HR-Link и утечка персональных данных на стыке технологий
Обратилась значит организация - идет большая утечка персональных данных. Все сотрудники вдруг стали знать кто сколько зарабатывает, от уборщицы до топ-менеджмента. Как? Откуда? Как давно? Не понятно. Никто не колется. Но в коллективах начались скандалы, увольнения, зависть и косые взгляды друг на друга. Ситуацию надо срочно исправлять!
Стали проводить расследование, откуда-куда идет поток данных содержащий инфо о деньгах. Из заголовка уже понятно где оказалась дыра, поэтому опустим сколько интеграций между системами пришлось перебрать и сколько людей пострадали от пыток паяльником ))
Так вот, HR-Link - это сервис кадрового электронного документооборота №1 по версии РБК. Как составлялся этот рейтинг - большой вопрос, ведь не найти пользователя который бы работал со всеми этими системами, чтобы поставить объективную оценку:
Но не суть. Просто как видим эта организация внедрила у себя кадровый электронный документооборот. Все документы с сотрудниками теперь подписываются в электронном виде. Документы хранятся где-то в облаке. Сотрудник заходит в личный кабинет и видит только свои документы, которые подписывает своей индивидуальной цифровой подписью. Так где же утечка?
Все данные в HR-Link попадают из кадровой системы учета 1С:Зарплата и управление персоналом, что используется практически повсеместно в нашей стране от мелких ИП до крупных корпораций. Доступ в эту систему могут иметь как HR и бухгалтера, которые по своей работе обязаны видеть ЗП сотрудников, так и другие пользователи, например табельщики, специалисты по охране труда, менеджеры по обучению и прочие, кто зарплату видеть совсем не должен и система по умолчанию от них это скрывает. Так может виновата 1С?
Я бы так не сказал. У 1С как видим выше на рисунке тоже есть свой электронный документооборот, но там на утечку никто не жалуется, потому что всё сделано грамотно. А что сделал HR-Link?
HR-Link разработал для 1С свой велосипед модуль, который передает документы на подпись из 1С в ЛК сотрудника на свою сторону в HR-Link. Как он работает и в чем проблема:
Кадровик формирует печатную форму, например на повышение сотрудника где явно видна ЗП, или бухгалтер формирует расчетный лист, где видна вообще вся ЗП за месяц.
Печатная форма сохраняется в виде PDF файла прямо в карточке сотрудника (или в связанных с ним объектах базы данных).
PDF файл улетает сотруднику на подпись через модуль HR-Link.
Пользователь без прав доступа к ЗП, но с правом просмотра карточки сотрудника - открывает карточку сотрудника и видит все файлы сгенерированные модулем HR-Link.
Я никого не хочу отговаривать от цифровизации и перехода на электронный документооборот, т.к. я сам сторонник этой движухи. Но вот так халатно изобретать свой модуль абсолютно не учитывая архитектуру и функциональные особенности тиражного решения, для которого модуль предназначен - мне кажется недопустимым, это дискредитирует всю идеологию о цифровизации и защите перс. данных. И покупать козырять рейтингом на РБК после такого должно быть как-то стыдно )
Эта история была уже относительно давно, использует ли организация HR-Link по сей день - я не знаю. Но знаю одно - HR-Link в этом вопросе никуда не продвинулся. Так что если вам предлагают использовать эту систему, имейте ввиду, что теперь вашу ЗП возможно будет знать какой-нибудь специалист из охраны труда ))