Gå til innhold
Norsk

Sikkerhetserklæring

SIST OPPDATERT: 10. august, 2022

Denne sikkerhetserklæringen gjelder for produktene, tjenestene, nettstedene og appene som tilbys av Leverandøren og deres tilknyttede selskaper (samlet kalt «Leverandøren»), bortsett fra når noe annet er oppgitt. Vi henviser til Leverandørens produkter, tjenester, nettsteder og apper samlet som «Tjenestene» i denne erklæringen.

Leverandøren verdsetter tilliten kundene våre viser oss ved å la oss forvalte dataene deres. Vi tar ansvaret med å beskytte og sikre informasjonen din, alvorlig, og vi forsøker å være fullstendig åpne rundt sikkerhetspraksisene som er beskrevet nedenfor. Våre personvernregler beskriver dessuten hvordan vi håndterer dataene dine.

Fysisk sikkerhet

Leverandørens informasjonssystemer og tekniske infrastruktur ligger på datasentre i verdensklasse. Fysiske sikkerhetskontroller i disse datasentrene omfatter døgnkontinuerlig overvåkning, kameraer, besøkslogger, adgangsbegrensninger og alt du forventer av et høysikkerhetsanlegg for databehandling.

Samsvar

Leverandøren har implementert metoder for styring, risikostyring og overholdelse som er i samsvar med de mest anerkjente globale rammeverkene for informasjonssikkerhet.

Tilgangskontroll

Tilgang til Leverandørens teknologiressurser er bare tillatt via sikker tilkobling (f.eks. VPN og SSH), og krever flerfaktorautentisering. Vår passord-policy for produksjonsavdelinger krever at det brukes passord som er komplekse, har utløpsdato, stenger brukeren ute ved feil angivelse og som ikke kan brukes på nytt. Leverandøren gir tilgang ved behov basert på prinsippet for minste privilegium, gjennomgår tillatelser hvert kvartal og tilbakekaller tilgang umiddelbart etter oppsigelse av ansatte.

Sikkerhetspolicyer

Leverandøren opprettholder og gjennomgår policyene sine for informasjonssikkerhet regelmessig og sørger for at de er oppdatert, minst én gang i året. Ansatte må godta policyene hvert år og gjennomgå opplæring som passer jobbfunksjonen. Opplæringen er utformet for å overholde alle spesifikasjoner og forskrifter som gjelder for Leverandøren.

Personale

Leverandøren utfører bakgrunnssjekker ved ansettelse (slik det er tillatt eller lagt til rette for av gjeldende lover og land). I tillegg kommuniserer Leverandøren policyene sine for informasjonssikkerhet til alle ansatte (som må godta disse), krever at nyansatte skal signere konfidensialitetsavtaler og sørger kontinuerlig for personvern- og sikkerhetsopplæring.

Fast sikkerhetspersonell

Leverandøren har en egen organisasjon, som fokuserer på programvare-, sky- nettverks- og systemsikkerhet. Dette teamet er også ansvarlig for overholdelse av sikkerhet, utdanning og respons til uønskede hendelser.

Sårbarhetsadministrasjon og inntrengningstester

Leverandøren opprettholder et dokumentert program for sårbarhetshåndtering, som omfatter regelmessig gjennomgang, identifisering og utbedring av sikkerhetssårbarheter på servere, arbeidsstasjoner, nettverksutstyr og programvare. Alle nettverk, inkludert test- og produksjonsmiljøer, gjennomsøkes regelmessig av klarerte tredjepartsleverandører. Viktige oppdateringer installeres på servere som en prioritet, og alle andre oppdateringer installeres ved behov.

Vi utfører også regelmessige interne og eksterne inntrengningstester og retter opp i henhold til alvorlighetsgraden til funnene.

Kryptering

Leverandøren krypterer alle data under oppbevaring i datasentrene våre med AES 256-basert kryptering. I tillegg krypterer Leverandøren alle data under overføring med (i) RSA med sertifikater basert på 2048-biters nøkkellengde som genereres av en offentlig sertifiseringsinstans, for kommunikasjoner med instanser utenfor Leverandørens datasentre, og (ii) RSA 256-sertifikater generert via en intern sertifiseringsinstans for alle data i datasenteret.

Utvikling

Utviklingsteamet vårt bruker teknikker og gode fremgangsmåter for sikker koding, som er fokusert rundt OWASP Top Ten. Utviklere læres formelt opp i sikker webutvikling ved ansettelse og årlig.

Utviklings-, test- og produksjonsmiljøene er adskilt. Alle endringer kvalitetssikres og loggføres til resultats- og revisjonsformål og juridiske formål før distribusjon i produksjonsmiljøet.

Ressurshåndtering

Leverandøren har en policy for ressurshåndtering som omfatter identifisering, klassifisering, oppbevaring og avhending av informasjon og ressurser. Selskapets enheter er utstyrt med fullstendig harddiskkryptering og oppdatert antivirusprogramvare. Bare selskapets enheter gis tilgang til bedrifts- og produksjonsnettverk.

Håndtering av uønskede hendelser

Leverandøren har en prosess for respons på uønskede hendelser som omfatter første tilbakemelding, undersøkelser, varsling av kunder (ikke mindre enn det som er påkrevd i henhold til lovgivningen), offentlig kommunikasjon og utbedring. Denne prosessen gjennomgås regelmessig og testes annethvert år.

Varsling om sikkerhetsbrudd

Uansett hvor sikre metoder vi bruker, er ingen metode for overføring over Internett og elektronisk lagring helt sikker. Vi kan ikke garantere absolutt sikkerhet. Hvis Leverandøren oppdager sikkerhetsbrudd, varsler vi imidlertid berørte brukere, slik at de kan iverksette nødvendige beskyttende tiltak. Prosedyrene våre for varsling av brudd er i samsvar med forpliktelsene våre i henhold til lover og regler i ulike land, statlige og føderale lover og regler samt alle bransjeregler eller -standarder som er relevante for oss. Vi er opptatt av at kundene våre skal være godt informerte om alle relevante sider ved sikkerheten til kontoen deres, og av å gi kundene all nødvendig informasjon for at de skal kunne overholde alle sine rapporteringsforpliktelser i henhold til lovgivningen.

Styring av forretningskontinuitet

Sikkerhetskopier krypteres og lagres i produksjonsmiljøet for å bevare konfidensialitet og integritet. Leverandøren benytter en sikkerhetskopieringsstrategi for å sikre minimal nedetid og minimale datatap. Planen for forretningskontinuitet (BCP) testes og oppdateres jevnlig for å sikre at den er effektiv i tilfelle det oppstår en krisesituasjon.

Ditt ansvar

Du har også et ansvar for å ivareta sikkerheten til dataene dine ved at du sikrer kontoen din med tilstrekkelig kompliserte passord og lagrer dem sikkert. Du må også sørge for at sikkerheten på dine egne systemer er tilstrekkelig. Vi tilbyr TLS for å sikre overføring av spørreundersøkelsessvarene, men det er ditt ansvar å sikre at undersøkelsene er konfigurert for å bruke denne funksjonen der det er hensiktsmessig. Hvis du vil ha mer informasjon om hvordan du sikrer spørreundersøkelsene dine, kan du besøke hjelpesenteret vårt.

Loggføring og overvåking

Applikasjons- og infrastruktursystemer loggfører informasjon til et sentralt administrert logglager for feilsøking, sikkerhetsvurderinger og analysering av personale godkjent av Leverandøren. Logger oppbevares i henhold til lovgivningen. Vi sørger for å gi kundene rimelig assistanse og tilgang til logger i tilfelle en sikkerhetshendelse skulle påvirke kontoen deres.