Проверка биографических данных с соблюдением конфиденциальности кандидата

Меня попросили разрешить проверку биографических данных. Компания, выполняющая проверку, называется GoodHire. Их авторизационное письмо было довольно безобидным. В нем говорилось, что кандидат санкционировал проверку. Когда я проверил политику конфиденциальности GoodHire, я обнаружил, что она непристойна . Компания предоставила список способов, которыми они собирались делиться личной информацией с другими, которые не были разрешены в письме.

Очень подлый. Я отказался от авторизации.

Компании и мне теперь нужно найти способ выполнить проверку биографических данных, которая уважает конфиденциальность кандидата. В частности, предоставленная информация предназначена для проверки биографических данных и не более того. Никакое дополнительное использование не одобрено, а также утечка информации внешним сторонам или обмен информацией с брокерами данных.

Как получить проверку биографических данных, которая не приведет к утечке информации внешним компаниям или обмену информацией с брокерами данных?

Я почти уверен, что это можно сделать. В прошлом у меня были допуски как Public Trust, так и Top Secret, и ни один из них не был связан с утечкой информации внешним сторонам. Я просто не знаю, как добиться такого же уровня добросовестности за пределами Федерального агентства США или Министерства обороны США.

Спасибо @Джо. Компания и я на одной волне. У нас возникли проблемы с поиском компании для проведения проверки биографических данных на разумных условиях. Знаете ли вы, какую компанию или фирму использует Федеральное управление США или Министерство обороны США? Я предполагаю, что кто-то с опытом работы с персоналом в вертикали, вероятно, знает.
@JoeStrazzere «Оборонная деятельность, известная как Управление по проверке промышленной безопасности Министерства обороны (DISCO), является частью Службы безопасности обороны (DSS), агентства DISCO, которое обрабатывает и выносит решения по допуску персонала». Military.com/veteran-jobs/security-clearance-jobs/…
«в прошлом, и ни одна из них не включала утечку информации внешним сторонам». - Если у вас есть допуск к секретной и совершенно секретной информации, значит, ваша информация просочилась к внешним сторонам (утечка данных OPM, которая затронула всех сотрудников Министерства обороны). Предыдущий комментарий о том, что Министерство обороны США проводит собственные проверки биографических данных через OPM, действительно верен. Кстати, связанная страница не является точной информацией для прямых государственных служащих (поэтому она не применима к прошлой работе автора (DoD).
Какую часть вы находите столь нежелательной? Похоже, что они делятся PII «с нашими поставщиками услуг, но только в той мере, в какой это необходимо для предоставления вам услуг», что верно буквально для любой компании, которая не владеет 100% собственной инфраструктуры. Если они используют AWS, GCP, Rackspace или любую другую хостинговую компанию для запуска своих серверов, им нужно что-то подобное. Министерство обороны, безусловно, может и использует большую часть своей собственной инфраструктуры, но большинство компаний этого не делает.

Ответы (4)

Эта политика конфиденциальности совершенно нормальна. У вас необоснованные стандарты.

Вот раздел, который, как мне кажется, лучше всего описывает то, что они делают.

Таблица обмена информацией из политики конфиденциальности

Первые две строки — это личная информация кандидата, и с этой информацией я бы был осторожен. Первая строка — это информация о вашей учетной записи, и они делятся ею только с теми, с кем напрямую предоставляют услуги. Например, если они используют третье лицо для размещения своего веб-сайта, тогда ваша информация должна быть предоставлена ​​третьему лицу для создания учетной записи. Вероятно, аналогичный пункт есть для любого веб-сайта, на котором вы создаете учетную запись пользователя.

Вторая строка — это ваше государственное удостоверение личности, которое, безусловно, конфиденциально, но они делятся им только для того, чтобы подтвердить вашу личность. Если они не знают, кто вы, то они не могут проверить биографические данные. Там действительно нет никакого способа обойти это.

Последние три строки — это вся информация, которую собирает почти любой веб-сайт, просто когда вы посещаете его. Если вы беспокоитесь о том, что эта информация просочится наружу, вам, вероятно, следует прекратить читать это и вообще выйти из Интернета.

Я не эксперт по безопасности, так что не стесняйтесь проверять это на Security SE , но я думаю, вы получите очень похожий ответ. Единственный способ обойти эти «утечки» данных — это самостоятельно проверить биографические данные.

Спасибо @David. Мне не понравилось то, что мелким шрифтом написано «наши поставщики услуг». Они делятся информацией со своей материнской компанией и своими партнерами, которые могут свободно делиться со своими партнерами, до бесконечности . Они действительно должны называть это Политикой совместного использования , а не Политикой конфиденциальности . Добро пожаловать в Соединенные Штаты корпоративной Америки, я полагаю...
@jww Где сказано, что они могут свободно делиться этим со своими партнерами до бесконечности? Для материнской компании данные хранятся на их серверах. Третьи стороны «обязаны защищать вашу информацию и использовать ее только для предоставления описанных услуг».
Еще раз спасибо @David. «Единственный способ обойти эти «утечки» данных — это самостоятельно проверить биографические данные» — Да, в основном мы пришли к одному и тому же выводу. Я отправил ссылки на компании в администрацию автотранспортных средств и отдел фоновых расследований, предоставленные штатами, в которых я жил. Мы сами закажем отчеты. Вроде и дешевле будет.
Что касается «не стесняйтесь проверить это в Security SE ...» - у меня действительно есть некоторый опыт в этой области. Я работал архитектором безопасности в US Financial для трех инвестиционных банков (среди других вертикалей, таких как DoD). Я точно знаю, что здесь происходит, потому что я просмотрел эти системы. Я также помогал техническому редактированию книги Peter Gutmann Engineering Security , одной из двух книг, посвященных построению безопасных систем. Мои стандарты соразмерны моим знаниям. Они не являются произвольными или необоснованными.
В словах «наши поставщики услуг» нет мелкого шрифта, о чем, черт возьми, вы говорите?
@DetectivePikachu - пропингуйте меня в автономном режиме через noloader , учетную запись gmail. Я поделюсь своей электронной почтой с GoodHire и их ответом. Моя просьба была довольно проста. Он запросил подробный список поставщиков, точную информацию, которая будет передана каждому поставщику, и запросил положительное подтверждение того, что информация не будет передана другим поставщикам, а партнеры не будут делиться какой-либо информацией. GoodHire не ответила на вопросы и не подтвердила отсутствие дополнительного обмена информацией. Это, конечно, не следует называть Политикой конфиденциальности .

TLDR: это довольно стандартно, и у них нет разрешения продавать вашу личную информацию, используемую для проверки биографических данных.

Как человек, работающий в индустрии проверки биографических данных, то, что я говорю «надеюсь», будет иметь определенный вес.

Если вы находитесь в Соединенных Штатах, FCRA (Федеральный закон о кредитной отчетности) распространяется на права лиц, чье прошлое проверяется. FCRA имеет строгие правила, которых необходимо придерживаться, включая раскрытие информации о том, как будет использоваться информация и какая информация может быть передана. Goodhire аккредитована и соответствует требованиям FCRA, что нелегко сделать и требует строгого соблюдения FCRA, а также проверок для обеспечения соответствия требованиям FCRA.

FCRA был разработан для защиты потребителей, и CRA (например, Goodhire) штрафуются минимум на 1000 долларов за каждое нарушение FCRA. Это настоятельно отговаривает их от неправильного использования ваших данных. Многие судебные иски против CRA превращаются в групповые иски, и их базы данных и системы тщательно изучаются, чтобы увидеть, есть ли какие-либо другие нарушения, когда они будут обнаружены. Таким образом, либо ваши данные защищены, либо вы можете участвовать в многомиллионном урегулировании (например, недавнем урегулировании Equifax).

Большинство CRA используют или интегрированы с ATS (системой отслеживания кандидатов). Goodhire может быть и тем, и другим, но часто CRA делится PII с ATS и наоборот, чтобы завершить проверку биографических данных. Поставщики данных — еще одна третья сторона, которую используют большинство CRA. Эти поставщики хранят сведения о судимости, сведения о вождении и т. д., и для выполнения своей работы им необходимо предоставить вашу личную информацию. И ATS, и CRA подчиняются одним и тем же правилам и положениям FCRA в отношении использования данных.

Надеюсь, эта помощь немного прояснит ситуацию для вас.

+1 Отличный ответ с хорошим опытом в поддержку!
Спасибо @Ник. Я, наверное, лукавлю, но я не сказал "продам" , я сказал "поделюсь" . В документации сайта четко указано, что они это делают, хотя это не указано в форме авторизации.
Совместное использование вашей PII, на которую они ссылаются, будет осуществляться через поставщиков, системы ATS и CRA. Другие данные, такие как ваши данные просмотра, — это данные, которые уже существуют в их системе. Для моих целей выше вы можете заменить «продать» на «долю». Их раздел обмена довольно стандартный и включает PII только тогда, когда это необходимо для продолжения проверки биографических данных. С аккредитацией FCRA я бы не стал сильно волноваться. Многие компании требуют сертификаты FCRA, чтобы нанять CRA для проверки биографических данных, и они не захотят его потерять. (В общем, конечно.)

Как прокомментировал @David: «Единственный способ обойти эти «утечки» данных — это самостоятельно проверить биографические данные» . Мы пришли к такому же выводу, и это то, что мы решили сделать. Дополнительным преимуществом является то, что чеки стоят около 75 долларов США. Это была небольшая часть цены, которую взимали эти фирмы «HR как услуга» .

Я предоставлю подробности здесь для других, у которых есть подобные проблемы и проблемы. Это также предполагает обычную историю работы и проверки рекомендаций, поскольку отделы кадров все еще делают это.

Во-первых, получите неофициальный список резиденций от кандидата. В моем случае я жил в Атланте, штат Джорджия, в Нью-Йорке, штат Нью-Йорк, и в Балтиморе, штат Мэриленд.

Во-вторых, проведите быструю дымовую проверку кандидата, посетив онлайн-поиск судебных дел. В моем случае поиск судебного дела можно выполнить по адресу:

В-третьих, подтвердите место жительства, используя записи о транспортных средствах. Записи о транспортных средствах можно найти на сайте администрации.

В-четвертых, для каждого штата запросите у штата проверку биографических данных. В моем случае это государственные сайты.

Проверка биографических данных осуществляется бесплатно или по разумной цене. Например, Нью-Йорк не взимает плату за записи, а Мэриленд берет 18 долларов за проверку биографических данных штата и предоставляет полную проверку криминального прошлого бесплатно.

На данный момент мы не уверены, как поступить с финансовой отчетностью. Я попытался получить отчет о потребительском кредите в соответствии с FCRA после того, как несколько лет назад меня предупредили о мошенничестве. Я запросил отчет по телефону, а затем в письменной форме. Ни одна просьба не была выполнена. (Не верьте той чуши, которую вы читали про FCRA. Могу точно сказать, что их не дадут).

При минимальных затратах и ​​усилиях относительно легко обеспечить, чтобы брокеры данных не получали и не распространяли личную информацию о ком-либо. Брокеры данных, вероятно, могут предоставить более подробную информацию, например, какие начинки я предпочитаю для своего ванильного мороженого, но здесь они не нужны.

Я читаю политики, которые вы предоставили в разделе «Когда мы делимся вашей информацией» , и ни одна из них не звучит так уж плохо. Я думаю, вы неправильно понимаете это и думаете, что компания может волей-неволей использовать данные PII. Вместо этого, насколько я понимаю, они будут хранить данные, необходимые для ведения бизнеса и оплаты. Это верно для любого веб-сайта, который вы посещаете, даже Amazon отслеживает вашу информацию, и даже Stackoverflow отслеживает наше использование прямо сейчас. Они, вероятно, продают эти данные другим людям, пока мы говорим. Ничего страшного, и сомнительно, даже с учетом вашего имени, что из такой информации можно сделать какой-либо значимый вывод.

Я думаю, отнести соглашение к юристам вашей компании и спросить их, в пределах разумного. Это скорее юридический вопрос контракта, чем вопрос рабочего места.

Однако вы имеете право быть параноиком. Дело в том, что несколько крупных компаний недавно обнаружили конфиденциальные базы данных, доступные в открытом облачном пространстве, к которым любой может подключиться и запросить. Но на то и существует кредитная защита и прочее, что неподконтрольно простой следственной компании.

Проверка биографических данных с соблюдением конфиденциальности кандидата
СпросиСетьПолитика конфиденциальности1y, 0v