Beveiliging in Officient

Officient biedt bedrijven een oplossing voor het centraliseren van HR data, automatiseren van administratie en verhogen van transparantie in verschillende HR processen. 

Vanwege de gevoeligheid van de data die in Officient wordt bewaard, zoals persoonlijke informatie en loongegevens, is de beveiliging hiervan één onze hoogste prioriteiten.

Betrouwbaarheid

Officient beheert alle gebruikersgegevens via Amazon Web Services (AWS). Er wordt steeds een automatische back-up gemaakt van alle data, die redundant bewaard wordt. Dankzij onze server- en netwerkinfrastructuur blijft Officient dus toegankelijk zelfs wanneer er zich hardware problemen voordoen. We garanderen een uptime van 99.9% om onze diensten voortdurend aan te bieden. Alle informatie over veiligheidsmaatregelen die AWS neemt, kan je hier vinden.

Encryptie

Encryptie wordt voornamelijk gebruikt in de financiële sector, maar is ook ingesteld voor alle Officient accounts. Deze beveiliging wordt gebruikt voor alle externe en interne verbindingen en garandeert dat gevoelige informatie nooit verzonden of ontvangen kan worden als leesbare tekst. Dankzij deze geavanceerde beveiliging blijft de data van Officient klanten ten alle tijde beschermd.

Data Beveiliging & Privacy

Data privacy is van essentieel belang voor Officient. Daarom wordt alle data bewaard binnen de grenzen van de Europese Unie. De datacenters van AWS zijn verdeeld over de hele wereld, maar wat betreft de data in Officient (incl. back-ups) gaat het enkel om Ierland en Duitsland. AWS is volledig conform met de Europese Regelgeving m.b.t. databeveiliging (GDPR). Lees hier meer over welke data Officient bewaard.

Beschikbaarheid

Officient is over de hele wereld op elk apparaat beschikbaar, met uitzondering van Internet Explorer 11 en vroegere versies vanwege veiligheidsoverwegingen. IE edge wordt wel ondersteund. Health checks en simpele pings van de componenten worden gebruikt om te controleren of de functies operationeel zijn. Officient heeft een pagina waar de status van het systeem altijd kan worden gecontroleerd.

Release-proces

Het Officient development team heeft een gestructureerd release-proces geïmplementeerd:

  • Integratie en automatische end2end testing in CI garandeert dat updates geen use cases breken die nodig zijn voor gebruikers.
  • Veranderingen worden tijdig gecommuniceerd naar het customer success team.
  • Test omgevingen kunnen vrij aangemaakt worden op aanvraag.
  • Veranderingen worden in-app gecommuniceerd naar eindgebruikers.
  • Er is geen beta omgeving die nieuwere features bevat. Experimentele features worden vrijgegeven door feature flagging.

Databeheer

  • Specifieke features zoals de kalender hebben standaard een eigen versiegeschiedenis.
  • Interne audit logs bestaan voor elke feature.

Beveiliging door ontwerp

  • Het Officient development team controleert standaard op owasp's top 10 veiligheidsrisico's.
  • Een bug bounty programma wordt actief gebruikt op het Officient platform, in samenwerking met de ethische hacking provider Intigriti. Deze methode heeft al reeds gezorgd voor de detectie (en correctie) van enkele kleinere veiligheidsrisico's. De hoogste premies worden uitgereikt wanneer men toegang kan verkrijgen tot de data van een andere account, maar deze type bugs zijn nog nooit ontdekt geweest.
  • Sqreen geavanceerde indringersdetectie en RASP is actief op het platform.
  • Alle toegang is standaard gebaseerd op rollen.
  • Authenticatie met 2FA wordt standaard ondersteund. 
  • Sterke brute force protection op alle endpoints voor authenticatie wordt voorzien door auth0.
  • GDPR compliance door ontwerp: medewerkers kunnen hun data bekijken en aanpassen. Werknemersgegevens worden ook automatisch verwijderd overeenkomstig met de richtlijnen bepaald door de wetgeving van het toepasselijke land.

Responsible Disclosure Policy

Bij Officient beschouwen we de veiligheid van onze systemen als een absolute prioriteit. Jammer genoeg hoeveel moeite we ook investeren in beveiliging, er is steeds kans dat er beveiligingslekken aanwezig zijn.

Indien je een beveiligingslek ontdekt, worden we graag op de hoogte gebracht zodat we met jou kunnen samenwerken om deze op te lossen. In deze Responsible Disclosure Policy (EN only) vind je meer informatie over welke stappen je best onderneemt, en hoe je met ons in contact kan komen.

Identiteit- en toegangsbeheer (IAM)

Officient gebruikt Auth0 als dienstverlener voor authenticatie, en biedt de volgende SingleSign-on (SSO) mogelijkheden:

Voor medewerkers

  • Authenticatie is mogelijk via Office365, azure ad, gmail en andere e-mail providers.
  • Additionele veiligheidsmaatregelen zoals pincodes en authenticatie via vingerafdruk worden ingesteld na het activeren van de Self Service.

Voor HR medewerkers

  • Authenticatie is mogelijk via Office365, azure ad en gmail.
  • Multi-Factor Authenticatie kan worden aangezet.
  • Authenticatie door Okta kan worden voorzien op aanvraag. 

Integratie mogelijkheden

Officient beschikt over een simpele, open en gedocumenteerde REST/json api. Alle informatie om te koppelen met de API vind je hier.
Het is mogelijk om Webhooks te gebruiken met Officient.
Zapier integraties zijn ook mogelijk om gemakkelijk en snel data uit te wisselen met andere tools.

Officient voldoet aan de volgende integratievoorwaarden:

  • Het platform heeft een goed gedocumenteerde API, met een simpel en duidelijk data model.
  • Het platform heeft een API die CRUD operaties toelaat op bijna alle data entiteiten.
  • Het platform heeft een API die alleen communicatie toestaat via geëncrypteerde communicatiekanalen (SSL/TLS)
  • Het platform heeft een API die beschermd is door veiligheidsmaatregelen die geoptimaliseerd zijn voor machine-tot-machine communicatie (bv. api-sleutel, basis authenticatie, OAuth client credential flow...)
  • Het platform heeft de middelen om externe systemen op de hoogte te brengen van wijzigingen die gebeuren op interne data entiteiten (bv. opleiding toegevoegd) via standaard protocollen.
  • Het platform heeft de mogelijkheid om communicatie opnieuw te versturen in het geval dat het het externe systeem niet kon bereiken.