Websoft HCM

Основные статьи:

• Классификация HRM-систем
• Функционал HRM-систем
• Технологии дистанционного обучения

Платформа Websoft HCM (созданная на основе продукта WebTutor) позволяет не только автоматизировать отдельные процессы, но и построить систему аналитики и поддержки принятия решений в области кадровой политики.

2024: Обнаружение пяти уязвимостей

Команда анализа защищенности веб-приложений BI.ZONE во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor). Об этом BI.Zone сообщила 5 февраля 2024 года. Система предназначена для создания корпоративных HR-порталов и автоматизации бизнес-процессов, связанных с управлением персоналом.

Команда BI.ZONE оперативно связалась с разработчиком системы — компанией WebSoft. Итогом взаимодействия команд стал выпуск обновления, в котором разработчики исправили уязвимость нулевого дня. Остальные четыре уязвимости были исправлены ранее и не являлись эксплуатируемыми в актуальной версии ПО. BI.ZONE обратилась во ФСТЭК России для регистрации всех уязвимостей в Банке данных угроз безопасности информации: BDU:2024-00878, BDU:2023-08666, BDU:2024-00755, BDU:2024-00756, BDU:2024-00757. Российский рынок цифровизации телекома: ключевые тренды и ИТ-поставщики. Обзор TAdviser 5.3 т

BI.ZONE обеспечила безопасность своих клиентов: команда BI.ZONE CPT доработала настройки сканеров для мониторинга уязвимостей в инфраструктуре компаний, а команда BI.ZONE WAF создала правила для защиты от эксплуатации брешей. Это также поможет детектировать обнаруженные уязвимости в рамках сервиса BI.ZONE TDR.

BDU:2024-00878 — 9,9 из 10 баллов по шкале CVSS

Критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Таким образом, атакующий, который имеет доступ к учетной записи пользователя, может получить полный доступ к серверу. Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023.1.827.

BDU:2024-00755 — 9,9 из 10 баллов по шкале CVSS

Уязвимость аналогична предыдущей по наносимому организациям урону. Она позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб-приложением. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).

BDU:2023-08666 — 7,5 из 10 баллов по шкале CVSS

Уязвимость позволяет злоумышленникам создать новую учетную запись пользователя, даже если у них нет достаточных привилегий. При совместной эксплуатации BDU:2023-08666 с BDU:2024-00755 или BDU:2024-00878 атакующие могут захватить сервер жертвы без учетной записи в системе. Уязвимость актуальна для всех версий до 2020.4.3 (266) REL (Websoft HCM).

BDU:2024-00756 — 7,5 из 10 баллов по шкале CVSS

Уязвимость может быть использована для чтения файлов, которые хранятся в файловой системе веб-сервера. Уязвимость возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения необходимых проверок. Уязвимости подвержены версии продукта до 2022.1.3.451. (Websoft HCM).

BDU:2024-00757 — 5,4 из 10 баллов по шкале CVSS

Уязвимость может использоваться для выполнения произвольного вредоносного кода в контексте браузера жертвы. Для проведения атаки необходимо спровоцировать жертву перейти по специальной ссылке. В результате у атакующего появляется возможность менять содержимое отображаемых веб-страниц, перехватывать сессии пользователя, а также выполнять запросы от его имени. Уязвимость затрагивает версии до 2022.1.3.451 (Websoft HCM).

Уязвимости BDU:2023-08666, BDU:2024-00756 и BDU:2024-00757 могут быть проэксплуатированы внешним атакующим без учетной записи в системе. Для тех организаций, которые используют Websoft HCM во внутреннем периметре, наиболее опасными остаются уязвимости BDU:2024-00755 и BDU:2024-00878, эксплуатация которых возможна от имени пользователя системы.

Уязвимости обнаружила команда BI.ZONE под руководством Дениса Погонина, старшего специалиста отдела анализа защищенности приложений. Сразу после этого мы передали информацию смежным подразделениям. Сообща начали оперативную работу над правилами обнаружения уязвимостей и блокирования атак с их эксплуатацией. Мы автоматически применили созданные правила для наших клиентов еще до появления в публичном доступе информации об уязвимостях. Именно благодаря слаженной работе отделов внутри компании BI.ZONE быстро реагирует на угрозы и защищает от них клиентов, сказал Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.

2022: HR-сервисы и технологии Websoft HCM

HR-сервисы

HR-сервисы в Websoft HCM — это понятные действия, понятное визуальное представление и оптимальный сервис для сотрудников:

• Кадровый электронный документооборот
• Управление рабочими графиками
• Управление отпусками
• Кафетерий льгот
• HR helpdesk

Технологии

Websoft HCM может быть развернута на серверах заказчика, а также в "облаке" (SaaS).

По информации на июнь 2022 года Websoft HCM внедрена в разных компаниях, в том числе с количеством сотрудников более 100 000 человек. Компания WebSoft поддерживает технологии, позволяющие обслуживать внедрения с десятками автоматизированных процессов и десятками тысяч активных пользователей.

Интеграционные решения и API: платформа Websoft HCM с помощью встроенных инструментов позволяет настроить интеграцию с ИТ-инфраструктурой заказчика и бизнес-системами.

WebSoft предоставляет пользователям платформы целый ряд LowCode/Nocode-инструментов разработки.

Websoft HCM — платформа, открытая для разработчиков. Если доработка ведется в соответствии с правилами, то в системе можно настроить/доработать любой процесс и интерфейс, а система при этом остается "коробочной".

Возможности системы доступны пользователям мобильных устройств.

Websoft оказывает клиентам стандартную (HelpDesk) и расширенную (ServiceDesk) техническую поддержку. Когда сотрудников компании нет на связи (во внерабочее время), на помощь приходит чат-бот, который никогда не спит.

Готовые решения

За годы работы над платформой компания Websoft накопила большой опыт автоматизации типовых HR-процессов. На их основе она создала инструменты, позволяющие с минимальными затратами для заказчика перевести процессы в digital-формат.

Компания предлагает заказчикам методологию типовых внедрений и библиотеку готовых решений.

2021: Human Capital Management (HCM) — что это такое и в чем отличие от других HR-систем?

Управление персоналом включает в себя множество различных процессов: кадровый учет и расчет заработной платы, обучение, оценка, карьерное планирование, сервисы самообслуживания для сотрудников и процессов. HR-системы можно разделить на несколько классов в зависимости от функциональности, которую они предлагают. Подробнее здесь.

2017

2016: Описание системы WebTutor

По информации на июль 2016 года WebTutor — система комплексной автоматизации бизнес-процессов, связанных с подбором, оценкой, тестированием и обучением персонала, систематизацией и хранением знаний, а также с управлением и взаимодействием между сотрудниками и HR-подразделением. Она может быть использоваться как в корпоративной интрасети, так и в сети Интернет по модели SaaS.

Автоматизированная система управления талантами (TMS) — информационная система, сопровождающая все процессы работы с сотрудником, начиная с подбора и адаптации, через обучение, оценку и развитие для того, чтобы оптимально построить карьеру сотрудника в компании

В основе технологии – создание корпоративного учебного портала или HR-портала, с помощью которого каждый сотрудник компании может получить доступ к сервисам системы и информационным ресурсам. Систему WebTutor отличает модульный подход, позволяющий создавать на базе набора программных модулей настраиваемые системы, функционал которых зависит от задач, стоящих перед заказчиком. В результате внедрения системы заказчик получает портал, который может быть доступен как в сети Интернет, так и в корпоративной сети. На основе портала WebTutor может быть построена система дистанционного обучения и тестирования или полноценный HR-портал, автоматизирующий все процессы корпоративного обучения и управления талантами.

WebTutor является российской системой класса Talent Management / Human Capital Management, причем функционал для автоматизации HR-процессов интегрирован с функционалом LMS (Learning Management System).

Портал предоставляет пользователям (сотрудникам компании, ее партнерам или клиентам) сервисы, позволяющие решить спектр задач:

• Автоматизация подбора персонала
• Создание карьерного сайта компании
• Формирование программ адаптации новых сотрудников
• Организация дистанционного обучения с помощью электронных учебных курсов и вебинаров
• Тестирование сотрудников
• Автоматизация процессов, связанных с очным обучением
• Информирование сотрудников обо всех формах корпоративного обучения, ознакомление с календарем учебных мероприятий, сбор заявок на обучение, сбор обратной связи, проведение опросов, общение на форумах
• Формирование электронной библиотеки и базы знаний компании
• Информирование сотрудников об HR-политике компании (новости, статьи, документы)
• Оценка персонала и управление эффективностью (оценка компетенций, постановка и оценка целей, оценка по KPI и другие виды оценочных процедур)
• Формирование кадрового резерва, формирование программ развития, планирование преемственности, поиск талантов
• Построение корпоративной социальной сети

Система продается или предлагается в аренду на различных условиях в зависимости от потребностей клиента. Предусмотрена как возможность размещения системы на серверах клиента, так и в облачной платформе Microsoft Azure.

Система может быть интегрирована с основными элементами ИТ-инфраструктуры заказчика - системой учета персонала, EPR-системой, системами учета пользователей, корпоративной почтовой системой и т.п. Интеграция позволяет сделать внедрение и эксплуатацию системы максимально эффективными.