Säkerhetsstandarder
Senast granskad: 9 maj 2018

I.  Tekniska och organisatoriska åtgärder

Vi åtar oss att skydda våra kunders information.  Beaktande av de bästa tillvägagångssätten, kostnaderna för genomförandet och verksamhetens art, omfattning, omständigheter och bearbetningens syften, samt den varierande i förekomst och svårighetsgrad sannolikheten för rättighets- och frihetsrisker hos fysiska personer, tar vi följande tekniska och organisatoriska åtgärder.  Systemens sekretess, integritet, tillgänglighet och motståndskraft tas i beaktande vid valet av åtgärder. En snabb återhämtning efter en fysisk eller teknisk incident garanteras.

Vårt dataskyddsprogram är upprättat för att bibehålla en världsomfattande ledningsstruktur och säkerställa informationen under hela dess livscykel. Detta program styrs av kontoret för dataintegritetsskydd, vilket övervakar tillämpningen av sekretesspolicyer och säkerhetsåtgärder. Vi genomför regelmässiga tester, ger rådgivning och utvärderar effektiviteten av dess dataskyddsprogram och säkerhetsstandarder.

1. Sekretess. ”Med sekretess menas att personuppgifterna är skyddade mot inte auktoriserat offentliggörande.”  

Vi förfogar över en mängd olika fysiska och logiska åtgärder för att skydda sekretessen för kundernas personuppgifter. Däribland följande åtgärder:   

Fysisk säkerhet  

• Befintliga fysiska åtkomstkontrollsystem (passerkortskontroll, övervakning av säkerhetsincidenter osv.) 
• Övervakningssystem inklusive larm, och om så krävs TV-övervakning  
• Befintliga clean desk policyer och kontrollpaneler (Obemannade datorer avstängda, låsta skåp osv.)  
• Hantering av besökares åtkomst 
• Eliminering av data på fysiska media och dokument (fragmentering, avmagnetisering m.m.) 

Åtkomstkontroll och förebyggande av inte auktoriserad åtkomst

• Tillämpning av åtkomstrestriktioner och tillhandahållande/granskning av rollbaserade behörigheter utifrån ansvarsfördelningsprincipen  
• Starka autentiserings- och auktoriseringsmetoder (flerfaktorsautentisering, certifieringsbaserad auktorisering, automatisk avstängning/log-off osv.)  
• Centraliserad hantering av lösenord och starka/komplexa lösenordsprinciper (minimilängd, teckenkomplexitet, lösenordsutgång osv.)   
• Säker åtkomst till email och internet 
• Hantering av virusskydd  
• Hantering av system för intrångsskydd  

Kryptering  

• Kryptering av extern och intern kommunikation via säkra kryptografiska protokoll  
• PII/SPII kryptering i vila (databaser, delade kataloger osv.)   
• Full diskkryptering för stationära och bärbara företagsdatorer   
• Kryptering av lagringsmedier  
• Fjärranslutningar till företagsnätverken är krypterade via VPN  
• Säkra krypteringsnycklarnas livscykel  

Dataminimering

• Minimering av PII/SPI vid tillämpning, felsökning och säkerhetsloggar  
• Användning av pseudonymer i personuppgifter för att förhindra direkt identifiering av privatpersoner 
• Uppgiftssortering enligt funktion (testning, lagring, live) 
• Logisk uppdelning av uppgifter enligt rollbaserade åtkomsträttigheter 
• Definierade perioder för datalagring av personuppgifter   

Säkerhetstestning

• Penetrationstestning för kritiska företagsnätverk och plattformar för värdtjänster av personuppgifter 
• Systematiska nätverks- och sårbarhetsanalyser   

2. Integritet. ”Med integritet menas garantier för korrekt (intakt) information och korrekt funktion av system. När man använder termen integritet i samband med uttrycket ”uppgifter”, anger man att uppgifterna är fullständiga och oförändrade”  

Bland annat följande lämpliga förändrings- och logghanteringskontroller samt åtkomstkontroller har inrättats för att se till att integriteten hos personuppgifter upprätthålls:    

Ändrings- och versionshantering  

• Ändrings- och versionshanteringsprocess inklusive (konsekvensanalys, godkännanden, testning, säkerhetsgranskningar, datalagring, övervakning osv.)  
• Roll- och funktionsbaserad (uppdelning av arbetsuppgifter) åtkomst enligt bestämmelserna om produktionsmiljö

Loggning och övervakning

• Loggning av åtkomst och dataändringar  
• Centraliserad revision och säkerhetsloggar   
• Övervakning av fullständig och korrekt dataöverföring (ändpunktskontroll)   

3. Tillgänglighet. ”Tillgängligheten till tjänster och IT-system, IT-applikationer och IT-nätverksfunktioner eller till information är garanterad, så länge användarna har möjlighet att använda dem när så avsetts.”    

Vi genomför lämpliga kontinuitets- och säkerhetsåtgärder för att upprätthålla åtkomsten till dess tjänster och de data som finns lagrade i dessa tjänster:    

• Regelmässiga redundanstest tillämpas för kritiska tjänster  
• Omfattande övervakning av prestanda/tillgänglighet och rapportering för kritiska system   
• Incidentåtgärdsprogram  
• Replikering och säkerhetskopiering av känsliga uppgifter (molnsäkerhetskopieringar/hårddiskar/replikering av databaser osv.)  
• Planerat underhåll av programvara, infrastruktur och säkerhet är i bruk (programvaruuppdateringar, säkerhetskorrigeringar osv.)   
• Redundanta och motståndskraftiga system (serverklusters, speglade databaser, inställningar med hög tillgänglighet osv.) lokaliserade på annan plats och/eller på geografiskt åtskilda platser    
• Användning av avbrottsfri kraftförsörjning, överflödig hårdvara och nätverkssystem  
• Larm, säkerhetssystem på plats  
• Fysiska skyddsåtgärder vidtas för kritiska platser (överspänningsskydd, upphöjda golv, kylsystem, brand- och rökvarnare, brandsläckningssystem osv.) 
• DDoS-skydd för fortsatt åtkomst   
• Last- och stresstestning  

4. Instruktioner för databehandling. ”Instruktioner för databehandling avser att säkerställa att personuppgifter endast kommer att behandlas i enlighet med instruktioner från personuppgiftsansvarige och tillhörande företagsåtgärder”  

Vi har upprättat interna sekretesspolicyer och avtal, samt genomför regelbundna sekretessträningar för anställda för att garantera att personuppgifter behandlas i enlighet med kundernas önskemål och instruktioner.   

• Anställdas kontrakt omfattas av termer för sekretess och konfidentialitet
• Regelmässiga dataskydds- och säkerhetsutbildningar för anställda
• Lämpliga kontraktsvillkor till underbiträdesavtalen för bibehållande av kontrollrättigheter för anvisningar
• Regelbundna sekretesskontroller för externa tjänsteleverantör 
• Förse kunderna med full kontroll över deras inställningar för uppgiftsbehandling 
• Regelbundna säkerhetsrevisioner