobre el acceso a la lista de sub responsables del tratamiento de datos.

También puede consultar la Política de privacidad general de Personio, donde encontrará una lista de los responsables del tratamiento de datos con los que trabaja Personio:

• Política de privacidad | Personio (ES 🇪🇸)

• Datenschutzerklärung | Personio (DE 🇩🇪)

Personio ha publicado un conjunto de MTO (medidas técnicas y organizativas) en las que se establecen los compromisos vinculantes contraídos con nuestros clientes en relación con la seguridad de tus datos. Vaya a nuestro centro de ayuda para obtener más información sobre la descarga de nuestras MTO.

Personio cuenta con un Acuerdo de procesamiento de datos (APD) referido a los datos de los clientes que establece las categorías de los datos tratados, su conservación y su eliminación. Ve a nuestro centro de ayuda para obtener más información sobre la descarga de su acuerdo de procesamiento de datos.

Personio cuenta con la certificación ISO/IEC 27001:2013 y realiza auditorías de cumplimiento independientes cada año.

El sistema de gestión de la seguridad de la información (SGSI) de Personio comprende actividades comerciales relacionadas con la provisión, la explotación, el mantenimiento y la gestión de la plataforma de RR. HH. de software como servicio (SaaS) de Personio y establece los requisitos para el personal de Personio (empleados, contratistas, trabajadores por cuenta propia), proveedores y sistemas externos que creen, mantengan, almacenan, consulten, traten o transmitan información en:

• El Departamento de Producto y Desarrollo (PTech) de Personio.

• Limitado a las principales ubicaciones de desarrollo de producto de Múnich (sede), Madrid y Dublín.

Haz clic aquí para consultar nuestro certificado.

Personio cuenta con un conjunto de políticas de seguridad de los datos y privacidad que nos impulsan en cada paso que damos pensando siempre en nuestros clientes primero. Estas políticas son nuestra razón de ser. Nuestros clientes pueden tener la tranquilidad de que, con Personio, sus datos más sensibles están a buen recaudo.

Estas políticas se dan a conocer a todos los miembros del personal que se incorpora a Personio. La comunicación abierta y clara forma parte del código de Personio, que marca nuestro carácter como empresa y nuestro modo de trabajar. También nos preocupamos de actualizar nuestras políticas y compartimos los cambios con todo el personal de Personio. Nos esforzamos de forma incansable para permitir que las nuevas formas de trabajar, como PersonioFlex, cumplan los estándares y las prácticas recomendadas del sector, y para combatir las amenazas en constante evolución que siempre acechan.

El equipo de seguridad elabora todas estas políticas y las partes interesadas del Departamento de TI, el Departamento Legal y el Departamento de Ingeniería las evalúan para garantizar su cumplimiento por parte de la empresa. En conjunto, estas políticas sirven para que Personio cumpla los estándares más exigentes, como el RGPD (Reglamento General de Protección de Datos) de la UE.

Como cualquier aplicación moderna SaaS, Personio opera en la nube. Sabemos que Personio también alberga los datos más sensibles de su negocio. Por tanto, el equipo desarrolla y ejecuta unos estándares de seguridad en la nube, e implementa una serie de controles sobre nuestra infraestructura para garantizar que esos estándares se cumplan en todo momento y sus datos estén protegidos.

• Seguridad del perímetro

• Cifrado de datos

• Aislamiento de instancias

• Recuperación ante desastres

El equipo de seguridad de Personio implementa una variedad de métodos y tecnologías de detección de intrusos para salvaguardar nuestra infraestructura, incluyendo los datos de nuestros clientes. Nuestras capacidades de detección y prevención de intrusos se basan en una combinación de cortafuegos para aplicaciones web, plataformas de detección de amenazas en la nube, agentes de protección endpoint y herramientas de supervisión personalizadas y desplegadas en toda la infraestructura y la flota de servidores. El equipo de ingeniería de seguridad maneja y controla estas herramientas. Emplea análisis automatizados y manuales de los datos de los eventos para ofrecer una supervisión exhaustiva de toda la infraestructura de Personio.

Todos los datos que se transfieren a través de redes no seguras se cifran durante la transferencia mediante TLS (seguridad de la capa de transporte) con series de cifrado sólido. También utilizamos métodos como HTTP con seguridad de transporte estricta (HSTS) para reforzar la integridad de los canales cifrados. Puedes utilizar de forma gratuita herramientas como Qualys SSL Labs y Security Headers para verificar los cifrados TLS y los algoritmos de los sitios y servicios de Personio.

Todos los datos de los clientes de Personio se cifran en reposo con la codificación de AWS KMS para el almacenamiento en S3, las bases de datos de producción y las copias de seguridad de las bases de datos. El algoritmo de cifrado utilizado es AES 256. Todas las contraseñas se cifran específicamente mediante algoritmos y métodos de codificación como el "salting", que refuerzan la protección contra ataques sin conexión.

Personio garantiza el tratamiento y el almacenamiento de datos de cada cliente de manera aislada a través de una separación lógica de nuestros clientes basada en una arquitectura de múltiples instancias. La asignación y la identificación de los datos se realiza mediante la asignación de un identificador único para cada cliente (p. ej., el número de cliente o el "identificador de la empresa").

Personio cuenta con planes de recuperación ante desastres (DRP) para garantizar la disponibilidad de sus datos, incluso en el caso de averías graves. Consulte nuestras medidas técnicas y organizativas (MTO) para obtener más información sobre el DRP.

Puede obtener más información sobre cómo se han implementado nuestros sistemas para proteger sus datos en nuestro folleto de seguridad de los datos de AWS:

• IT Infrastructure and use of AWS at Personio (EN 🇬🇧)

• IT-Infrastruktur und Einsatz von AWS bei Personio (DE 🇩🇪)

• Preguntas sobre la seguridad del producto

• Incidentes de seguridad

• Vulnerabilidades de seguridad

Si ya eres cliente de Personio, o si solo quieres probar Personio, estamos a tu disposición para responder a todas tus preguntas y dudas relacionadas con la seguridad. El equipo de seguridad de Personio está preparado para dar respuesta a todas las preguntas sobre nuestros productos que quieran hacer los equipos de TI, seguridad o privacidad.

Para solicitar más información o ayuda para cumplimentar un cuestionario de seguridad, los clientes de Personio pueden presentar una solicitud en la sección Resuelve tus dudas, incluyendo detalles de cómo podemos ayudar.

Si ya estás en contacto con un miembro del Departamento de Ventas para convertirte en cliente de Personio, consulta con él directamente. Será un placer ayudarte.

Si todavía no has hablado con nadie del equipo de ventas, ponte en contacto con una persona del equipo de preventa de Personio (sales@personio.com).

Para informar de un incidente de seguridad posible o real en una cuenta de Personio, explica de forma resumida lo ocurrido a través de Resuelve tus dudas.

Proporciona todos los detalles que puedas para que nuestro equipo pueda comenzar a investigar el incidente. Datos como fechas, horas, identificadores de usuarios, URL o capturas de pantallas resultan de gran utilidad para nuestro equipo de seguridad.

Nuestro equipo especializado en la experiencia de los usuarios nos ayudará a resolver tu problema de forma rápida.

Nuestro equipo de seguridad sabe que un buen programa de "bug bounty" sirve para generar confianza en nuestra plataforma y mantenerla con los mejores estándares. Por eso nos hemos aliado con Intigriti con el fin de crear nuestro programa de "bug bounty".

Para participar, consulte la página de nuestro programa de "bug bounty", donde se detallan las condiciones y el alcance de nuestro programa, y compartir de forma segura con nuestro equipo lo que descubramos.