Compliance-dk

Compliance

Vi har på baggrund af SikkerDigitals anvisninger om It-sikkerhed besvaret 11 spørgsmål omhandlende sikkerheden af vores software

Hvor ligger virksomhedens data rent fysisk? Det vil sige, på hvilken lokation og i hvilket land står de servere, der indeholder jeres virksomhedsdata?

Microsoft Azure i Amsterdam, Holland.

Vi og Microsoft garanterer, at dataen ikke vil blive flyttet til servere udenfor EU.

Hvordan og hvor tages backup?

Vi tager løbende automatiseret backup af vores database. Der kører en fuld backup ugentligt, en difference backup 2 gange dagligt og vi tager en backup af transaktionsloggen hvert 5. minut.

Der tages automatisk en sikkerhedskopi af alle brugeres data for at sikre mod systemfejl. Denne kopi bliver slettet sammen med den primære data, hvis kundeforholdet ophører.

Al backup-data er krypteret med AES 256-bit kryptering.

Hvordan er processen for opdateringer og ændringer af it-systemer og programmer?

Vi opdaterer systemet løbende i takt med at nye features bliver tilføjet. Vi forsøger altid at opdatere i et tidsrum, hvor brugeraktiviteten er mindst, så vores kunder oplever mindst mulig nedetid.

Hvordan styrer I brugeradgang og -rettigheder til it-systemerne?

Der er som udgangspunkt ikke adgang til produktionssystemerne. Skal vi af tekniske årsager eller ved fejlfinding alligevel have adgang, foregår det ved at administrator giver adgang til den tekniske ansvarlige, i den periode hvor adgangen er påkrævet. Al trafik og ændringer der måtte komme i perioden hvor denne adgang foregår bliver logget.

Når en slutbruger har købt adgang til systemet, får brugeren et unikt login som kun kan bruges af denne. Disse data gemmes, så vi er i stand til at nulstille brugerens login ID og password. Det er udelukkende vores IT-support, der har adgang til disse data og vil kun blive tilgået på anmodning fra brugeren.

Hvordan sikrer I sikkerheden mellem datanetværkerne? For eksempel via logning af netværker, segmentering af netværker eller firewall?
Hvordan dokumenterer I virksomhedens netværker? For eksempel i en grafisk netværksoversigt?

Vores netværk er segmenteret og er beskyttet med firewall, alle maskiner i samme segment har kun adgang til hinanden gennem definerede porte.

Har I en it-beredskabsplan? Det skal for eksempel fremgå, at leverandøren giver virksomheden besked ved sikkerhedshændelser.

I tilfælde af et sikkerhedsbrud og / eller en tredjeparts uautoriserede adgang til vores data har vi følgende procedurer på plads:

1 – Data Breach Procedures
2 – Data Breach Notification Procedures
3 – Data Breach Log

Alle medarbejdere i virksomheden er blevet grundigt instrueret og uddannet i disse procedurer. For det første meddeles alle identificerede sikkerhedsbrud eller uautoriserede adgange til data til vores databeskyttelsesansvarlige. Han foretager herefter en indledende vurdering baseret på alvorligheden af sikkerhedsbruddet og det pågældende data for at belutte hvilke foranstaltninger der bør tages. Han vil foretage vurderingen ud fra sandsynligheden for, at sikkerhedsbruddet medfører en risiko for de involverede. Her er nogle eksempler:

– Hvis du mister din arbejdscomputer, men den er beskyttet med en adgangskode, er det usandsynligt, at det udgør en stor risiko. Det afhænger imidlertid af, hvilken slags data du har, hvor meget, hvor du tabte den osv.
Hvis din virksomhed er blevet hacket og alle dine data er stjålet, er du uden tvivl nødt til at informere den kompetente tilsynsmyndighed såvel som de involverede.
– Hvis du har et indbrud på kontoret, og dine harddiske med følsomme data bliver stjålet, er du uden tvivl nødt til at informere den kompetente tilsynsmyndighed, medmindre alt er grundigt krypteret, og derfor ikke udgør en risiko for de involverede.

Alle overtrædelser vil blive logget uanset alvorligheden, men det er op til den databeskyttelsesansvarlige, at vurdere hvilke foranstaltninger der skal træffes efter sikkerhedsbruddet er identificeret.

Tester I løbende it-sikkerheden i virksomheden?

Vores servere er beskyttet af Microsoft Azures integrerede sikkerhedsløsninger samt andre tjenester til bekæmpelse af svindel og malware.

Når der kommer nye definitioner, vil de automatisk blive opdateret af vores system.

Hvordan sikrer I sikkerheden mellem datanetværkerne? For eksempel via logning af netværker, segmentering af netværker eller firewall, og hvordan dokumenterer I virksomhedens netværker?

Hos Archii er vi dedikerede mod at beskytte alle personlige data – for vores medarbejdere såvel som vores kunder, forretningspartnere og alle andre, som vi behandler data om.

Vi har implementeret politikker og procedurer for både intern behandling af personoplysninger for hvert enkelt område som kundedata, jobansøgninger, marketingværktøjer mv. samt en overordnet databeskyttelsespolitik, der beskriver hvordan vi håndterer personoplysninger på en sikker og organiseret måde. Alle medarbejdere har gennemgået et træningsmodul om GDPR med en test for at sikre, at alle er indforstået med, og instrueret om vigtigheden af sikker håndtering af data.