Tekniska och organisatoriska åtgärder

De tekniska och organisatoriska säkerhetsåtgärder som har implementerats av Personuppgiftsbiträdet (inklusive eventuella relevanta certifieringar) för att säkerställa en lämplig säkerhetsnivå, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, beskrivs nedan.

Dataminimering: Vi strävar efter att endast samla in och lagra den information som är nödvändig för tillhandahållandet och/eller förbättring av Tjänsterna enligt Avtalet. Detta innebär praktiker som att anonymisera data i loggar, där detaljerad personlig information inte är essentiell, för att minimera de uppgifter vi hanterar.

Åtkomstkontroll och Principen om minsta privilegium: Genom att begränsa åtkomsten till känslig information, både internt bland våra anställda och externt från andra system, kan endast behöriga användare nå den information som de behöver för att utföra sina arbetsuppgifter. Detta minimerar risken för obehörig åtkomst och dataintrång.

Integritet genom design: Vi integrerar säkerhetsåtgärder från starten av systemutvecklingen, vilket inkluderar att använda metoder som hashing för att kryptera känsliga data. Detta säkerställer att våra system är robusta mot intrång och missbruk.

Säkerhetsåtgärder: Vi tillämpar en rad tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig åtkomst, förlust eller förstörelse. Genom att använda avancerade krypteringstekniker som hashing säkerställer vi integriteten och konfidentialiteten i de data vi hanterar.

Tillgänglighet: Vi säkerställer data och systemens tillgänglighet genom dagliga säkerhetskopior och möjligheten till upp till fyra dagars rollback.

Integritet: Versionskontroll av vår källkod och mekanismer för att förhindra införandet av skadlig kod skyddar data från att bli felaktigt ändrade eller manipulerade. Processen som kräver minst två personers delaktighet för ändringar stärker integriteten genom att minska riskerna för felaktiga handlingar.

Ändringskontroll: För att skydda mot obehörig åtkomst eller modifiering, inför vi starka kontroller, såsom kravet på att minst två personer måste godkänna ändringar.

Riskhantering: Genom proaktiv monitorering och notifikationer av våra system kan vi identifiera och agera på potentiella säkerhetshot innan de eskalerar.

Resiliens: Vi arbetar aktivt med lämpliga rutiner för säkerhetskopiering och versionshantering.

Förebyggande av säkerhetsincidenter: Genom att införa tekniska barriärer mot skadlig kod och säkerställa att alla kodförändringar genomgår omfattande tester, arbetar vi aktivt för att förhindra säkerhetsincidenter.

Autentisering: Genom att använda autentiseringsmetoder, såsom eID och tvåfaktorsautentisering, förstärker vi skyddet mot obehörig åtkomst och kontrollerar att användares information är skyddad.

Kryptering och integritet: Användningen av kortlivade och krypterade cookies för att validera och ge åtkomst skyddar användardata från att bli avlyssnad eller manipulerad under överföring.

Standardiserad autentiseringsprocess: Genom implementeringen av en OAuth2-server säkerställer vi en standardiserad process för autentisering och auktorisering.

Skydd mot webbaserade attacker: Genom att begränsa cookies för identifiering och auktorisering till säkra överföringar över SSL mellan våra domäner, skyddar vi våra system och användares data mot vanliga webbaserade attacker såsom CSRF-attacker.

Kryptering: Alla dataöverföringar sker med kryptering, vilket innebär att informationen är skyddad från obehörig insyn eller manipulation under transport.

Säker delning av data: För att skydda information mot obehörig åtkomst och specifika säkerhetshot, använder vi signerade länkar eller signerar data som skickas. Denna process säkerställer att endast mottagaren, som kan validera signaturen, kan verifiera att data är legitim och inte har manipulerats under överföring. Detta skyddar effektivt mot attacker där obehöriga aktörer försöker efterlikna Zigned för att skicka falsk eller skadlig data till andra system, till exempel genom phishing-attacker eller man-in-the-middle-attacker, där angripare avsiktligt försöker mellanlanda och manipulera datatransaktioner.

För att säkerställa att skydda personuppgifter vid lagring har vi implementerat en rad åtgärder utformade för att skydda data mot obehörig åtkomst, skador och andra säkerhetshot.

Säkerhet i fysiska utrymmen: De fysiska platser där personuppgifter behandlas håller en lämplig säkerhetsstandard. Vi samarbetar med pålitliga leverantörer med robust infrastruktur vilket bidrar till att våra datacenter och lagringsfaciliteter är väl skyddade.

Åtkomstkontroll och isolation: Vi tillämpar lämpliga åtkomstkontroller till olika lokaler och system. Genom att använda separata konton för olika system kan vi isolera eller stänga av konton vid incidenter.

Isolering av miljöer och datasegmentering: Vi isolerar olika miljöer och datasegment för att skapa lager av säkerhet, vilket minskar risken för omfattande åtkomst från enskilda åtkomstpunkter.

Dokumentkryptering på disk: Alla dokument som laddas upp till vår tjänst är krypterade på disk. Dessa dokument låses endast upp när en behörig användare begär dem.

Kryptering av data vid vila: Utöver dokumentkryptering är all information i vår databas krypterad när den inte aktivt används, vilket skyddar mot obehörig åtkomst även vid fysisk tillgång till lagringsmediet.

Loggning och spårbarhet: Genom att logga aktiviteter och händelser i Tjänsterna säkerställer vi spårbarhet och kan snabbt svara på incidenter.

För att upprätthålla högsta standarder för datasäkerhet och effektivitet inom IT-styrning, har vi implementerat en serie åtgärder inom logghantering, systemkonfiguration och kvalitetssäkring:

Kedja av testmiljöer och automatisk testning: Genom att tillämpa en rigorös process med flera testmiljöer och omfattande automatisk testning, kontrollerar vi att produktionskod är validerad.

Manuell och automatisk testning: Utöver automatiska tester använder vi även manuell testning, särskilt vid större förändringar, för att komplettera och fördjupa vår utvärdering av systemets prestanda och säkerhet. Detta tillvägagångssätt bidrar till att vår förmåga att identifiera och hantera problem.

Central hantering av användarkonton och behörigheter: Genom att centralisera hanteringen av användarkonton och behörigheter kan vi effektivt övervaka och kontrollera åtkomst till våra system.

Centraliserad, strukturerad loggning: Vi strävar efter att centralisera och strukturera vår loggning. Detta säkerställer att vi har en tydlig översikt, god sökbarhet och spårbarhet i våra test- och produktionsmiljöer.

Dessa åtgärder utgör en integrerad del av vår strategi för att säkerställa en robust IT-säkerhetsstyrning. Genom att följa dessa principer kan vi effektivt skydda våra data och system mot en rad säkerhetshot, samtidigt som vi upprätthåller en hög nivå av prestanda och pålitlighet i våra IT-operationer.

För att stödja dataportabilitet och garantera säker radering av data har vi implementerat administrativa verktyg som är strikt begränsade till ett fåtal auktoriserade personer. Dessa verktyg möjliggör effektiv hämtning och säker radering av data, vilket är avgörande för att uppfylla dataskyddsregleringar och skydda användarnas integritet.