Sikkerhet i Jodacare
I Jodacare tar vi sikkerhet og personvern på alvor. Vi vet at teknologilandskapet stadig endrer seg, og at sikkerhet må være en del av kulturen i selskapet - ikke kun for systemutviklerne. Det er vårt felles ansvar at data behandles så trygt som mulig.
Hvordan sikres data under overføring?
Hvordan informasjon er sikret under overføringen mellom virksomheten din (for eksempel brukernes PC-er, nettbrett, mobiler eller lignende) og skytjenesten.
Hvordan informasjon er sikret når den overføres internt i skytjenesten (for eksempel mellom leverandørens datasentre)
Hvordan informasjon er sikret når den overføres mellom skytjenesten og andre tjenester (for eksempel gjennom et API).
Data sikres under overføring med TLS (SSL). Sertifikatet er utstedt av DigiCert.
Hvor er dataene lagret?
Dataene lagres hos AWS sitt datasenter i Frankfurt, Tyskland. AWS sine datasentere tilfredsstiller EUs datalagringsdirektiv, og er bla. ISO27001 sertifisert. Se AWS Security Whitepaper for detaljert informasjon.
Hvordan er datasenteret sikret fysisk?
AWS har flere fysiske sikkerhetstiltak for sikring av datasenteret. Oppdatert informasjon finnes her: https://aws.amazon.com/compliance/data-center/controls/
Hvordan sikres lagret data?
Som beskrevet over så er AWS sitt datasenter fysisk sikret. Alle data (inkludert backup) er kryptert under lagring.
Innad i Jodacare har kun autoriserte personer adgang til data basert på deres rolle i bedriften. I tillegg har vi ytterlige sikkerhetstiltak som hindrer at uvedkommende får tilgang:
Lokalene er fysisk sikret med adgangskontroll
Vi har en internt sikkerhetspolicy som regulerer hvordan ansatte skal håndtere data og utstyr
Alle ansatte har signert taushetserklæring
Alle systemer sikres med 2-nivå autentisering
Sletting av data
Jodacare behandler data på vegne av kommuner og private kunder, og hvordan sletting av data håndteres varierer basert på kundeforhold.
Databehandler for private kunder reguleres av EULA som er akseptert av brukeren selv
Backups av brukergenerert data beholdes i en uke
Arkivpliktige opplysninger lagres etter avtale med databehandleransvarlig
Oppetid
Oppetid vil reguleres av SLA i kontrakter. Vi etterstreber 99.9% oppetid
Arbeid med informasjonssikkerhet
Jodacare arbeider med ISO 27001 sertifisering. ISO 27001 er et ledelsesystem for informasjonssikkerhet. Vi har også individuelle ROS analyser med våre kunder ved behov.
Arbeid for å begrense sårbarhet
Vi overvåker sårbarheter slik at vi umiddelbart får beskjed og kan iverksette tiltak.
Overvåking av systemer
Vi overvåker systemene for å oppdage angrep, misbruk og feil. Systemene blokkerer angrep, og gir oss umiddelbart beskjed.
Logging
Vi loggfører hvem som har hatt tilgang til hvilke opplysninger. Disse loggene er anonymisert, men autoriserte ansatte i Jodacare kan koble opplysningene med navn ved behov.
Tjenesteutvikling
Vi har egen policy for sikker programvareutvikling hvor vi følger “beste praksis”.
Leverandørkjede
Vi deler ikke personopplysninger med annen tredjepart enn Amazon Web Services. Under implementering av ISO27001 vil det utarbeides egne policyer for underleverandører.
Tilgangskontroll
Vi har tilgangskontroll på alle våre systemer, og tilgang gis kun av autoriserte personer. Kun autoriserte personer har tilgang til våre systemer.
Tjenesteadministrasjon
Verktøy for administrering av tjenesten følger med når tjenesten opprettes og kontrakt og databehandleravtale signeres.
Sikker bruk
Jodacare bistår med support og opplæring av systemet. Vi forsøker også å utvikle løsningen slik at det blir vanskeligere å gjøre brukerfeil.