Default logo
ProduktPriserLogg innPrøv gratis
Home/juridisk/Tekniske og organisatoriske tiltak (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Tekniske og organisatoriske tiltak (TOM)

Introduksjon

Deskhero AB («vi», «oss» eller «vår») er forpliktet til å implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen knyttet til behandling av personopplysninger for våre Kunder («du» eller «Kunde»), brukere og kundens kunder, i samsvar med EUs personvernforordning (GDPR) og annen gjeldende personvernlovgivning.

Dette dokumentet beskriver de tekniske og organisatoriske tiltakene vi har implementert for å beskytte personopplysninger som behandles gjennom vår Software-as-a-Service (SaaS)-plattform («Tjeneste»), som bygger på vår AWS-infrastruktur.

1. Organisatoriske tiltak

1.1 Styring av databeskyttelse

  • Personvernombud (DPO):
    • Navn: Klas Karlsson
    • E-post: dpo@deskhero.com
    • Telefon: +46 70 601 13 22

Ansvar:

  • Overvåker strategi og etterlevelse innen databeskyttelse.
  • Overvåker etterlevelse av databeskyttelsespolicyer og prosedyrer.
  • Fungerer som kontaktpunkt for registrerte og tilsynsmyndigheter.

1.2 Retningslinjer og prosedyrer

  • Retningslinjer for databeskyttelse:
    • Etablerer interne retningslinjer for databeskyttelse som jevnlig gjennomgås og oppdateres.
    • Retningslinjene omfatter datahåndtering, håndtering av brudd, tilgangskontroll og ansattes ansvar.
  • Ansatteopplæring:
    • Obligatoriske opplæringsprogrammer for alle ansatte om databeskyttelse, personvern og informasjonssikkerhet.
    • Regelmessige oppdateringer om nye trusler og beste praksis.
  • Konfidensialitetsavtaler:
    • Ansatte og leverandører må signere konfidensialitets- og taushetserklæringer.

1.3 Tilgangsstyring

  • Tilgangskontrollpolicy:
    • Tilgang til personopplysninger gis etter behovsprinsippet.
    • Regelmessige gjennomganger av brukertilganger.ac
  • Autentiseringsmekanismer:
    • Bruk av sterke passord og multifaktorautentisering (MFA) for systemtilgang.
    • Kontolåsing etter flere mislykkede påloggingsforsøk.

1.4 Hendelsesrespons

  • Plan for hendelsesrespons:
    • Prosedyrer for å oppdage, rapportere og håndtere sikkerhetshendelser.
    • Dedikert hendelsesrespons­team.
  • Varslingsprosedyrer:
    • Plikt til å varsle kunder og myndigheter om brudd på personopplysninger uten unødig forsinkelse.

1.5 Leverandørhåndtering

  • Aktsomhetsvurdering:
    • Vurdering av underbehandlere for samsvar med krav til databeskyttelse.
  • Kontrakter:
    • Sikrer at avtaler med underbehandlere inkluderer forpliktelser om databeskyttelse.

2. Tekniske tiltak

2.1 Datakryptering

  • Under overføring:
    • Personopplysninger krypteres under overføring over offentlige nettverk med TLS 1.2 eller høyere.
  • I hvile:
    • Personopplysninger lagret i databaser og sikkerhetskopier krypteres med AWS-krypteringstjenester (f.eks. AES-256 for EBS-volumer, RDS-kryptering).

2.2 Nettverkssikkerhet

  • AWS-infrastruktur:
    • Tjenesten vår hostes på Amazon Web Services (AWS) og benytter deres sikre infrastruktur og tjenester.
  • Brannmurer og Security Groups:
    • AWS Security Groups brukes til å kontrollere inn- og utgående trafikk til ressurser og fungerer som virtuelle brannmurer på instansnivå.
  • Virtual Private Cloud (VPC):
    • AWS VPC er konfigurert for å isolere og sikre nettverkstrafikk.
    • Private subnett brukes for interne ressurser, slik at databaser og hurtigbuffer ikke eksponeres mot internett.
  • AWS CloudFront og Application Load Balancer (ALB):
    • AWS CloudFront fungerer som innholdsleveringsnettverk (CDN) og inngangspunkt, og gir sikker og effektiv distribusjon.
    • AWS ALB fordeler innkommende trafikk til Amazon ECS-containere som kjører applikasjonen.
  • Innbruddsdeteksjon og trusselovervåking:
    • Selv om dedikerte IDS/IPS-systemer ikke benyttes, tilbyr AWS-tjenester funksjoner for overvåking av nettverkstrafikk.

2.3 Systemsikkerhet

  • Sikker konfigurasjonsstyring:
    • Infrastrukturen administreres med Terraform, noe som sikrer konsistente og sikre konfigurasjoner på tvers av miljøer.
  • Miljøseparasjon:
    • Separate miljøer for utvikling («sandbox»), staging og produksjon opprettholdes for å teste kode- og infrastrukturendringer før produksjonssetting.
  • Patch-håndtering:
    • Regelmessige oppdateringer og sikkerhetsfiksinger installeres på operativsystemer og applikasjoner, med bruk av AWS-tjenester og automasjon der det er mulig.

2.4 Applikasjonssikkerhet

  • Sikre utviklingspraksiser:
    • Innføring av prinsippene for Secure Software Development Lifecycle (SSDLC).
    • Regelmessige kodegjennomganger, statisk kodeanalyse og sikkerhetstesting gjennomføres.
  • Penetrasjonstesting:
    • Periodiske sikkerhetsvurderinger og sårbarhetsskanning utføres, inkludert penetrasjonstesting fra tredjepart der det er relevant.

2.5 Tilgangskontroll

  • AWS Identity and Access Management (IAM):
    • Rollebasert tilgangskontroll (RBAC) håndheves ved hjelp av AWS IAM-roller og -policyer.
    • Tilgang til AWS-ressurser gis etter prinsippet om minste privilegium.
  • Multi-faktorautentisering (MFA):
    • MFA kreves for all administrativ tilgang til AWS-grensesnitt.
  • Logging og overvåking:
    • AWS CloudTrail brukes til å logge API-kall og handlinger i AWS-miljøet.
    • AWS CloudWatch overvåker logger og metrikk for avvik.

2.6 Sikkerhetskopiering og gjenoppretting

  • Regelmessige sikkerhetskopier:
    • Automatiserte sikkerhetskopier av databaser utføres med AWS RDS sine automatiske backup-funksjoner.
  • Krypterte sikkerhetskopier:
    • Sikkerhetskopidata krypteres i hvile med AWS Key Management Service (KMS).
  • Gjenopprettingsplan ved katastrofe:
    • Dokumenterte prosedyrer for datagjenoppretting og tjenestekontinuitet er på plass.
  • Testing av gjenopprettingsprosesser:
    • Regelmessig testing av prosedyrene for gjenoppretting fra sikkerhetskopier gjennomføres.

2.7 Fysisk sikkerhet

  • AWS datasentre:
    • Fysiske sikkerhetskontroller håndteres av AWS, inkludert:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • AWS-etterlevelse:
    • AWS datasentre samsvarer med industristandarder som ISO 27001 og SOC 1/2/3, noe som støtter vårt etterlevelsesarbeid.

2.8 Endepunktsikkerhet

  • Enhetssikkerhetspolicyer:
    • Selskapsenheter sikres med:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Fjernaksess:
    • Sikre VPN-tilkoblinger kreves for ekstern tilgang til interne systemer der det er aktuelt.
  • Evne til fjernsletting:
    • Mulighet for fjernsletting av selskapsenheter ved tap eller tyveri.

2.9 Logging og overvåking

  • Omfattende logging:
    • Detaljerte logger over systemaktiviteter, tilgang og feil opprettholdes.
  • Sikkerhetsovervåking:
    • Sanntidsovervåking av sikkerhetshendelser ved bruk av AWS-tjenester som CloudWatch og GuardDuty.
  • Varsling:
    • Automatiserte varsler er konfigurert for mistenkelige aktiviteter eller sikkerhetshendelser.

2.10 Dataminimering og pseudonymisering

  • Dataminimering:
    • Samler inn og behandler kun personopplysninger som er nødvendige for definerte formål.
  • Pseudonymisering og anonymisering:
    • Der det er hensiktsmessig, blir personopplysninger pseudonymisert eller anonymisert for å redusere risikoen for registrerte.

3. Regelmessig testing og vurderinger

  • Sårbarhetsskanning:
    • Regelmessig automatisert skanning av systemer for å oppdage sårbarheter, ved bruk av verktøy som er kompatible med AWS-miljøer.
  • Sikkerhetsrevisjoner:
    • Periodiske sikkerhetsrevisjoner og vurderinger gjennomføres for å evaluere effektiviteten av sikkerhetstiltakene.
  • AWS Well-Architected-gjennomganger:
    • Regelmessige gjennomganger med AWS Well-Architected Framework for å sikre at beste praksis følges.

4. Etterlevelse av standarder

  • Regulatorisk etterlevelse:
    • Etterlevelse av GDPR og andre gjeldende personvernlovgivninger.
  • Tilpasning til beste praksis:
    • Sikkerhetspraksis tilpasses industristandarder og retningslinjer, inkludert:
  • AWS Security Best Practices.
    • NIST Cybersecurity Framework.

5. Innebygd og standard databeskyttelse

  • Personvernkonsekvensvurderinger (PIA):
    • Gjennomføres for nye behandlingsaktiviteter eller vesentlige endringer i eksisterende prosesser.
  • Sikre standardinnstillinger:
    • Systemer og applikasjoner er konfigurert slik at det som standard bare behandles nødvendige personopplysninger.

6. Bevisstgjøring og opplæring

  • Ansatteopplæring:
    • Regelmessige opplæringssesjoner om databeskyttelsespolicyer, prosedyrer og beste praksis, inkludert AWS-spesifikk sikkerhetsopplæring.
  • Sikkerhetsbevissthetsprogrammer:
    • Løpende initiativer for å fremme en kultur for sikkerhet og personvern i organisasjonen.

7. Sikkerhet hos underbehandlere

  • AWS Shared Responsibility Model:
    • Forståelse av og etterlevelse av AWS Shared Responsibility Model, der AWS er ansvarlig for sikkerheten «av» skyen, og vi er ansvarlige for sikkerheten «i» skyen.
  • Leverandørhåndtering:
    • Regelmessig vurdering av underbehandlere for å sikre at de oppfyller våre sikkerhets- og etterlevelseskrav.

8. Hendelseshåndtering

  • Deteksjon og rapportering:
    • Systemer på plass for raskt å oppdage sikkerhetshendelser ved hjelp av AWS-overvåkingstjenester.
  • Responsprosedyrer:
    • Definerte trinn for inneslutning, fjerning, gjenoppretting og kommunikasjon.
  • Varslingsforpliktelser:
    • Prosedyrer for å varsle kunder og myndigheter om brudd på personopplysninger uten unødig forsinkelse.

9. Datalagring og sletting

  • Retningslinjer for datalagring:
    • Personopplysninger lagres bare så lenge det er nødvendig for formålene de ble samlet inn for, eller som loven krever.
  • Sikker sletting:
    • Når oppbevaringsperioden utløper, slettes eller anonymiseres personopplysninger sikkert.
  • Forespørsler om sletting av data:
    • Prosesser er på plass for å håndtere forespørsler om sletting fra registrerte i samsvar med GDPR.

10. Kontaktinformasjon

For spørsmål eller bekymringer om våre tekniske og organisatoriske tiltak, vennligst kontakt vårt personvernombud (DPO):

  • Navn: Klas Karlsson
  • E-post: dpo@deskhero.com
  • Telefon: +46 70 601 13 22

Merk: Dette dokumentet kan bli oppdatert fra tid til annen for å gjenspeile endringer i våre sikkerhetspraksiser. Vi vil varsle kunder om vesentlige endringer som beskrevet i vår Personvernerklæring og Databehandleravtale.