Нууцлалын бодлого

TimeTry ("Үйлчилгээ") нь Инфосистемс ХХК ("бид", "манай", "бидний") компаний ажиллуулдаг цаг бүртгэл, ирцийн удирдлагын платформ юм. Энэхүү Нууцлалын бодлого нь TimeTry-г ашиглах үед бид ямар төрлийн хувийн мэдээлэл цуглуулдаг, түүнийг хэрхэн ашигладаг, мөн таны тухайн мэдээлэлтэй холбоотой эрхүүдийг тайлбарлана.

TimeTry-д бүртгүүлэх эсвэл ашигласнаар та энэхүү бодлогод тайлбарласан мэдээлэл боловсруулах үйл ажиллагааг зөвшөөрч байгаа болно. Хэрэв та TimeTry-г ашигладаг байгууллагын ажилтан бол таны ажил олгогч ("Company Admin") платформ дээр админ буюу мэдээлэл боловсруулагч юм.

• Үйлчилгээг үзүүлэх — хэрэглэгчийг баталгаажуулах, ирцийг бүртгэх, ажлын цаг тооцоолох, чөлөө боловсруулах, мэдэгдэл илгээх
• Аюулгүй байдал ба луйвраас сэргийлэх — хэвийн бус нэвтрэлт илрүүлэх, IP болон geofence хязгаарлалт хэрэгжүүлэх, аудит бүртгэл хөтлөх
• Бүтээгдэхүүнийг сайжруулах — тайлан, нэргүйжүүлсэн хэрэглээний мэдээлэлд дүн шинжилгээ хийх
• Харилцаа холбоо — системийн мэдэгдэл (нууц үг сэргээх, ирц батлах, ээлж өөрчлөгдөх гэх мэт) илгээх
• Хууль эрх зүйн шаардлага — холбогдох хууль, эрх бүхий байгууллагын шаардлагыг биелүүлэх

Бид таны хувийн мэдээллийг гуравдагч этгээдэд худалдах, түрээслэх, солилцохгүй. Дараах хязгаарлагдмал нөхцөлд хуваалцаж болно:

• Таны байгууллагын дотор — Company Admin болон Manager-ууд өөрийн байгууллага доторх ажилтны мэдээллийг харах боломжтой
• Дэд үйлчилгээ үзүүлэгчид — үүлэн хостинг, объект хадгалалт, push notification үйлчилгээ (жишээ нь Google Firebase Cloud Messaging)
• Хуулийн шаардлага — хууль, шүүхийн шийдвэр, хэрэглэгчдийн эрхийг хамгаалах шаардлагын дагуу

TimeTry нь multi-tenant платформ юм. Үйлчилгээнд бүртгүүлсэн компани бүрийн өгөгдөл нь өгөгдлийн сангийн түвшинд логик байдлаар тусгаарлагдсан байдаг — нэг компани нөгөө компанийн мэдээлэлд хандах боломжгүй. Tenant тусгаарлалт нь өгөгдлийн сан руу илгээх бүх query дээр автоматаар хэрэгждэг.

Инфосистем ХХК-ий системийн эрхтэй ажилтнууд байгууллагын өгөгдөлд зөвхөн дараах зорилгоор хандаж болно:

• Хэрэглэгчийн дэмжлэг (Customer support) — Company Admin эсвэл ажилтан асуудал мэдээлсэн үед (жишээ нь: ирцийн бүртгэл алга болох, буруу тооцоолол, нэвтрэх асуудал гэх мэт) support инженер тухайн асуудлыг оношлох, шийдвэрлэхийн тулд холбогдох өгөгдлийг шалгаж болно. Хандалт нь зөвхөн тухайн асуудлыг шийдвэрлэхэд шаардлагатай хэмжээнд хязгаарлагдана.
• Засвар үйлчилгээ (Maintenance) — өгөгдлийн сангийн migration, schema шинэчлэлт, backup шалгах, эсвэл дэд бүтцийн өөрчлөлт зэрэг техникийн ажиллагааны үед системийн бүрэн бүтэн байдлыг баталгаажуулахын тулд инженер түүхий өгөгдөлд хандах шаардлага гарч болно. Ийм ажил нь урьдчилан төлөвлөгдөж, баримтжуулж, зөвхөн эрх бүхий ажилтнууд гүйцэтгэнэ.
• Инцидент шалгах (Incident investigation) — аюулгүй байдлын зөрчил, үйлчилгээний доголдол, эсвэл өгөгдлийн хэвийн бус байдал үүссэн тохиолдолд инженерүүд үндсэн шалтгааныг тодорхойлох, нөлөөллийг хязгаарлах, дахин давтагдахаас сэргийлэхийн тулд лог болон өгөгдлийг шалгаж болно.

Байгууллагын өгөгдөлд хийсэн бүх системийн эрхтэй хандалтыг бүртгэж, тухайн үйлдлийг хийсэн ажилтантай холбон тэмдэглэдэг. Бид байгууллагын өгөгдөлд арилжааны зорилгоор, сурталчилгаанд ашиглах зорилгоор, эсвэл дээр дурдсанаас өөр шалтгаанаар хандахгүй.

• Subscription идэвхтэй байх хугацаанд — Хувийн мэдээллийг тухайн компанийн subscription идэвхтэй байгаа хугацаанд хадгална. Та үйлчилгээний хэрэглэгч хэвээр байгаа үед мэдээлэл автоматаар устах хугацаа байхгүй.
• Subscription дууссаны дараа — Subscription дуусах эсвэл аккаунт устгагдсаны дараа хувийн мэдээллийг 90 хоногийн дотор устгах эсвэл нэргүйжүүлэх (anonymise) болно. Энэ хугацаа нь эцсийн мэдээлэл экспортлох, төлбөр тооцооны тохируулга хийх, эсвэл маргаан шийдвэрлэхэд шаардлагатай хугацааг олгох зорилготой.
• Аудит лог — Үйл ажиллагааны түүх (хэн, хэзээ, ямар IP хаягаас ямар үйлдэл баталсан гэх мэт) нь аккаунт хаагдсанаас хойш 3 жил хүртэл хадгалагдана. Учир нь аудит бүртгэл нь хөдөлмөрийн маргаан, хууль эрх зүйн нэхэмжлэл, эсвэл зохицуулах байгууллагын шалгалтын үед шаардлагатай байж болзошгүй.
• Хууль эрх зүйн шаардлагын дагуу өөрчлөх боломж — Компанийн администратор өөрийн орны хууль тогтоомж шаардсан тохиолдолд мэдээллийг илүү урт хугацаанд хадгалах хүсэлт гаргаж болно (жишээ нь зарим улсын хөдөлмөрийн хууль ажилтны бүртгэлийг 5–10 жил хадгалахыг шаарддаг).

Бид дараах салбарын стандарт хамгаалалтын арга хэмжээг ашигладаг:

• bcrypt ашиглан hash хийсэн нууц үг (plain text хадгалахгүй)
• 15 минутын хугацаатай access token ба эргэлдэх refresh token
• HTTPS/TLS encryption
• Role-based access control
• Мэдрэмтгий үйлдлийн бүрэн аудит лог

Ямар ч систем 100% аюулгүй байдлыг баталгаажуулах боломжгүй. Хэрэв өндөр эрсдэлтэй мэдээллийн зөрчил гарвал бид хуульд заасны дагуу хэрэглэгчдэд мэдэгдэнэ.

Таны оршин суугаа газрын хуулиас хамааран та дараах эрхүүдтэй байж болно:

• Access — бидний хадгалж буй таны мэдээллийн хуулбарыг авах
• Correction — буруу мэдээллийг засах
• Deletion — мэдээллийг устгуулах
• Portability — машин унших боломжтой хэлбэрээр мэдээллээ авах

Ажилтны мэдээллийг ихэвчлэн ажил олгогч (Company Admin) удирддаг. Тиймээс хөдөлмөрийн мэдээлэлтэй холбоотой хүсэлтийг ажил олгогчид хандана уу.

Веб аппликейшн нь нэвтрэлтийн session-ийг хадгалах HTTP-only cookie ашигладаг. Энэ cookie нь зөвхөн системийн ажиллагаанд шаардлагатай бөгөөд бусад вебсайт дээр таныг хянахгүй. Бид зар сурталчилгаа болон analytics cookie ашиглахгүй.

Бид энэхүү Нууцлалын бодлогыг үе үе шинэчилж болно. Чухал өөрчлөлт гарвал энэ хуудсанд шинэчилсэн бодлогыг нийтэлж, дээрх "Сүүлд шинэчилсэн" огноог шинэчилнэ. Өөрчлөлт хүчин төгөлдөр болсны дараа үйлчилгээ ашиглах нь шинэ бодлогыг зөвшөөрсөнд тооцогдоно.

Энэхүү Нууцлалын бодлоготой холбоотой асуулт, хүсэлт байвал: