Полномочия в HR

Bandiera

Добрый день.

Вопрос консультанта модуля HR.

Какие дополнительные меры безопасности существуют для защиты персональных (и данных о зарплате) сотрудников в том случае, если модуль HR не выделен на отдельный сервер?

Вопрос возник при запуске HR в продуктив из-за того, что на данный момент несколько консультантов (как правило, по одному на модуль) имеют полномочия на генерацию ролей. Как им запретить или усложнить процедуру добавления HR-овских объектов полномочий в свои роли?

В поиск, курсы, HR940, хелп не отсылайте - все читал.

avlag

Человек, проверяющий роли и присваивающий их пользователям, должен работать в службе безопасности.
Те, кто создают роли, не имеют права их присваивать пользователям.

Bandiera

А как быть с теми, кто имеет полномочия на генерацию ролей и просто добавляют себе в роль объекты полномочий HR?

Vadimus

Таким людям нужно бить по шаловливым ручкам молотком.
По идее нельзя давать изменять роли в продуктивной системе. Только система разработки и перенос в продуктив. Еще добавить контроль качества при переносе, тогда можно отсекать такие роли.
В чем вопрос - у нас все всё могут, как отобрать полномочия на просмотр зп и никого не ущемить?

Bandiera

Цитата:

В чем вопрос - у нас все всё могут, как отобрать полномочия на просмотр зп и никого не ущемить?

Проблема примерно так и формулируется.

Хочется узнать опыт по организации совместного размещения HR/ Accounting/Logistics на одном сервере, и разрешения проблем по части полномочий на персональные данные и зарплату.

Видимо придется решать вопрос на организационном уровне - ужесточение контроля на добавление объектов полномочий HR, лишение настройщиков прав на генерацию, отслеживание изменений в ролях, меры по наказанию и т.д.

Galka

начните лучше с найма отдельных специалистов, отвечающих за эти вопросы

Bandiera

Цитата:

начните лучше с найма отдельных специалистов, отвечающих за эти вопросы

Galka, вы что-то загадками говорите.
Предлагаете нанять бригаду палачей с топорами?

Bully

Это проблема скорее организационная, нежели техническая.

С технической т.з. возможна организация создания/изменения ролей следующим образом:
1. Один отвечает за создание/изменение ролей
2. Второй - лишь за генерацию профилей и перенос роли.

Т.о. начинает работать принцип двойной проверки и сам себе ничего не добавишь ибо не хватит на это полномочий.

Правила форума

Полномочия в HR

Кто сейчас на конференции