Efterlevnad

För att uppnå strukturerade och strategiska metoder för informationssäkerhet driver vi internt säkerhetsprogram i enlighet med flera välkända branschstandarder. Vi värdesätter dess betydelse, då de ger försäkran om att vi är att lita på. Vårt Ledningssystem för Informationssäkerhet (LIS) följer ISO/IEC 27000-serien, andra standarder och ramverk. Tillika organisatoriska & tekniska säkerhetsåtgärderna för att uppfylla relevanta lagkrav och motståndskraft för cyberattacker mm.
                              

Informationssäkerhet

Styrning av informationssäkerhet är en självklar och integrerad del av den egna verksamheten. Vi är också starkt övertygade om att välfungerande styrningsmodeller är avgörande, för att skapa en hållbar säkerhetsstrategi. Något som blir alltmer vedertaget i branschen. Med tydliga och effektiva styrningsramverk bidrar vi både till den interna säkerheten och de experterbjudanden som hjälper kunder att bygga robusta modeller för informationssäkerhet.

Informationsklassificering
Klassificering av information, system och tjänster utförs enligt CIA-modellen (Konfidentialitet, Integritet och Tillgänglighet).

Riskhantering för informationssäkerhet
Informationssäkerhetsriskhantering är en kontinuerlig process där regelbundna riskbedömningar genomför för att ständigt utvärdera eventuella risker vid levereras av våra tjänster. Vår riskhanteringsstrategi innefattar:

• Riskhanteringsprocessen kontrollerar förändringar som påverkar informationssäkerheten och är en självklar del i utvecklingen av tjänsteerbjudanden förknippade med befintliga eller nya tjänster, system och leverantörer.
• När behandling av personuppgifter sannolikt innebär hög risk för individers rättigheter och friheter, genomförs en så kallad DPIA (Data Protection Impact Assessment) för att säkerställa ett adekvat skydd av personuppgifter.

Informationssäkerhetsrevisioner
Som en del av LIS genomförs internrevisioner, självskattningar och bedömningar av informationssäkerhet & kontinuitet att säkerställa efterlevnad av säkerhetsstandarder, branschstandarder samt tillämpliga lagstiftningar.

Informationssäkerhets- & integritetsincidenter
Alla säkerhets- och dataskyddsincidenter hanteras enligt detektering, bedömning, behandling, kommunikation, utvärdering och rapportering.

Leverantörsbedömningar
För att säkerställa efterlevnad av informationssäkerhetspolicyer och dataskyddslagstiftning i leveranskedjan bedöms system och leverantörer vid inköp. Detta innefattar granskning av säkerhets- och dataskyddsfrågeformulär, certifieringar, standardiserade frågeformulär, tekniska rapporter och juridisk efterlevnad.

Styrande dokument & policyhantering
Våra styrdokument såsom policyer mm är strukturerade att täcka områden i vedertagna standarder och ramverk, samt visar engagemang för att uppfylla regulatoriska skyldigheter, ständiga förbättringar.

Informationssäkerhetsmedvetenhet
Med anledning av vikten av kontinuerlig medvetenhetsutbildning (som är en färskvara), utförs löpande tester i informationssäkerhet & dataskydd.

Bakgrundskontroll
Eventuella underkonsulter omfattas av informationssäkerhets- och sekretessavtal, vilket innebär att det vid behov genomförs bakgrundskontroller, anställningsverifiering, referenstagning. För vissa tjänster, kan även även utdrag ur belastningsregistret begäras.

Interna system & verksamhet

I de fall det krävs, säkerställs hög nivå av säkerhet på de system som vi använder.

Åtkomstkontroll
Åtkomstkontroll är begränsad till behov.

Multifaktorsautentisering (MFA)
Multifaktorsautentisering är alltid en självklarhet och skyddas t ex via Microsoft Authenticator.

Lösenordspolicy
Vi tillämpar alltid starka lösenord och kontrollerar lösenord mha lösenordshanterare samt utför löpande kontroller mot en databas för svaga eller läckta lösenord.

Kryptering 
Kommunikation mellan kunder krypteras enligt branschstandard.

Separering av kunddata
Varje kunds data är vid behov logiskt separerad för att säkerställa konfidentialitet och integritet.

Hantering av känsliga data
Vi hanterar aldrig känslig information i våra system eller kommunikation utanför kunds egen domän.

Loggning
I de fall det är nödvändigt loggas aktiviteter (t ex fakturering, avtal mm) för att skydda mot manipulation.

Artificiell Intelligens (AI)
Vi utvecklar eller underhåller inte egna AI-modeller utan använder endast AI-lösningar från tredjepartsleverantörer för eget syfte. Notera att kundinformation aldrig används i samband med AI-användning. 

Säkerhetspatchning
Vi övervakar alltid vanliga sårbarheter och exponeringsproblem, samt patchar interna system.

Kris & kontinuitetsplan
Kris & kontinuitetsplan testas för att verifiera förmågan att kunna leverera även vid en kris eller katastrof.

Endpoint-skydd
Enligt god säkerhetshygien är datorer, mobiltelefoner mm skyddade med så kallat endpointskydd.

Integritetspolicy
Dataskydd enligt dataskyddsförordningen (GDPR) är en självklar och central del av vårt arbete, både för vår egen verksamhet och för de tjänster vi erbjuder. I våran integritetspolicy kan du läsa mer om hur vi behandlar personuppgifter relaterade tilltjänsteutövandet.

För att säkerställa att vi uppfyller dessa krav har vi implementerat följande åtgärder:

GDPR
EU dataskyddsförordning (GDPR) syftar till att stärka individers rättigheter genom att förbättra hanteringen av personuppgifter. Vi har etablerat processer för att uppfylla krav och arbetar kontinuerligt med att förbättra våra policyer och processer för dataskydd.

Lagring
Alla personuppgifter behandlas inom EU.

Personuppgiftshantering och lagringstid
För att säkerställa att hanteringen av personuppgifter är begränsad till vad som är nödvändigt, har vi en policy som syftar till att uppfylla GDPR krav på dataskydd, samt principerna om dataminimering och begränsad lagringstid (Rätten till radering för aktiva kunder, vid uppsägning av avtal och begränsning av behandling).

Dessa åtgärder säkerställer att vi hanterar personuppgifter på ett säkert och ansvarsfullt sätt, i enlighet med dataskyddsförordningens krav och våra kunders förväntningar.