Записаться на демо
Войти
Кейсы
Продукт
Блог
Решения
🔒 Входит в реестр российского ПО
Адаптация новичков с готовыми сценариями от Personik
Автоматизация выдачи документов
и других кадровых и бухгалтерских услуг
Новости компании и другая информация
в удобном формате
Микро-курсы для повышения 
профессионализма персонала
База знаний и автоматизация 
ответов на самые частые вопросы
Онбординг чат-бот
Оценка вовлечённости, лояльности и exit-интервью для улучшения процессов
HR сервисы и КЭДО
Информирование
Обучение
Поддержка
Аналитика
Ведите учет персонала без интеграции с кадровой системой
Создайте автоматизированные сценарии для вашей компании
Интерфейс, разработанный с учетом
потребностей линейного персонала
Вся необходимая информация 24/7 в одном месте
Тарифы, сформированные
на основе ваших потребностей
Учет сотрудников
Автоматизация HR
Калькулятор стоимости
База знаний
Чат-бот
Кадровый электронный документооборот в чат-боте
КЭДО
Бесплатное демо Personik
A если вы не любите заполнять формы, напишите нам в Telegram или на почту hello@personik.ai
Бесплатное демо Personik
A если вы не любите заполнять формы, напишите нам в Telegram или на почту hello@personik.ai
Заказать демо
Продукт
Онбординг чат-бот
HR сервисы и КЭДО
Информирование
Обучение
Поддержка
Аналитика
Блог
Кейсы
Решения
Учет сотрудников
Чат-бот
Автоматизация HR-процессов
Корпоративная база знаний
КЭДО
Записаться на демо
Войти
Адаптация новичков с готовыми сценариями от Personik
Автоматизация выдачи документов
и других кадровых и бухгалтерских услуг
Новости компании и другая информация
в удобном формате
Микро-курсы для повышения 
профессионализма персонала
База знаний и автоматизация ответов на самые частые вопросы
Онбординг чат-бот
Оценка вовлечённости, лояльности и exit-интервью для улучшения процессов
HR сервисы и КЭДО
Информирование
Обучение
Поддержка
Аналитика
Ведите учет персонала без интеграции с кадровой системой
Создайте автоматизированные сценарии для вашей компании
Интерфейс, разработанный с учетом
потребностей линейного персонала
Вся необходимая информация в одном месте 24/7
Тарифы, сформированные
на основе ваших потребностей
Учет сотрудников
Автоматизация HR
Калькулятор стоимости
База знаний
Чат-бот
Кадровый электронный документооборот в чат-боте
КЭДО
Калькулятор стоимости

Безопасность корпоративных чат-ботов

О том, как Personik защищает ваши данные, рассказывают создатели платформы
Несмотря на все преимущества чат-ботов, современные компании иногда опасаются использовать их в работе. В большинстве случаев эти страхи связаны с рисками утечки корпоративной информации: получив доступ к чат-боту, злоумышленник потенциально имеет возможность собрать чувствительные данные или персональную информацию о сотрудниках.

Тем не менее, грамотно спроектированная защита минимизирует подобные риски. В этом тексте мы ответим на самые распространенные вопросы, связанные с безопасностью чат-ботов для HR.
Несмотря на все преимущества чат-ботов, современные компании иногда опасаются использовать их в работе. В большинстве случаев эти страхи связаны с рисками утечки корпоративной информации: получив доступ к чат-боту, злоумышленник потенциально имеет возможность собрать чувствительные данные или персональную информацию о сотрудниках.

Тем не менее, грамотно спроектированная защита минимизирует подобные риски. В этом тексте мы ответим на самые распространенные вопросы, связанные с безопасностью чат-ботов.

Где хранятся данные о сотрудниках?

Основная цель нашей платформы — сделать взаимодействие между HR-специалистами и сотрудниками более удобным за счет автоматизации кадровых процессов. Наибольшая эффективность такой автоматизации достигается за счет интеграции с информационной системой компании, где хранятся данные о сотрудниках.


Работа с платформой Personik начинается с формирования списка сотрудников: его можно импортировать из учетной системы компании или добавить вручную. С момента добавления нового сотрудника через систему администрирования Personik, базовая информация о нем (имя и фамилия, номер телефона, электронная почта, должность, офис и подразделение) хранитсяв защищенной базе данных платформы.


Вся информация о расчетах компании с сотрудником, оформленных больничных, прошедших и запланированных отпусках, справках и других отношениях между сотрудником и компанией не дублируется на платформе Personik и остаётся только в учетной системе компании.

Основная цель нашей платформы — сделать взаимодействие между HR-специалистами и сотрудниками более удобным за счет автоматизации кадровых процессов. Наибольшая эффективность такой автоматизации достигается за счет интеграции с информационной системой компании, где хранятся данные о сотрудниках.


Работа с платформой Personik начинается с формирования списка сотрудников: его можно импортировать из учетной системы компании или добавить вручную. С момента добавления нового сотрудника через систему администрирования Personik, базовая информация о нем (имя и фамилия, номер телефона, электронная почта, должность, офис и подразделение) хранитсяв защищенной базе данных платформы.


Вся информация о расчетах компании с сотрудником, оформленных больничных, прошедших и запланированных отпусках, справках и других отношениях между сотрудником и компанией не дублируется на платформе Personik и остаётся только в учетной системе компании.

От учетной системы к мессенджеру: что происходит с данными во время использования бота

Если сотрудник захочет получить личную информацию (например, количество оставшихся дней отпуска в текущем году) и отправит соответствующий запрос с помощью бота, платформа проверит, есть ли у него доступ к данному типу информации. Этот шаг называется авторизацией пользователя. Получив положительный ответ, Personik обращается к учетной системе компании по защищенным каналам и запрашивает информацию.


Следующий шаг по обеспечению безопасности процесса осуществляет учетная система компании. Она проверяет статус сотрудника (работает ли он в компании, есть ли у него права для получения запрошенной информации), реализуя принцип «defence in depth» — защита на каждом уровне.


Если все условия соблюдены, учетная система компании по тем же защищенным каналам передает запрошенную информацию обратно платформе Personik. Personik фиксирует факт запроса данных пользователем и факт ответа учетной системы, но сами данные, которые передаются из учетной системы пользователя, не логируются.


Для того, чтобы данные попали в мессенджер сотрудника, Personik отправляет их по защищенному протоколу на сервера мессенджеров. Компании, которые разрабатывают мессенджеры, также борются за безопасность подключенных пользователей. Например, Viber заявляет, что данные проходят через сервера в зашифрованном виде и не хранятся, а в случае с Telegram они и передаются, и хранятся зашифрованными.

Если сотрудник захочет получить личную информацию (например, количество оставшихся дней отпуска в текущем году) и отправит соответствующий запрос с помощью бота, платформа проверит, есть ли у него доступ к данному типу информации. Этот шаг называется авторизацией пользователя. Получив положительный ответ, Personik обращается к учетной системе компании по защищенным каналам и запрашивает информацию.


Следующий шаг по обеспечению безопасности процесса осуществляет учетная система компании. Она проверяет статус сотрудника (работает ли он в компании, есть ли у него права для получения запрошенной информации), реализуя принцип «defence in depth» — защита на каждом уровне.


Если все условия соблюдены, учетная система компании по тем же защищенным каналам передает запрошенную информацию обратно платформе Personik. Personik фиксирует факт запроса данных пользователем и факт ответа учетной системы, но сами данные, которые передаются из учетной системы пользователя, не логируются.


Для того, чтобы данные попали в мессенджер сотрудника, Personik отправляет их по защищенному протоколу на сервера мессенджеров. Компании, которые разрабатывают мессенджеры, также борются за безопасность подключенных пользователей. Например, Viber заявляет, что данные проходят через сервера в зашифрованном виде и не хранятся, а в случае с Telegram они и передаются, и хранятся зашифрованными.

Далее сервера мессенджеров отправляют информацию сотруднику — так они оказываются у него на устройстве. Компания-разработчик мессенджера предоставляет свой уникальный защищенный протокол по передаче данных между сервером и устройством конечного пользователя.


Таким образом, для выполнения запроса сотрудником данные проходят путь от учетной системы компании к платформе Personik, попадают на сервера мессенджеров, а затем — в приложение, установленное сотрудником на телефоне или компьютере.

Далее сервера мессенджеров отправляют информацию сотруднику — так они оказываются у него на устройстве. Компания-разработчик мессенджера предоставляет свой уникальный защищенный протокол по передаче данных между сервером и устройством конечного пользователя.


Таким образом, для выполнения запроса сотрудником данные проходят путь от учетной системы компании к платформе Personik, попадают на сервера мессенджеров, а затем — в приложение, установленное сотрудником на телефоне или компьютере.

Как мы защищаем критичные данные?

Критичные данные (например, финансовая информация компании) не выходят дальше платформы Personik и не передаются в мессенджеры. Они проходят похожий путь от учетной системы к пользователю, однако «заворачиваются» в файл, который временно хранится на платформе или внутренних серверах компании в защищенном периметре. В результате, при запросе критичных данных в мессенджер сотрудника придет ссылка на файл с данными, но не сами данные.

Кликнув на ссылку, пользователь получит этот файл непосредственно с сервера своей компании. Ссылка будет доступна лишь на время и ограниченное число кликов. После истечения времени жизни, ссылка и сам файл с данными удаляются.

Критичные данные (например, финансовая информация компании) не выходят дальше платформы Personik и не передаются в мессенджеры. Они проходят похожий путь от учетной системы к пользователю, однако «заворачиваются» в файл, который временно хранится на платформе или внутренних серверах компании в защищенном периметре. В результате, при запросе критичных данных в мессенджер сотрудника придет ссылка на файл с данными, но не сами данные.


Кликнув на ссылку, пользователь получит этот файл непосредственно с сервера своей компании. Ссылка будет доступна лишь на время и ограниченное число кликов. После истечения времени жизни, ссылка и сам файл с данными удаляются.

Кроме этого, мы предоставляем возможность дополнительно защитить ссылки с помощью двухфакторной аутентификации — отправки одноразового пароля пользователю перед их созданием.

Кроме этого, мы предоставляем возможность дополнительно защитить ссылки с помощью двухфакторной аутентификации — отправки одноразового пароля пользователю перед их созданием.

Что мы делаем для обеспечения дополнительной безопасности?

Мы постоянно работаем над обеспечением безопасности исходного кода самой платформы, а наши сценарии разработаны так, чтобы исключить доступ злоумышленников к корпоративной информации.

Перед тем, как начать работу с новым заказчиком, мы всегда проверяем безопасность серверов и сетевой инфраструктуры, а также строим модель угроз для всех клиентских решений — в неё включены угрозы для инфраструктуры и угрозы для пользователя. Кроме этого, перед запуском чат-бота мы проводим специальное тестирование на соответствие бота требованиям информационной безопасности компании.

Мы постоянно работаем над обеспечением безопасности исходного кода самой платформы, а наши сценарии разработаны так, чтобы исключить доступ злоумышленников к корпоративной информации.

Перед тем, как начать работу с новым заказчиком, мы всегда проверяем безопасность серверов и сетевой инфраструктуры, а также строим модель угроз для всех клиентских решений — в неё включены угрозы для инфраструктуры и угрозы для пользователя. Кроме этого, перед запуском чат-бота мы проводим специальное тестирование на соответствие бота требованиям информационной безопасности компании.

Три причины, почему использование Personik — это безопасно
  • 1
    Мы храним только базовую информацию
    Базовая информация о сотрудниках находится в защищенной базе данных Personik. Прочая информация не дублируется на нашу платформу и остается только в интегрированной учетной системе компании.
  • 2
    Мы надежно защищаем передачу чувствительной информации
    Чувствительная информация не передается в мессенджеры и доступна сотрудникам только по защищенным ссылкам, ведущим на сервера компании. Они имеют ограниченное время жизни, после которого файлы с данными удаляются.
  • 3
    Мы тщательно проверяем исходный код платформы, инфраструктуру заказчика и сам бот
    Перед началом работы с новым заказчиком мы строим модель угроз для инфраструктуры и пользователя, а перед введением бота в эксплуатацию проводим дополнительное тестирование на соответствие требованиям информационной безопасности.

Оставить комментарий к статье

Поделиться материалом в социальных сетях

Читайте также:

15 июля 2021
Что такое автоматизация HR и когда стоит ее начать?
Что, когда и зачем можно автоматизировать в HR — чек-лист для специалистов
24 августа 2021 
Зачем нужна корпоративная база знаний и как ее создать?
Все, что нужно знать про Википедию для вашей компании
12 марта 2021
Как написать хороший сценарий для чат-бота?
Советы от архитектора платформы Personik

Подберем решение для вас

Екатерина
Архитектор платформы
Эдуард
Мастер разработки
Александр
Основатель и CEO
Александр
Клиентский сервис и процессы