IT-säkerhetsrutiner

Datasäkerhet och integritet

Vi prioriterar datasäkerhet och integritet, därför har vi ett system för informationssäkerhet och ett omfattande ramverk för informationssäkerhetspolicy. Vi är certifierade enligt ISO27001 sedan 2018.

Systemet för informationssäkerhet och integritetshantering styrs av vår VD och stöds av vår Data Protection Officer (DPO) och Chief Information Security Officer (CISO). 

Vårt ramverk för informationssäkerhet inkluderar informationsklassificering, affärskontinuitet, katastrofåterställning, säkerhetskopiering, åtkomsthantering, risk- och incidenthantering, kryptering och säker utveckling.

Dataintegritet

Vi förstår och respekterar vikten av datasekretess och följer den allmänna dataskyddsförordningen (GDPR). Vi behandlar endast personuppgifter för legitima ändamål och med lämpliga skyddsåtgärder. Utöver GDPR omfattas även vissa av de personuppgifter vi behandlar för våra kunder av lagstiftning om banksekretess eller liknande lagstiftning. Vi har åtagit oss att styra integriteten i enlighet med detta.

Informationssäkerhetsåtgärder

För att förhindra obehörig eller olaglig åtkomst, användning, avslöjande, modifiering eller förstörelse av data implementerar vi olika tekniska och organisatoriska åtgärder, såsom:

• Lagring och bearbetning av data på flera platser inom Europa för att säkerställa tillgänglighet och motståndskraft.
• Kryptera data vid överföring och i lagring med hjälp av avancerade krypteringsstandarder och protokoll.
• Genomför starka lösenordspolicyer och multifaktorautentisering för alla våra användare och system.
• Använda anti-malware, brandvägg, IPS och DDoS skyddsverktyg för att upptäcka och blockera all skadlig eller misstänkt aktivitet.
• Säkerhetskopiera data regelbundet och lagra den på geografiskt redundanta platser med kryptering och åtkomstkontroll.
• Tilldela olika åtkomsträttigheter och behörighetsnivåer till andra användare och grupper baserat på deras roller och ansvar.
• Begränsning av serveråtkomst till behörig personal endast genom en jump host, MFA och dedikerad VPN.
• Applicera säkerhetskorrigeringar och uppdateringar på alla våra enheter och system.
• Tillämpa policyer för inaktiv timeout för VPN, klienter, applikationer och servrar.
• Tillhandahålla utbildningar och skickar ut frågor för säkerhetsmedvetenhet till all vår personal årligen.
• Utbilda våra utvecklare i OWASPs topp 10 säkerhetsrisker för webbapplikationer och hur man förhindrar dem.
• Skanna vår kod efter eventuella fel, sårbarheter eller kvalitetsproblem före implementering.
• Genomföra regelbundna penetrationstester och sårbarhetsskanning av externa och interna experter.
• Separera olika funktioner och uppgifter mellan olika personal för att förhindra intressekonflikter, bedrägerier eller fel.
• Genomföra interna och externa säkerhetsrevisioner för att verifiera effektiviteten av våra säkerhetskontroller och efterlevnad av relevanta standarder och föreskrifter.
• Ett dedikerat incidentresponsteam och ett säkerhetsoperationscenter som övervakar, analyserar, svarar, rapporterar och eskalerar alla säkerhetshändelser eller problem 24/7/365.
• Tillåter endast åtkomst till våra system och applikationer från betrodda IP-adresser eller domäner.