Sikkerhet i Jodacare

I Jodacare tar vi sikkerhet og personvern på alvor. Vi vet at teknologilandskapet stadig endrer seg, og at sikkerhet må være en del av kulturen i selskapet - ikke kun for systemutviklerne. Det er vårt felles ansvar at data behandles så trygt som mulig.

Hvordan sikres data under overføring?

  • Hvordan informasjon er sikret under overføringen mellom virksomheten din (for eksempel brukernes PC-er, nettbrett, mobiler eller lignende) og skytjenesten.

  • Hvordan informasjon er sikret når den overføres internt i skytjenesten (for eksempel mellom leverandørens datasentre)

  • Hvordan informasjon er sikret når den overføres mellom skytjenesten og andre tjenester (for eksempel gjennom et API).

Data sikres under overføring med TLS (SSL). Sertifikatet er utstedt av DigiCert.

Hvor er dataene lagret?

Dataene lagres hos AWS sitt datasenter i Frankfurt, Tyskland. AWS sine datasentere tilfredsstiller EUs datalagringsdirektiv, og er bla. ISO27001 sertifisert. Se AWS Security Whitepaper for detaljert informasjon.

Hvordan er datasenteret sikret fysisk?

AWS har flere fysiske sikkerhetstiltak for sikring av datasenteret. Oppdatert informasjon finnes her: https://aws.amazon.com/compliance/data-center/controls/

Hvordan sikres lagret data?

Som beskrevet over så er AWS sitt datasenter fysisk sikret. Alle data (inkludert backup) er kryptert under lagring.

Innad i Jodacare har kun autoriserte personer adgang til data basert på deres rolle i bedriften. I tillegg har vi ytterlige sikkerhetstiltak som hindrer at uvedkommende får tilgang:

  • Lokalene er fysisk sikret med adgangskontroll

  • Vi har en internt sikkerhetspolicy som regulerer hvordan ansatte skal håndtere data og utstyr

  • Alle ansatte har signert taushetserklæring

  • Alle systemer sikres med 2-nivå autentisering

Sletting av data

Jodacare behandler data på vegne av kommuner og private kunder, og hvordan sletting av data håndteres varierer basert på kundeforhold.

  • Databehandler for private kunder reguleres av EULA som er akseptert av brukeren selv

  • Backups av brukergenerert data beholdes i en uke

  • Arkivpliktige opplysninger lagres etter avtale med databehandleransvarlig

Oppetid

Oppetid vil reguleres av SLA i kontrakter. Vi etterstreber 99.9% oppetid

Arbeid med informasjonssikkerhet

Jodacare arbeider med ISO 27001 sertifisering. ISO 27001 er et ledelsesystem for informasjonssikkerhet. Vi har også individuelle ROS analyser med våre kunder ved behov.

Arbeid for å begrense sårbarhet

Vi overvåker sårbarheter slik at vi umiddelbart får beskjed og kan iverksette tiltak.

Overvåking av systemer

Vi overvåker systemene for å oppdage angrep, misbruk og feil. Systemene blokkerer angrep, og gir oss umiddelbart beskjed.

Logging

Vi loggfører hvem som har hatt tilgang til hvilke opplysninger. Disse loggene er anonymisert, men autoriserte ansatte i Jodacare kan koble opplysningene med navn ved behov.

Tjenesteutvikling

Vi har egen policy for sikker programvareutvikling hvor vi følger “beste praksis”.

Leverandørkjede

Vi deler ikke personopplysninger med annen tredjepart enn Amazon Web Services. Under implementering av ISO27001 vil det utarbeides egne policyer for underleverandører.

Tilgangskontroll

Vi har tilgangskontroll på alle våre systemer, og tilgang gis kun av autoriserte personer. Kun autoriserte personer har tilgang til våre systemer.

Tjenesteadministrasjon

Verktøy for administrering av tjenesten følger med når tjenesten opprettes og kontrakt og databehandleravtale signeres.

Sikker bruk

Jodacare bistår med support og opplæring av systemet. Vi forsøker også å utvikle løsningen slik at det blir vanskeligere å gjøre brukerfeil.