Blikk Sverige AB tillämpar av ledningen beslutade policys för Dataskydd och Informationssäkerhet.
Säkerhetsarbete och incidenthantering
Blikk Sverige AB arbetar löpande med Tjänstens säkerhet och har rutiner på plats för både säkerhetsarbete och incidentrespons för eventuella säkerhets- och personuppgiftsincidenter.
Blikk är ett systerbolag inom Visma-koncernen. Vi är delaktiga i koncernens säkerhetsprogram och har som en del av detta, tillgång till ytterligare säkerhetsresurser och expertkompetens vid behov.
Automatiska penetrationstester genomförs veckovis och manuella penetrationstester genomförs åtminstone årligen.
Drift
Tjänsten tillhandahålls via Microsoft Azure och är placerad i West Europe med redundant sekundär miljö i North Europe. Driftsmiljön övervakas genom larm och proaktiv övervakning i Microsoft Azure.
Backup and disaster recovery
Databas-backup tas flera gånger per dag och krypterad backup av lagrade filer/dokument
sker till oberoende extern miljö (Sverige) varje natt. Rutiner för återhämtning/kontinuitet och katastrofåterställning finns på plats och testas regelbundet. Redundant lagring av databackup krypteras och kan endast låsas upp av behörig personal från Blikk Sverige AB.
Skydd mot cyberattacker
Tjänsten testas regelbundet med statisk analys och både automatiska och manuella penetrationstester. Tjänstens hantering av dynamisk data sker i stor utsträckning genom säkra kodbibliotek som automatiskt undviker injektionsattacker, t.ex Microsoft Entity Framework.
Därutöver används strikta säkerhetsinställningar mot webbläsare och kodändringar granskas manuellt och automatiskt för säkerhetsbrister med särskilt fokus på injektionsattacker. Tjänstens kod är skriven i minnessäkra språk vilket eliminerar flera kategorier av ACE-attacker.
Övervakning och loggning
För att minimera risker avseende attacker på infrastruktur t ex DOS och för att säkerställa kunders tillgång till Tjänsten sker kontinuerlig övervakning och loggning av trafik, applikationsloggar och andra systemavvikelser.
Kryptering
Trafik till och från systemet är krypterad med TLS. Lagrade filer är krypterade med 256-bitars AES. Lösenord till Tjänsten sparas som en saltad hash-summa och integrationsnycklar och personnummer krypteras.
Separering av data
Datans kundtillhörighet säkerställs på applikationsnivå genom unika identifierare.
Lagringsminimering
Blikk Sverige AB arbetar aktivt för att begränsa lagringstider i applikationen och angränsande system.
Observera att det kan finnas lagkrav på att arkivera och spara vissa uppgifter, men det ska enligt Blikk Sveriges policys finnas gallringsrutiner för varje process och system där personuppgifter förekommer.
Vid uppsägning, avslut av testperiod eller om Blikks rättsliga grund för behandling av uppgifterna av någon anledning upphör, ska kundens konto och dess data raderas eller anonymiseras efter 90 dagar. Kundens primärkontakt raderas eller anonymiseras efter 365 dagar såvida det inte finns annan rättslig grund eller obligatoriska lagbestämmelser för Blikk Sverige AB att fortsätta lagra denna data.
Anonymisering av användare i Tjänsten kan göras av Kundens administratör i administrationsgränssnittet.
Begränsningar av åtkomst till kunddata
Alla anställda har signerade sekretessavtal. Behörig personal kan beroende på roll tilldelas åtkomst till Kunddata för support, felsökning samt utvecklingsrelaterade insatser. Underleverantörer (IT-konsulter och liknande) kan i undantagsfall ges tillfällig åtkomst, detta regleras alltid med NDA.
Obehörig personal kan endast få åtkomst till Kundens användarkonton genom att användare hos Kunden aktiverar support-åtkomst. Detta innebär att systemet blir tillgängligt för support och felsökning under som längst en vecka, eller till dess att användaren själv avslutar åtkomsten.
Åtkomstkontroller finns utformade för att hantera elektronisk åtkomst till data och systemfunktionalitet baserat på behörighetsnivåer och jobbfunktioner, (t.ex. åtkomst beviljad baserat på behov och kunskap, användning av unika id och lösenord samt MFA för alla användare). Granskning och återkallande/ändring av åtkomst sker omedelbart när anställning upphör eller förändringar i jobbfunktioner sker.
Dataskydd & GDPR
Blikk Sverige AB har en utsedd Data Protection Manager som är ansvarig för att granska och kontrollera att personuppgifter behandlas i enlighet med dataskyddsförordningen samt verka rådgivande till verksamheten. DPM ingår också i ett större nätverk av DPMs inom Visma-koncernen.
Utbildning inom dataskydd, säkerhet och GDPR sker årligen internt och via moderbolaget Visma.
Incidenthantering
Det finns olika typer av incidenter som kan uppstå. Programrelaterade och säkerhetsincidenter är exempel på incidenter som kan, men behöver inte vara, personuppgiftsincidenter. Om en programrelaterad incident inträffar kan det innebära att det blir en personuppgiftsincident.
Ett problem i Blikk Sverige ABs program som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
Vid en incident påbörjas en incidentresponsprocess vars syfte delvis är att stoppa och begränsa vidden av incidenten samt kartlägga påverkan på kundens datas konfidentialitet, integritet och riktighet. I det fall en personuppgiftsincident bedöms vara anmälningspliktig ska anmälan göras till IMY inom 72 timmar.
Blikk Sverige ABs incidenthanteringsprocessen ser ut enligt följande:
Blikk Sverige ABs Security Incident Response Team (SIRT) sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten.
Identifiera
Vid identifieringen av incident innebär det att incidenten upptäcks och rapporteras in att något har inträffat och vad.
Begränsa
Förhindra att incidentens orsak sprider sig och/eller drabbar mer data eller fler kunder. Syftet är att ge andningsrum för en utredning samt ge upphov till välplanerade åtgärder och forensisk analys om nödvändigt.
Utreda
En utredning påbörjas där en undersökning av omfattning, potentiellt vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir.
Vidta åtgärder
Det görs en bedömning av händelsen och åtgärdsplan skapas och åtgärder vidtas. I de fall Blikk Sverige AB är personuppgiftsbiträde kontaktas primärkontakt/systemadministratören för en organisation som är personuppgiftsansvarig, för att kunna göra bedömning och rapportering. Vid en anmälningspliktig personuppgiftsincident rapporteras den i enligt med Integritetsskyddsmyndighetens riktlinjer och mall. I de fall Blikk Sverige AB är personuppgiftsansvarig meddelas de berörda i olika kanaler, beroende på omfattning.
Utvärdera
Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en utvärdering över hanteringen av incidenten i syfte att förhindra att problemet uppstår igen.
Senast uppdaterad: 2024-10-28
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.