Як захистити дані співробітників у HR-системах

1С:Зарплата та управління персоналом, BambooHR, HRlink, Бітрікс24 - хмарні HR-системи та зарплатні сервіси стали нормою для російських компаній. Зручно, але всі чутливі дані ваших співробітників зосереджені в одному місці.

Які дані зберігаються в HR-системах

| Тип даних приклади | Ризик під час витоку | |-----------|---------|----------------| | Особисті дані | Паспортні дані, ІПН, СНІЛС, адреса | Шахрайство, підробка документів | Зарплатні дані | Оклад, премії, відрахування | Конфлікти у колективі, шантаж | | Банківські дані номер рахунку, реквізити | Фінансові втрати | Медичні дані Лікарняні, результати медоглядів | Дискримінація | Оцінка | Результати атестації, догани | Репутаційні збитки |

Типові канали витоку

1. Загальний адмінський акаунт

Коли кадровик звільняється, пароль від HR-системи пересилають наступнику Telegram. Це повідомлення назавжди залишається історія чату.

2. Зарплатні відомості по email

Багато компаній надсилають розрахункові листки електронною поштою. Помилка на адресу — і зарплата колеги стає відомою стороннім.

3. Обмін документами з бухгалтером на аутсорсі

Excel-файли з даними співробітників відправляються по email аутсорсингової бухгалтерії без шифрування, без контролю доступу.

4. Невідкликаний доступ звільнених

Якщо доступ до HR-системи не закривається у день звільнення, колишній співробітник, як і раніше, може переглядати дані всіх колег.

Чек-лист безпеки HR-даних

• Двофакторна автентифікація (MFA) включена для всіх адмінських облікових записів
• Щомісячна перевірка журналів доступу
• Блокування облікового запису в день звільнення
• Шифрування під час експорту зарплатних даних
• Доступ зовнішніх контрагентів (бухгалтерія, юристи) обмежений мінімумом
• Рольове розмежування доступу (RBAC)

Безпечні способи обміну кадровими даними

Рольове розмежування доступу

Не давайте всім один «суперадмінський» обліковий запис. Налаштуйте ролі: зарплата, рекрутинг, лише читання.

Увімкніть журнал аудиту

Фіксуйте, хто коли до яких даних звертався без цього неможливо розслідувати інциденти.

Захищені посилання для зовнішнього обміну

Коли потрібно відправити зарплатні бухгалтеру, не прикріплюйте Excel до листа. Створіть на LOCK.PUB зашифровану нотатку або посилання з паролем. Пароль надайте іншим каналом (наприклад, телефоном). Навіть якщо листа перехоплять — дані залишаться захищеними.

Безпечна передача облікових даних

При зміні HR-адміністратора використовуйте замітку, що самовидаляється на LOCK.PUB замість відправки пароля в Telegram. Нотатка зникає після прочитання.

Відповідність законодавству

Федеральний закон №152-ФЗ «Про персональні дані» висуває суворі вимоги:

Обов'язок	Зміст	Санкції
Згода на обробку Письмова згода працівника	Штраф до 150 000 ₽
Захист даних Технічні та організаційні заходи	Штраф до 300 000 ₽
Повідомлення про витік	Повідомити в Роскомнагляд протягом 24ч	Штраф + розпорядження
Локалізація даних Зберігання біля РФ	Блокування сервісу

3 дії на сьогодні

1. Увімкніть MFA — Активуйте двофакторну автентифікацію для всіх адмінських облікових записів HR-систем прямо зараз
2. Перевірте звільнених — Переконайтеся, що у всіх звільнених за останні 6 місяців закрито доступ
3. Змініть спосіб обміну — Перестаньте надсилати конфіденційні файли додатками. Використовуйте LOCK.PUB для створення захищених посилань з паролем та терміном дії

Дані співробітників – ваша головна юридична відповідальність. Ставтеся до них відповідно.