Безопасность клиентов и разрабочиков SaaS HRM сервисов
В настоящее время SaaS сервисы становятся все более и более популярными. По прогнозам, опубликованнным РАЭКом в 2012 году объем рынка составил 1,89 млрд.руб., а прирост составил 46%. Особое внимание хочется уделить SaaS HRM сервисам, так как они содержат в себе стратегически важную информацию о персонале организации, документообороте, схемах премирования и др.информацию, на основании которой можно сделать выводы о состоянии человеческого капитала любой компании.
Человеческий капитал, является одним из структурных элементов интеллектуального капитала, который, в свою очередь, является «массой», заполняющей пробел между разрывом рыночной капитализации компании и оценкой ее стоимости на основе бухгалтерской отчетности.
Ввиду осознания бизнесом ценности человеческого капитала, как движущего фактора экономики. HRM рынок быстро реагирует на запрос бизнеса. Как следствие, появляются все новые инструменты по управлению, обучению, развитию, мотивации и оценке персонала. В основном, потребность в подобного рода софте возникает у «среднего» и «крупного» бизнеса, с численностью сотрудников от 100 до 300 и от 300 человек и выше и оборотами от 150млн. до 2,5млрд. руб./год и от 2,5млр. и выше руб./год. В связи с этим, возникает ряд критерриев, по которым выбирается HRM сервис.
— Во-первых, он должен решать задачи, поставленные руководством по управлению персоналом.
— Во-вторых, ввиду территориальной и временной разделенности офисов и сотрудников, сервис должен работать не только локально, но и быть в широком доступе.
— В-третьих, так как подобные сервисы являются автоматизированными инструментами, то они должны решать проблему обработки большого кол-ва информации в ручную.
— В-четвертых, ключевым критерием в современном мире инновационных технологий, является то, что сервисы должны быть безопасными с точки зрения защиты персональных данных и интересов организации.
Как следствие, на рынке появляться большое количество «свежих» и «молодых» SaaS инструментов (ПО как услуга), исходя из этих вводных требований к HRM сервису. SaaS сервисы в массе своей удовлетворяют первым 3 критериям, но, с последним пунктом, а именно: защитой персональных данных и интересов организации, за частую возникают сложности (в особенности у «молодых» сервисов), так как данные обрабатываются при помощи сети интернет.
Как же компании-клиенту обезопасить себя? И какие варианты решения проблемы может использовать «молодая» компания-разработчик SaaS HRM сервиса?
1. Отношения компании-разработчика с компанией-клиентом.
Отношения регулируются договором (название договора может быть абсолютно разным: предоставление услуг, неисключительной лицензии, об использовании и др.) Основная часть договора это ответственность, права и обязанности сторон. Такой договор должен быть составлен и прикреплен отдельно на сайте компании-разработчика, как доказательство серьезности намерений и полноты ответственности компании-разработчика перед клиентом.
Одним из распространенных видов договоров является договор SLA (договор об уровне оказания услуг) с клиентом. Но, так как мы говорим о SaaS сервисе, где задача стоит по максимуму упростить и ускорить процесс использования, то возможно перевести такой договор в формат соглашения об уровне предоставляемого сервиса, который будет действовать для клиентов, заключивших с компанией-разработчиком публичный договор. В соглашении прописываются гарантии по обслуживанию перед компанией-клиентом. Как правило, такое соглашение является приложением к договору.
Так же, при регистрации в SaaS сервисе, можно предоставлять компании-клиенту для ознакомления соглашение об использовании сервиса/пользовательское соглашение. Таким образом, компания-разработчик обезопасит себя от возможных правонарушениях (путем уведомления компании-клиента) и клиент будет уведомлен о том, что его ожидает после процедуры регистрации.
2. Безопасность персональных данных.
Вопрос защиты персональных данных стоит крайне остро в последнее время. Компании-клиенты полагают, что если они работают через «интернет», то вероятность утечки данных о сотрудниках и компании колоссальна. Но, за частую, большую угрозу сохранности персональных данных составляет утечка данных через каналы самой компании-клиента, так как именно их сотрудники являются заинтересованными лицами и порой разглашают конфиденциальную информацию даже не задумываясь о том, что это может нанести вред репутации компании. Простой пример – оценка персонала. Сотрудники обмениваются информацией о результатах. От «сарафанного радио» никто не застрахован. Хоть это и не является персональными данными, но эта информация на прямую относится к компании-клиенту и может повлиять на ее репутацию.
В ФЗ-152 есть ряд особенностей, в связи с которыми возникают определенные разночтения. Они заключаются в следующем – для обработки персональных данных необходимо иметь согласие на нее и предоставить доказательства этого согласия. В интернете личность не идентифицируется. Ведь, человек может представиться, не Анастасией, а Марией и никто не сможет доказать обратного (в интернете). Только использование ЭЦП (электронно-цифровая подпись) позволяет идентифицировать личность. Но, получение ЭЦП не обязательная процедура и мало кто ее имеет. Так что такое соглашение имеет действие только при наличии подписи.
Существует возможность уведомить компанию-клиента и ее сотрудников о том, что компания-разработчик совершает обработку персональных данных, разместив на сайте согласие на обработку персональных данных, где указать, что пройдя регистрацию, пользователь соглашается на обработку и принимает условия, прописанные в документе. Можно и не составлять дополнительного документа, а прописать эти положения в договоре, описанном выше.
Имеется еще один вариант договора — NDA (договор о неразглашении), который подписывается сторонами. Но, так как нам такой вариант снова не подходит (в силу того, что данный вид договора также явлется сложным в применении), его можно преобразовать в публичный договор. Возможно размещение компанией-разработчиком публичного соглашения о конфиденциальности, в котором прописываются условия конфиденциальности, вступающие в силу с момента регистрации на сайте компании-разработчика. Это хороший инструмент как для компании-клиента, так и для компании-разработчика.
3. Технические способы безопасности.
Конечно, использование «не бумажных» средств защиты намного надежнее, чем фиксирование на бумаге. Существует множество различных инструментов, которые позволяют убедить компанию-клиента в безопасности SaaS HRM сервиса. Например, методика двойных ключей, используемая за рубежом. Если говорить простым языком, то «папку с данными» компании-клиента обезличивают и нумеруют и номер разбивают на составляющие. Часть номера хранится у компании-разработчика, часть номера хранится у компании-клиента. При таком подходе, даже если данные будут утеряны или похищены, идентифицировать их будет невозможно.
Возможно размещение SaaS HRM системы на серверах компании-клиента. Это решение, естественно, дороже. Но, при этом компания-клиент сама несет ответственность за сохранность данных, обрабатываемых системой. Основным документом, регламентирующим подобные отношения будет лицензионный договор (не исключительная лицензия) между компанией-разработчиком и компанией-клиентом.
В целом, это основные пункты, которые необходимо учесть при формировании схемы защиты информации и данных в SaaS HRM системе. Резюмируя все вышеописанное, можно сказать, что необходимо правильно выбрать документ или пакет документов, который бы регламентировал отношения между компанией-клиентом и компанией-разработчиком. Но, стоит помнить о том, что ни один, даже самый правильно составленный документ, размещенный в интернете, никогда не заменит документ, подписанный сторонами лично.
Автор: aachernigova