Foranstaltninger omkring cloud-sikkerhed

Dette afsnit beskriver de sikkerhedsforanstaltninger, der aktuelt er sat i værk til at beskytte alle data, som er lagret i vores cloud-tjeneste, SuperOffice CRM Online. I overensstemmelse med vores risikostyringsmodel følges sikkerhedsrisici og relevante sikkerhedsforanstaltninger løbende for at sikre et højt sikkerhedsniveau.

Sikker opbevaring (ISO 27001 / 27018)

Data, som lagres i SuperOffice CRM Online, beskyttes af et ISO 27001-certificeret styringssystem for informationssikkerhed (ISMS). Det planlægges at opnå ISO 27018-certificering i 2018.

På grund af, at ISO-standarder er den bedste internationale praksis for informationssikkerhed, tilskynder GDPR virksomheder til at opnå ISO 27001-certificering for at vise, at informationssikkerhed bliver taget alvorligt på alle niveauer i organisationen.

SuperOffice-styringssystemet for informationssikkerhed sikrer, at enhver hændelse, der forekommer i SuperOffice CRM Online, håndteres i overensstemmelse med en nøje fastlagt procedure.

Eksterne sikkerhedskonsulenter kontrollerer sikkerhedspolitikkerne og tester forsvars- og sikkerhedskontrollerne med jævne mellemrum. SuperOffice og vores hosting-partner er stærkt engagerede i at beskytte al information i SuperOffice CRM Online.

Hosting-partner

Visma ITC AS er ansvarlig for hosting af SuperOffice CRM Online. Al hardware, infrastruktur, datalagring og kommunikationslinjer administreres, styres og stilles til rådighed af Visma ITC.

Visma ITC har følgende certificeringer: ISO 9001, ISO 20000 og ISO 27001. Visma ITC forventer desuden at opnå ISO 27018-certifikatet i 2018. Erklæringerne om og politikkerne for sikkerhed i dette dokument gælder for både SuperOffice AS som leverandør, og Visma ITC som outsourcing-partner for SuperOffice AS.

Medarbejdersikkerhed

Adgang til Visma ITC's kontorer og faciliteter styres af et adgangskontrolsystem i bygningen. Der benyttes videoovervågning ved indgangen til bygningen. Det er ikke muligt at komme ind på Visma ITC's faciliteter, medmindre man udtrykkeligt er tildelt adgang eller er under opsyn af Visma ITC's autoriserede medarbejdere.

Personalet, som er ansvarligt for systemadministration, herunder designere, udviklere og systemadministratorer, kontrolleres for deres kvalifikationer ved brug af interviews, tests og kontrol af referencer. Personalet modtager relevant uddannelse for at sikre, at de er højt kvalificerede til at varetage ansvarsområder i deres job.

Fysisk og miljømæssig sikkerhed

Alle data i SuperOffice CRM Online lagres på sikrede servere, som er placeret inden for EU/EØS. Hovedproduktionssystemet er placeret på to særskilte datacentre i Norge. Datacentrene er sikret med både menneskelige og tekniske sikkerhedsforanstaltninger. Adgang til datacentrene administreres udelukkende af Visma ITC, og deres tekniske personale er tilgængelige 24x7/365.

SuperOffice CRM Online's netværk er konfigureret i overensstemmelse med bedste sikkerhedspraksis med isolerede netværkszoner til forskellige dele af systemet. Netværksovervågning yder stabilitet og robusthed til løsningen i form af proaktive handlinger og hurtig detektion af problemer. Det sender desuden advarsler til os, når eller hvis hackere forsøger at bryde ind i systemet.

Alle servere er forbundet til redundante strømforsyninger. Der anvendes redundante kølesystemer til at sikre stabile temperaturer og driftsforhold i serverrummet. Der er brandbeskyttende foranstaltninger i faciliteterne. Desuden er der udarbejdet en katastrofeberedskabsplan til at sikre hurtig genoprettelse, hvis der er behov for det.

SuperOffice SaaS/web-applikation hostes på et sæt af virtualiserede Windows-klyngeservere. Serverne er opbygget med fuld redundans på alle niveauer, herunder redundante strømforsyninger med særskilt UPS, raid-spejling af alle diske og redundante netværkskort.

Desuden er alle serverne opsat i belastningsjusteret og fejltolerant miljø for alle serveropgaver, således at der er særskilte servergrupper til webservere, databaseservere og filservere. Alle SuperOffice-servere og -netværk overvåges på 24x7-basis. Dokumenter, som arkiveres i SuperOffice, lagres på Microsoft Azure-servere i to redundante datacentre inden for EU.

Netværksadministration

Alle netværk er beskyttet med redundante firewalls. Kommunikation mellem lokaliteter sikres med krypteret VPN. Alle ændringer af firewall-regler følger ændringer i administrationsprocedurerne og logges omhyggeligt.

Kryptering

Al kommunikation mellem vores servere og klienterne, der tilgår vores websted, krypteres med brug af SSL (Secure Socket Layer). Al kommunikation mellem mobile SuperOffice-programmer og servere krypteres også med SSL. Vi anvender altid internationalt anerkendte kryptografiske metoder til beskyttelse af information, som lagres på vores websted, for eksempel SSL v3/TLS og IPSEC/AES256/SHA1-HMAC.

Driftprocedurer og ansvar

SuperOffice giver mindst 24 timers forudgående varsel om alle planlagte afbrydelser. Systemstatus og eventuel planlagt nedetid præsenteres på loginskærmen for hver bruger og på statussiden: status.superoffice.com.

Servicekapacitet og ydeevne overvåges løbende. På den måde kan vi let forudse behov for opgraderinger af servere og infrastruktur. Vores politik for håndtering af opgradering og programrettelser (tidsplan) er sat til at minimere driftsmæssige virkninger for kunderne. Programrettelser af hensyn til systemkritiske problemer udføres så hurtigt som muligt.

Beskyttelse med skadelig software

Centralt administreret antivirus-software er installeret på alle servere og internt anvendte stationære computere. SuperOffice CRM Online-miljøet scannes for sårbarheder på daglig basis, og alle beskyttelsesværktøjer opdateres løbende.

Sikkerhedskopiering

Alle data sikkerhedskopieres hver aften og lagres i to særskilte, sikre miljøer. Sikkerhedskopisæt krypteres og sendes over en krypteret VPN-tunnel.

SuperOffice CRM er baseret på to typer af datalagring: Microsoft SQL Server Database og dokumentarkivet. Alle data er fuldstændigt adskilt for hver kunde. Alle databaser har en 30 dages tidsbestemt sikkerhedskopi. Det betyder, at en gendannelse kan foretages fra en hvilken som dato og klokkeslæt inden for de sidste 30 dage. Desuden tages der en månedlig sikkerhedskopi, som lagres i 12 måneder. En årlig sikkerhedskopi lagres i 10 år.

Alle dokumentarkiver har kontinuerlig spejling mellem to fysisk adskilte datacentre og har individuelle sikkerhedskopier på begge lokaliteter. Sikkerhedskopieringen kører en gang i døgnet (typisk om natten). Dokumentændringer sikkerhedskopieres og lagres i 30 dage. Sikkerhedskopier af slettede filer (dokumenter) lagres i 90 dage.

Sikkerhedskopieringsrutiner for tredjepartsprogrammer er underlagt specifikationer og anvendelsesvilkår fra leverandørerne af tredjepartsprogrammerne og indgår ikke i serviceomfanget for SuperOffice CRM Online.

Business Continuity Management

SuperOffice har etableret en katastrofeberedskabsplan. Produktionsmiljøet er konfigureret med redundans for at sikre høj tilgængelighed i tilfælde af driftssvigt og for at kunne håndtere høje spidsbelastninger i trafikken til vores websted. SuperOffice og Visma ITC (vores hosting-partner) har fælles og sammenhængende procedurer for hændelseshåndtering og gendannelse efter katastrofe.

Adgangskontrol til SuperOffice CRM Online-tjenester

Enhver uautoriseret adgang til SuperOffice blokeres automatisk af en firewall. SSL-kryptering (Secure Socket Layer) og brugergodkendelse beskytter informationen og sikrer, at kun brugere i kundens organisation kan tilgå data.

For kundeinstallationer understøtter vi brugernavn og adgangskode lagret i SuperOffice CRM Online, Office 365 og G Suite (Google). To faktor-godkendelse er understøttet under brug af Office 365 og G Suite.

Adgang til personlige oplysninger

Brugere kan til enhver tid logge på med deres brugernavn/adgangskode på vores websted, tilgå personlige oplysninger og opdatere persondetaljer.

Adgangskontrol i SuperOffice CRM-applikationen

Brugeradgang administreres af kunden. Kunden er ansvarlig for at tildele de relevante rettigheder til individuelle brugere. Brugergodkendelse foretages med en kombination af brugernavn og adgangskode. Kunden kan oprette brugere med forskellige adgangsniveauer i overensstemmelse med deres rolle eller rettigheder i SuperOffice CRM.

SuperOffice håndhæver ikke centrale regler for adgangskoder. Kunden skal fastsætte sine egne regler for adgangskoder i overensstemmelse med virksomhedens regler for adgangskoder. Brugeren/kunden er ansvarlig for at holde sine brugernavne og adgangskoder sikre.

Adgangskontrol til oprativsystem

Kun autoriseret systempersonale har adgang til og mulighed for at udføre OS-afhængig administration på SuperOffice-serverne. Håndtering af programrettelser til operativsystem eller operativsystemafhængig software udføres, så snart nye programrettelser er frigivet og testet i et testmiljø.

Revisionsspor og systemadgang

Al webadgang til webstedet registreres både i databasen og i logfiler. Logfilerne sikkerhedskopieres dagligt, og det er muligt at gå tilbage i tiden for at finde oplysninger om, hvem der har tilgået et SuperOffice-websted på et bestemt tidspunkt.

Kun autoriseret personale har rettigheder til at administrere logfiler og ændre adgangsniveauer til systemet. Login og brug af systemrettigheder logges på serverne. Login registreres med et brugernavn og en IP-adresse for kilden.

GDPR og CRM

SuperOffice CRM kan hjælpe dig med at lagre og behandle personlige kundedata i overensstemmelse med GDPR-kravene.

App Store og API'er

Her har vi samlet alle de relevante juridiske aftaler, politikker, bestemmelser og certifikater, som SuperOffice er i overensstemmelse med.

Gennemsigtighed

Gennemsigtighed og tillid er grundlaget for alle aktiviteter omkring lovgivning, sikkerhed, vedligeholdelse og lagring i SuperOffice.