Default logo
ProduktPriserLog indPrøv gratis
Home/juridisk/Tekniske og organisatoriske foranstaltninger (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Tekniske og organisatoriske foranstaltninger (TOM)

Introduktion

Deskhero AB (“vi,” “os,” eller “vores“) forpligter sig til at implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen ved behandling af personoplysninger for vores kunder (“du” eller “Kunde“), brugere og kunders kunder i overensstemmelse med EU's generelle forordning om databeskyttelse (GDPR) og andre gældende databeskyttelseslove.

Dette dokument skitserer de tekniske og organisatoriske foranstaltninger, vi har implementeret for at beskytte personoplysninger, der behandles via vores Software-as-a-Service (SaaS)-platform (“Service“), der udnytter vores AWS-infrastruktur.

1. Organisatoriske foranstaltninger

1.1 Databeskyttelsesstyring

  • Data Protection Officer (DPO):
    • Navn: Klas Karlsson
    • E-mail: dpo@deskhero.com
    • Telefon: +46 70 601 13 22

Ansvar:

  • Tilsyn med databeskyttelsesstrategi og compliance.
  • Overvågning af overholdelse af databeskyttelsespolitikker og -procedurer.
  • Fungere som kontaktpunkt for registrerede og tilsynsmyndigheder.

1.2 Politikker og procedurer

  • Databeskyttelsespolitikker:
    • Etablering af interne politikker for databeskyttelse, som regelmæssigt gennemgås og opdateres.
    • Politikkerne dækker datahåndtering, håndtering af brud, adgangskontrol og medarbejderansvar.
  • Medarbejderuddannelse:
    • Obligatoriske træningsprogrammer for alle medarbejdere om databeskyttelse, privatliv og informationssikkerhed.
    • Regelmæssige opdateringer om nye trusler og bedste praksis.
  • Fortrolighedsaftaler:
    • Medarbejdere og kontraktansatte skal underskrive fortroligheds- og tavshedserklæringer.

1.3 Adgangsstyring

  • Adgangskontrolpolitik:
    • Adgang til personoplysninger gives efter behovsprincippet.
    • Regelmæssig gennemgang af brugeradgangsrettigheder.
  • Autentificeringsmekanismer:
    • Brug af stærke adgangskoder og multifaktorautentifikation (MFA) til systemadgang.
    • Kontolåsepolitikker efter flere mislykkede loginforsøg.

1.4 Incident response

  • Incident response-plan:
    • Procedurer til at opdage, rapportere og reagere på sikkerhedshændelser.
    • Dedikeret incident response-team.
  • Underretningsprocedurer:
    • Forpligtelse til at underrette kunder og myndigheder om brud på persondatasikkerheden uden unødig forsinkelse.

1.5 Leverandørstyring

  • Due diligence:
    • Vurdering af underdatabehandlere for overholdelse af databeskyttelsesstandarder.
  • Kontrakter:
    • Sikring af, at aftaler med underdatabehandlere indeholder databeskyttelsesforpligtelser.

2. Tekniske foranstaltninger

2.1 Datakryptering

  • Under transmission:
    • Personoplysninger krypteres under transmission over offentlige netværk ved hjælp af TLS 1.2 eller højere.
  • I hvile:
    • Personoplysninger lagret i databaser og sikkerhedskopier krypteres ved hjælp af AWS-krypteringstjenester (f.eks. AES-256-kryptering for EBS-volumener, RDS-kryptering).

2.2 Netværkssikkerhed

  • AWS-infrastruktur:
    • Vores Service hostes på Amazon Web Services (AWS) og udnytter deres sikre infrastruktur og tjenester.
  • Firewalls og Security Groups:
    • AWS Security Groups bruges til at kontrollere ind- og udgående trafik til ressourcer og fungerer som virtuelle firewall'er på instansniveau.
  • Virtual Private Cloud (VPC):
    • AWS VPC er konfigureret til at isolere og sikre netværkstrafik.
    • Private subnets bruges til interne ressourcer for at sikre, at databaser og caches ikke eksponeres mod det offentlige internet.
  • AWS CloudFront og Application Load Balancer (ALB):
    • AWS CloudFront fungerer som content delivery network (CDN) og indgangspunkt, hvilket giver sikker og effektiv distribution.
    • AWS ALB distribuerer indgående trafik til Amazon ECS (Elastic Container Service)-containere, som hoster applikationen.
  • Indtrængningsdetektering og trusselsovervågning:
    • Selvom dedikerede IDS/IPS-systemer ikke anvendes, tilbyder AWS-tjenester funktioner til overvågning af netværkstrafik.

2.3 Systemsikkerhed

  • Sikker konfigurationsstyring:
    • Infrastrukturen administreres med Terraform, hvilket muliggør konsistente og sikre konfigurationer på tværs af miljøer.
  • Miljøseparering:
    • Separate miljøer til udvikling (“sandbox”), staging og produktion opretholdes for at teste kode- og infrastrukturændringer før udrulning.
  • Patch management:
    • Regelmæssige opdateringer og patches anvendes på operativsystemer og applikationer, med brug af AWS-tjenester og automatisering, hvor det er relevant.

2.4 Applikationssikkerhed

  • Sikre udviklingspraksisser:
    • Anvendelse af principperne i Secure Software Development Lifecycle (SSDLC).
    • Regelmæssige kodegennemgange, statisk kodeanalyse og sikkerhedstest udføres.
  • Penetrationstest:
    • Periodiske sikkerhedsvurderinger og sårbarhedsscanninger udføres, inklusive penetrationstest fra tredjeparter, hvor det er relevant.

2.5 Adgangskontrol

  • AWS Identity and Access Management (IAM):
    • Rollebasseret adgangskontrol (RBAC) håndhæves ved hjælp af AWS IAM-roller og -politikker.
    • Adgang til AWS-ressourcer gives efter princippet om mindst privilegium.
  • Multi-factor authentication (MFA):
    • MFA er påkrævet for al administrativ adgang til AWS administrationsgrænseflader.
  • Logging og overvågning:
    • AWS CloudTrail bruges til at logge API-kald og handlinger i AWS-miljøet.
    • AWS CloudWatch overvåger logs og metrics for anomalier.

2.6 Databackup og -gendannelse

  • Regelmæssige backups:
    • Automatiske sikkerhedskopier af databaser udføres ved hjælp af AWS RDS' automatiske backupfunktioner.
  • Krypterede backups:
    • Backupdata krypteres i hvile med AWS Key Management Service (KMS).
  • Disaster recovery-plan:
    • Der er dokumenterede procedurer for datagendannelse og servicekontinuitet.
  • Test af gendannelsesprocesser:
    • Regelmæssig test af gendannelses- og recoveryprocedurer for backups udføres.

2.7 Fysisk sikkerhed

  • AWS-datacentre:
    • Fysiske sikkerhedskontroller håndteres af AWS, herunder:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • AWS-compliance:
    • AWS-datacentre overholder branchestandarder såsom ISO 27001, SOC 1/2/3, hvilket understøtter vores compliance-indsats.

2.8 Endpointsikkerhed

  • Enhedssikkerhedspolitikker:
    • Virksomhedens enheder er sikret med:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Fjernadgang:
    • Sikre VPN-forbindelser er påkrævet for fjernadgang til interne systemer, hvor det er relevant.
  • Fjernsletningsmuligheder:
    • Mulighed for fjernsletning af virksomhedens enheder i tilfælde af tab eller tyveri.

2.9 Logging og overvågning

  • Omfattende logging:
    • Detaljerede logs over systemaktiviteter, adgangslogs og fejllogs opretholdes.
  • Sikkerhedsovervågning:
    • Realtidsovervågning af sikkerhedshændelser med AWS-tjenester som CloudWatch og GuardDuty.
  • Alarmering:
    • Automatiske alarmer er konfigureret for mistænkelig aktivitet eller sikkerhedshændelser.

2.10 Dataminimering og pseudonymisering

  • Dataminimering:
    • Indsamling og behandling af kun de personoplysninger, der er nødvendige til de angivne formål.
  • Pseudonymisering og anonymisering:
    • Hvor det er relevant, pseudonymiseres eller anonymiseres personoplysninger for at reducere risikoen for registrerede.

3. Regelmæssige tests og vurderinger

  • Sårbarhedsscanning:
    • Regelmæssig automatiseret scanning af systemer for at opdage sårbarheder ved hjælp af værktøjer, der er kompatible med AWS-miljøer.
  • Sikkerhedsrevisioner:
    • Periodiske sikkerhedsrevisioner og vurderinger udføres for at evaluere effektiviteten af sikkerhedsforanstaltninger.
  • AWS Well-Architected-gennemgange:
    • Regelmæssige gennemgange med AWS Well-Architected Framework for at sikre, at best practices følges.

4. Overholdelse af standarder

  • Lovmæssig compliance:
    • Overholdelse af GDPR og andre gældende databeskyttelseslove.
  • Justering til best practices:
    • Tilpasning af sikkerhedspraksis til branchens bedste praksis og retningslinjer, herunder:
  • AWS Security Best Practices.
    • NIST Cybersecurity Framework.

5. Databeskyttelse gennem design og som standard

  • Privacy Impact Assessments (PIA'er):
    • Udføres for nye behandlingsaktiviteter eller væsentlige ændringer af eksisterende processer.
  • Sikre standardindstillinger:
    • Systemer og applikationer er konfigureret, så der som standard kun behandles nødvendige personoplysninger.

6. Bevidsthed og træning

  • Medarbejderuddannelse:
    • Regelmæssige træningssessioner om databeskyttelsespolitikker, procedurer og bedste praksis, inklusive AWS-specifik sikkerhedstræning.
  • Sikkerhedsbevidsthedsprogrammer:
    • Løbende initiativer til at fremme en kultur af sikkerhed og privatliv i organisationen.

7. Underdatabehandleres sikkerhed

  • AWS Shared Responsibility Model:
    • Forståelse af og efterlevelse af AWS Shared Responsibility Model, hvor AWS er ansvarlig for sikkerheden “af” skyen, og vi er ansvarlige for sikkerheden “i” skyen.
  • Leverandørstyring:
    • Regelmæssige vurderinger af underdatabehandlere for at sikre, at de opfylder vores sikkerheds- og compliancekrav.

8. Incident management

  • Detektion og rapportering:
    • Systemer på plads til hurtigt at opdage sikkerhedshændelser ved hjælp af AWS-overvågningstjenester.
  • Reaktionsprocedurer:
    • Definerede trin for inddæmning, udrydning, genopretning og kommunikation.
  • Underretningsforpligtelser:
    • Procedurer til at underrette kunder og myndigheder om brud på persondatasikkerheden uden unødig forsinkelse.

9. Dataopbevaring og -sletning

  • Dataopbevaringspolitikker:
    • Personoplysninger opbevares kun så længe, det er nødvendigt for de formål, de blev indsamlet til, eller som loven kræver.
  • Sikker sletning:
    • Ved udløb af opbevaringsperioden slettes eller anonymiseres personoplysninger sikkert.
  • Anmodninger om datasletning:
    • Processer på plads til at håndtere registreredes anmodninger om sletning i overensstemmelse med GDPR.

10. Kontaktoplysninger

Hvis du har spørgsmål eller bekymringer vedrørende vores tekniske og organisatoriske foranstaltninger, bedes du kontakte vores Data Protection Officer (DPO):

  • Navn: Klas Karlsson
  • E-mail: dpo@deskhero.com
  • Telefon: +46 70 601 13 22

Bemærk: Dette dokument kan blive opdateret fra tid til anden for at afspejle ændringer i vores sikkerhedspraksis. Vi vil underrette kunder om væsentlige ændringer som beskrevet i vores Privatlivspolitik og Databehandleraftale.