
Infrastruktur
Ganzheitliche Umsetzung einer modernen Personalverwaltung durch integrierte Infrastruktur
HR direkt ist nicht nur eine Softwareanwendung für das Prozess- und Datenmanagement, sondern eine cloudbasierte Gesamtlösung, bei der die Software auf einer eigenen Systeminfrastruktur läuft.
Diese Systeminfrastruktur kann entweder als Cloud-Serversystem im E&R Rechenzentrum betrieben werden oder als eigenständige Installation in einer externen Cloud-Umgebung aufgesetzt werden. Der Zugriff der Anwender erfolgt über ein Online-Portal. Eine Softwareinstallation in Ihrer Organisation ist dadurch nicht erforderlich. HR direkt ist problemlos in bestehende Systemlandschaft und insbesondere in SAP-Anwendungen zu integrieren.
Falls Sie die Plattforminfrastruktur nicht selbst betreiben wollen, hosten wir die komplette HR direkt Lösung für Sie, administrieren und warten die Infrastruktur, gewährleisten die IT-Sicherheit und bieten Ihnen auch die entsprechenden Webservices aus einer Hand an.
HR direkt bietet durch unser zertifiziertes Rechenzentrum in Deutschland ein hohes Maß an Sicherheit und durch das DSGVO-konforme Datenmanagementsystem einen besonders hohen Schutz der gespeicherten und verwalteten Daten. Das Onlineportal wird ebenfalls jährlich nach dem Prüfstandard trusted application überprüft.
- Auslagerung der gesamten IT in ein Rechenzentrum
- Vorhalten eines Ausweichrechenzentrums
- Sicherheit und interne Kontrollsysteme
- Backup und Sicherungen
- Bereitstellung des Webportals über eine gesicherte Verbindung
- Filterung des Datenverkehrs
- Verschlüsselung von Passwörtern
- Gesonderter Versand der Authentifizierungsfaktoren
- Plausibilitätsprüfung
- Mitarbeiter Briefing und kontinuierliche Schulungen
- Allgemeine Sicherheitsmaßnahmen
Auslagerung der gesamten IT in ein Rechenzentrum
Alle für das Webportal relevanten Systeme sind in einem hochmodernen und hochpräsenten Rechenzentrum von MESH in Deutschland untergebracht. Die Betreuung der Systeme wird von der E&R AG und dem Dienstleister ITSM GmbH gleichermaßen sichergestellt. Durch die Auslagerung der Systeme in ein dazu ausgelegtes Rechenzentrum werden die Gefahren wie unbefugter Zutritt oder Umwelteinflüsse wie z. B. Feuer, Hochwasser minimiert, da geeignete Redundanzen und Gegenmaßnahmen (z. B. Löschanlage, Zutrittskontrolle etc.) eingesetzt werden.Vorhalten eines Ausweichrechenzentrums
Um eine höchstmögliche Ausfallsicherheit zu gewährleisten, werden die wichtigsten Systeme in einem Backup-Rechenzentrum in den eigenen EDV-Räumlichkeiten bereitgestellt. Diese Erweiterung, der im Rechenzentrum ohnehin gegebenen Redundanz, um eine weitere Ebene minimiert zusätzlich Risiken, z. B. durch schwerwiegende Naturkatastrophen oder An-schläge auf das Rechenzentrum bzw. die allgemeine Infrastruktur.Überprüfung der Wirksamkeit von Kontroll- und Management Systemen
Das interne Kontrollsystem (IKS) der E&R AG wird regelmäßig nach IDW PS 951 zertifiziert. Die Softwareinfrastruktur wird hinsichtlich Datenschutz und Informationssicherheit durch die TÜV TRUST IT GmbH regelmäßig geprüft. In diesem Rahmen wird die TÜV TRUSTED APPLICATION Zertifizierung ausgestellt. E&R hat darüber hinaus Ende 2021 eine ISO/IEC: 27001 Zertifizierung erlangt..Penetrationstests und Systemaudits
Die E&R AG lässt von der TÜV Trust IT GmbH regelmäßige Penetrationstests und Systemaudits durchführen, bei denen Software als auch Infrastruktur hinsichtlich System-Härtung und sicherer Architektur überprüft werden. Darüber hinaus führt E&R interne Audits durch in denen die Wirksamkeit und Einhaltung von Kontrollen zur Informationssicherheit geprüft werden.Backup und Monitoring
Die E&R AG sorgt für eine ständige Sicherung von Systemzuständen, so dass eine Wiederherstellung der Datenbestände im Notfall Szenario jederzeit gegeben ist. Darüber hinaus überwacht die E&R ständig die Systemauslastungen, um für eine permanente Erreichbarkeit der HR Lösungen zu sorgen. Die Einhaltung dieser IT-Kontrollen wird regelmäßig überprüft.Bereitstellung des Webportals über eine gesicherte Verbindung
Das Webportal ist nur über eine verschlüsselte Verbindung (HTTPS) zu erreichen. Andere Verbindungsversuche werden blockiert bzw. an HTTPS weitergeleitet. Zur Verschlüsslung kommt der Standard TLSv1 bzw. SSLv3 zum Einsatz. Unsichere Chiffrierungsmethoden sind dabei explizit ausgeschlossen. Die Echtheit der Datenpakete wird durch ein „PositiveSSL Certificate“ (derzeit 2048 Bit) der Comodo CA Limited bestätigt.Filterung des Datenverkehrs
Der gesamte Datenverkehr über das Internet wird durch ein zweistufiges Paketfiltersystem (Firewall) geregelt. An dieser Stelle werden restriktiv alle nicht explizit erlaubten Verbindungs-versuche unterbunden. Zusätzlich zum allgemeinen Virenschutz werden alle Verbindungen auf Schadcode gescannt. Die Webportale befinden sich in einer als DMZ bezeichneten Zone und können nur auf festgelegte Schnittstellen zugreifen.Verschlüsselung von Passwörtern
Die Benutzer melden sich mit einer Kombination aus Benutzername und Passwort auf Ren-tenmanager.com (portal.hr-direkt.de/Login/#/login) an. Die Anmeldeinformationen befinden sich in einer Datenbank. Die Ablage der Passwörter erfolgt in Form von SHA1 Hashes, die mit Hilfe einer als „Salting“ bezeichneten Methode mit einem Zufallswert kombiniert wurden. Das sogenannte Salting erschwert im Falle eines unerlaubten Zugriffs auf die Datenbank den Einsatz von zuvor erstellten Hashwert-Tabellen (Rainbow-Tables), um die Klartext-Passwörter zu ermitteln.Gesonderter Versand der Authentifizierungsfaktoren
Die Benutzer bekommen nach der Erstanmeldung die Kombination aus Benutzername und Passwort in zwei separaten Briefen (PIN-Briefe mit Sicherheitssiegel) mitgeteilt. Mit dem Erstpasswort können sie sich nur dreimal anmelden. Während der ersten drei Anmeldungen werden die Benutzer aufgefordert ihr Passwort zu ändern. Wenn das Passwort nicht rechtzeitig geändert wird, wird der Benutzer-Account gesperrt. Zur Änderung eines Passwortes muss das neue Passwort eine definierte Mindestkomplexität erfüllen. Das Versenden der einzelnen Authentifizierungsfaktoren in getrennter Post stellt sicher, dass falsch zugestellte oder unberechtigt geöffnete Einzelsendungen nicht zum Erlangen aller zur Authentifizierung notwendigen Faktoren führen. Durch die begrenzte Gültigkeit des Passwortes und die Verwendung eines versiegelten PIN-Feldes wird eine Manipulation erschwert.Plausibilitätsprüfung
Alle in den Geschäftsprozessen erstellten Daten werden einer maschinellen Plausibilitätsprüfung unterzogen. Ergebnisse der automatischen Prüfung werden durch Mitarbeiter geprüft und dokumentiert.Mitarbeiter Briefing und kontinuierliche Schulungen
Alle Mitarbeiter werden bei Eintritt in das Unternehmen intensiv auf ihre Arbeit mit hochsensitiven Daten vorbereitet. Die Vorbereitung umfasst sowohl Unterweisungen zur sicheren Nutzung der Datenverarbeitungsanlagen als auch den allgemeinen Umgang mit im Unternehmen verarbeiteten Daten jeder Art. Weiter verpflichten sich alle Mitarbeiter durch Unterzeichnung einer Verschwiegenheitserklärung dazu, gegenüber Dritten Stillschweigen über sämtliche ihnen anvertrauten Informationen und Daten zu wahren. Alle Mitarbeiter nehmen regelmäßig an Weiter- und Fortbildungen anhand interner und externer Schulungen teil.Allgemeine Sicherheitsmaßnahmen
Zu den oben aufgeführten Sicherheitsmaßnahmen kommen die in Unternehmen üblichen Sicherheitsvorkehrungen wie aktueller Virenschutz, Zutrittskontrolle zu den Räumlichkeiten, Brandschutz, redundante Internetanbindung, regelmäßige Wartung technischer Anlagen, etc.
Die Zertifizierung nach ISO/IEC 27001
Bei der Zertifizierung nach ISO/IEC 27001 handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme (ISMS), sie ist die wichtigste Sicherheits-Zertifizierung im Internet. Die Entgelt und Rente AG legt mit diesem nach ISO/IEC 27001 zertifizierten Informationssicherheits-Managementsystem einen wichtigen Grundstein für die Sicherheit von Daten, Informationen und Systemen. So bieten wir unseren Kunden und Partnern eine verlässliche und belastbare IT, die in Zeiten der Digitalisierung unabdingbar ist.