Tekniska och organisatoriska åtgärder (TOM)

Introduktion

Deskhero AB (“vi,” “oss,” eller “vår“) åtar sig att införa lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen av personuppgifter för våra Kunder (“du” eller “Kund“), Användare, och Kundens Kunder, i enlighet med EU:s allmänna dataskyddsförordning (GDPR) och annan tillämplig dataskyddslagstiftning.

Detta dokument beskriver de tekniska och organisatoriska åtgärder vi har infört för att skydda personuppgifter som behandlas via vår Software-as-a-Service-plattform (SaaS) (“Tjänst”), med stöd av vår AWS-infrastruktur.

1. Organisatoriska åtgärder

1.1 Styrning av dataskydd

• Dataskyddsombud (DPO):
• Namn: Klas Karlsson
• E-post: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Ansvar:

• Övervaka dataskyddsstrategi och efterlevnad.
• Följa upp efterlevnaden av dataskyddspolicys och rutiner.
• Fungera som kontaktpunkt för registrerade och tillsynsmyndigheter.

1.2 Policys och rutiner

• Dataskyddspolicys:
• Upprättande av interna riktlinjer för dataskydd som regelbundet granskas och uppdateras.
• Riktlinjerna omfattar datahantering, incidentrespons, åtkomstkontroll och medarbetares ansvar.

• Medarbetarutbildning:
• Obligatoriska utbildningsprogram för alla medarbetare om dataskydd, integritet och informationssäkerhet.
• Regelbundna uppdateringar om nya hot och bästa praxis.

• Sekretessavtal:
• Anställda och konsulter måste underteckna sekretess- och tystnadsavtal.

1.3 Åtkomsthantering

• Åtkomstkontrollpolicy:
• Åtkomst till personuppgifter beviljas enligt need-to-know-principen.
• Regelbundna granskningar av användares åtkomsträttigheter.

• Autentiseringsmekanismer:
• Användning av starka lösenord och multifaktorautentisering (MFA) för systemåtkomst.
• Kontolåsning efter flera misslyckade inloggningsförsök.

1.4 Incidentrespons

• Incidentresponsplan:
• Rutiner för att upptäcka, rapportera och hantera säkerhetsincidenter.
• Utsett incidentresponsteam.

• Notifikationsrutiner:
• Skyldighet att utan onödigt dröjsmål meddela Kunder och myndigheter om personuppgiftsincidenter.

1.5 Leverantörshantering

• Due diligence:
• Utvärdering av underbiträden för efterlevnad av dataskyddsstandarder.

• Avtal:
• Säkerställa att avtal med underbiträden innehåller dataskyddsåtaganden.

2. Tekniska åtgärder

2.1 Datakryptering

• Vid överföring:
• Personuppgifter krypteras vid överföring över offentliga nätverk med TLS 1.2 eller senare.

• I vila:
• Personuppgifter som lagras i databaser och säkerhetskopior krypteras med AWS-krypteringstjänster (t.ex. AES-256 för EBS-volymer, RDS-kryptering).

2.2 Nätverkssäkerhet

• AWS-infrastruktur:
• Vår tjänst hostas på Amazon Web Services (AWS) och utnyttjar deras säkra infrastruktur och tjänster.

• Brandväggar och Security Groups:
• AWS Security Groups används för att kontrollera inkommande och utgående trafik till resurser och fungerar som virtuella brandväggar på instansnivå.

• Virtual Private Cloud (VPC):
• AWS VPC är konfigurerat för att isolera och säkra nätverkstrafik.
• Privata subnät används för interna resurser så att databaser och cacheminnen inte exponeras mot det öppna internet.

• AWS CloudFront och Application Load Balancer (ALB):
• AWS CloudFront fungerar som innehållsleveransnätverk (CDN) och ingångspunkt och erbjuder säker och effektiv distribution.
• AWS ALB distribuerar inkommande trafik till Amazon ECS (Elastic Container Service)-containrar som kör applikationen.

• Intrångsdetektion och hotövervakning:
• Även om dedikerade IDS/IPS-system inte används tillhandahåller AWS-tjänster möjlighet att övervaka nätverkstrafik.

2.3 Systemsäkerhet

• Säker konfigurationshantering:
• Infrastrukturen hanteras med Terraform vilket möjliggör konsekventa och säkra konfigurationer mellan miljöer.

• Miljösegregering:
• Separata miljöer för utveckling (“sandbox”), staging och produktion upprätthålls för att testa kod- och infrastrukturändringar innan driftsättning.

• Patch-hantering:
• Regelbundna uppdateringar och patchar appliceras på operativsystem och applikationer med stöd av AWS-tjänster och automation där det är möjligt.

2.4 Applikationssäkerhet

• Säkra utvecklingspraxis:
• Tillämpning av principer för Secure Software Development Lifecycle (SSDLC).
• Regelbundna kodgranskningar, statisk kodanalys och säkerhetstester genomförs.

• Penetrationstestning:
• Regelbundna säkerhetsbedömningar och sårbarhetsskanningar utförs, inklusive penetrationstester av tredje part när så är lämpligt.

2.5 Åtkomstkontroll

• AWS Identity and Access Management (IAM):
• Rollbaserad åtkomstkontroll (RBAC) tillämpas med AWS IAM-roller och policyer.
• Åtkomst till AWS-resurser ges enligt principen om minsta privilegium.

• Multi-faktorautentisering (MFA):
• MFA krävs för all administrativ åtkomst till AWS-hanteringsgränssnitt.

• Loggning och övervakning:
• AWS CloudTrail används för att logga API-anrop och åtgärder i AWS-miljön.
• AWS CloudWatch övervakar loggar och mätvärden för anomalier.

2.6 Säkerhetskopiering och återställning av data

• Regelbundna säkerhetskopior:
• Automatiska säkerhetskopior av databaser utförs med AWS RDS automatiska backupfunktioner.

• Krypterade säkerhetskopior:
• Säkerhetskopierad data krypteras i vila med AWS Key Management Service (KMS).

• Katastrofåterställningsplan:
• Dokumenterade rutiner för dataråterställning och tjänstens kontinuitet finns på plats.

• Test av återställningsprocesser:
• Regelbundna tester av återläsning av säkerhetskopior och återställningsrutiner genomförs.

2.7 Fysisk säkerhet

• AWS-datacenter:
• Fysiska säkerhetskontroller hanteras av AWS, inklusive:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• AWS-regelefterlevnad:
• AWS datacenter uppfyller branschstandarder som ISO 27001 och SOC 1/2/3, vilket stöder våra efterlevnadsinsatser.

2.8 Endpointsäkerhet

• Enhetssäkerhetspolicys:
• Företagets enheter säkras med:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Fjärråtkomst:
• Säkra VPN-anslutningar krävs för fjärråtkomst till interna system där så är tillämpligt.

• Fjärraderingsfunktioner:
• Möjlighet att på distans radera företagsenheter vid förlust eller stöld.

2.9 Loggning och övervakning

• Omfattande loggning:
• Detaljerade loggar över systemaktiviteter, åtkomstloggar och felloggar upprätthålls.

• Säkerhetsövervakning:
• Realtidsövervakning av säkerhetshändelser med AWS-tjänster som CloudWatch och GuardDuty.

• Aviseringar:
• Automatiska aviseringar är konfigurerade för misstänkta aktiviteter eller säkerhetsincidenter.

2.10 Dataminimering och pseudonymisering

• Dataminimering:
• Insamling och behandling av endast de personuppgifter som är nödvändiga för angivna ändamål.

• Pseudonymisering och anonymisering:
• När det är lämpligt pseudonymiseras eller anonymiseras personuppgifter för att minska risken för registrerade.

3. Regelbundna tester och bedömningar

• Sårbarhetsskanning:
• Regelbundna automatiserade skanningar av systemen för att upptäcka sårbarheter med verktyg som är kompatibla med AWS-miljöer.

• Säkerhetsrevisioner:
• Återkommande säkerhetsrevisioner och bedömningar genomförs för att utvärdera effektiviteten i säkerhetsåtgärderna.

• AWS Well-Architected-granskningar:
• Regelbundna granskningar enligt AWS Well-Architected Framework för att säkerställa att bästa praxis följs.

4. Efterlevnad av standarder

• Regel­efterlevnad:
• Efterlevnad av GDPR och annan tillämplig dataskyddslagstiftning.

• Bästa praxis-anpassning:
• Säkerhetsarbetet anpassas till branschens bästa praxis och riktlinjer, inklusive:

• AWS Security Best Practices.
• NIST Cybersecurity Framework.

5. Dataskydd genom design och som standard

• Integritetskonsekvensbedömningar (PIA):
• Genomförs vid nya behandlingsaktiviteter eller betydande förändringar av befintliga processer.

• Säkra standardinställningar:
• System och applikationer är konfigurerade så att endast nödvändiga personuppgifter behandlas som standard.

6. Medvetenhet och utbildning

• Medarbetarutbildning:
• Regelbundna utbildningstillfällen om dataskyddspolicys, rutiner och bästa praxis, inklusive AWS-specifik säkerhetsutbildning.

• Säkerhetsmedvetenhetsprogram:
• Pågående initiativ för att främja en kultur av säkerhet och integritet inom organisationen.

7. Säkerhet hos underbiträden

• AWS Shared Responsibility Model:
• Förståelse för och efterlevnad av AWS Shared Responsibility Model där AWS ansvarar för säkerheten “av” molnet och vi för säkerheten “i” molnet.

• Leverantörshantering:
• Regelbundna utvärderingar av underbiträden för att säkerställa att de uppfyller våra säkerhets- och efterlevnadskrav.

8. Incidenthantering

• Upptäckt och rapportering:
• System finns på plats för att snabbt upptäcka säkerhetsincidenter med hjälp av AWS-övervakningstjänster.

• Responsrutiner:
• Definierade steg för inneslutning, eliminering, återställning och kommunikation.

• Meddelandeskyldigheter:
• Rutiner för att utan onödigt dröjsmål informera Kunder och myndigheter om personuppgiftsincidenter.

9. Dataretention och radering

• Dataretentionspolicyer:
• Personuppgifter bevaras endast så länge som det är nödvändigt för de ändamål de samlades in för eller enligt lag.

• Säker radering:
• När lagringsperioden upphör raderas eller anonymiseras personuppgifterna på ett säkert sätt.

• Begäran om dataradering:
• Processer finns för att hantera begäran om radering från registrerade i enlighet med GDPR.

10. Kontaktinformation

Vid frågor eller funderingar kring våra tekniska och organisatoriska åtgärder, vänligen kontakta vårt dataskyddsombud (DPO):

• Namn: Klas Karlsson
• E-post: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Obs: Detta dokument kan uppdateras från tid till annan för att återspegla förändringar i våra säkerhetspraxis. Vi kommer att meddela Kunder om betydande ändringar enligt vad som anges i vår Integritetspolicy och Personuppgiftsbiträdesavtal.