Informationssäkerhet

Informationssäkerhet – Draftit Privacy AB

Senast ändrad 2018-10-10

1 Vår informationssäkerhet

Vi på Draftit Privacy använder oss av en extern leverantör för våra produkters installationer, applikationer och informationslagring. Vårt mål är att hålla en så hög nivå på dataskydd som våra kunder kräver samt uppfylla nuvarande GDPR. Med nuvarande datalagrings geografiska placering lyder informationssäkerheten under svensk lagstiftning.

2 Underleverantörer

Våra produkter är baserade på EPiServer CMS, som levereras av EPiServer Group AB, och hostas av AddPro AB. I vissa delar av utvecklingen av våra tjänster anlitar vi en teknikpartner, Dynamic Dog Digital Agency AB, som av naturliga skäl har tillgång till vår plattform. Vi har tecknat biträdesavtal samt sekretessavtal med vår teknikpartner.

3 Kommunikation

Vi använder en dedicerad virtuell brandvägg i en centralt klustrad brandväggsmiljö. Den virtuella brandväggen är uppbyggd enligt ett modulärt system där vi kan förändra kapacitet och funktioner efterhand som behovet uppkommer. Vår hostingpartner ansvarar för drift av tjänsten med omfattningen:

  • • Felsöka och åtgärda driftstörningar
  • • Drift och administration av den centrala plattformen
  • • Informera och eskalera vid driftstörningar
  • • Loggning av förändringar
  • • Installation av rättningar (säkerhetsuppdateringar)
  • • Övervakning av centrala plattformen för brandväggen

4 Server

4.1 Datacenter
Draftit Privacy använder två (2), kommunikationsmässigt, sammankopplade datacenters placerade i Malmöområdet. Datacentren har ett geografiskt avstånd om 9 km mellan varandra. Det primära datacentret omfattar:

    Fysisk säkerhet

    • • Tillträde till serverhall sker via sluss med dubbla dörrar med passagekontroll och kameraövervakning.
    • • Brandklassad enligt normen EI60.
    • • Släcksystem med Inergen
    • • UPS:er, kylanläggningar, dieselgenerator och gastuber i egna separata brandceller skilda från
    • • serverhall.
    • • Jordat antistatiskt golv
    • • Komplett PUS-system (potentialutjämningssystem, d.v.s. jordning)
    • • Larm (Drift, Skal- och Volymskydd) kopplat mot väktarbolag
    • • Lokalerna är videoövervakade
    • • Lokalerna motsvarar en säkerhet enligt: SSF 130:6, larmklass 2, SSF 200:3 skyddsklass 2 för mekaniskt inbrottsskydd, samt uppfyller lägst klass 3 i SS3522. För brandlarmsinstallationer följs Svenska Brandförsvars Föreningens rekommendationer (SBF 110:6).

    Nätverk

    • • Rack för kritisk utrustning är utrustade med dubbla, mot de centrala switcharna, aggregerade rackswitchar. (När utrustning är inkopplad via s.k. teamade nätverkskort mot båda switcharna uppnås en nätverksredundans ända fram till applikationerna).
    • • Säkerhetsmässigt zonindelat hostingnät som sträcker sig över båda serverhallarna och möjliggör exempelvis flytt av virtuella servrar mellan siterna och att en kund kan ha servrar på båda ställena.
    • • Hela hostingnätet är uppbyggt av redundanta komponenter
    • • Alla kundmiljöer är separerade fysiskt eller med firewalls.
4.2 Antivirus
På samtliga servrar finns End Point Security som skyddar användaren och företaget mot externa hot. End Point Security arbetar aktivt i bakgrunden på varje enhet utan att i övrigt störa klientens arbete. Tjänsten End Point Security skyddar mot virus, spionprogram, trojaner, rootkits och annan skadlig kod inkluderat de senaste webhoten. End Point Security skyddar både klienter och servrar.

5 Information

5.1 Säkerhetskopiering
Hela miljön för säkerhetskopiering övervakas och underhålls med produkter, rutiner och processer som är anpassade för sitt ändamål. En full backup görs av alla databaser varje natt. Dessutom säkerhetskopieras ändringar löpande varje timme. Återläsning kan enligt SLA ske inom 24 timmar (Måndag 8.00 – Fredag 17.00) beroende på vår hostingpartners prioritering av ärendet. Garanterad återläsningstid (från inställelsetiden) är två timmar samt ett tillägg om en timme per 100GB data. Miljön för säkerhetskopiering är placerad i ett datacenter som är fysiskt åtskild från den vanliga serverhostingmiljön. Miljön nyttjar även en fullt redundant infrastruktur avseende nätverk, brandväggar och kommunikation.
5.2 Lagring
Informationen lagras på servrar som tillhandahålls av vår hostingpartner. Hostingen är en molnlösning som kontinuerligt uppdateras med de senaste patcharna från Microsoft. De fysiska servrarna står i en datahall i Malmö.
5.3 Åtkomst till informationen
Vi ger endast behörighet att läsa information till de anställda internt som på något vis behöver åtkomst för att utföra sina arbetsuppgifter. Det är teknisk personal som ansvarar för drift, underhåll och utveckling, innehållsredaktörer, innehållsadministratörer samt personal som jobbar med kundkontakt och kundsupport. Även vår hostingpartner har tillgång till informationen i detta avseende.

6 Drift och underhåll

Tjänsten är tillgänglig 99,5% under avtalad servicetid. Draftit Privacy har till uppgift att förekomma kundernas incidenter genom att säkerställa tillgängligheten av IT tjänster. Vår primära uppgift är att jobba proaktivt så kunden kan upprätthålla en konkurrenskraftig och effektiv verksamhet med minimal risk för driftstörningar. Våra tekniker arbetar proaktivt genom att kontinuerligt genomföra förebyggande underhåll i form av periodiska kontroller, agera på övervakningslarm, analysera trender och planera in samt genomföra förändringsarbete i kundernas miljöer (Change management).

I driftorganisationen har vi även tekniska projektledare som kan ge stöd i kontakter med olika leverantörer, konsulter med specialistkompetens för hantering av komplexa problem (Problem management).

7 Informationssäkerhet

7.1 Fysisk informationssäkerhet
  • • Drift-SLA om 99,5%
  • • Servrarna monitoreras avseende driftstörningar
  • • Servrarna skyddas av en brandvägg
  • • Servrarna har virusskydd
  • • Brandväggar och virusskydd uppdateras kontinuerligt
  • • Servrarna säkerhetskopieras, backuper sparas rullande
7.2 Organisatorisk informationssäkerhet
  • • Autentisering: sker enligt Microsoft branschstandard (ASP.NET Forms Authentication)
  • • Kryptering: SSL
  • • Åtkomst: sker med behörighetsfunktioner (styrs av administratörerna)
  • • Lösenordskryptering: Den mest avancerade tillgänglig i .Net framework
  • • Draftit Privacy har arbetsrutiner för att minimera risk via s.k. Social Engineering
  • • Vi genomför löpande penetrationstester enligt OWASP Top 10 genom externa experter för att säkra plattformen och dess innehåll från obehörig tillgång.
7.3 Inloggning och lösenord
Hos Draftit Privacy är det ett absolut minimalt antal anställda som har administrativ behörighet till produkterna och alla lyder under tystnadspliktsförbindelse. Samtliga utbildas grundligt innan man kvalificeras för arbete i portalen som administratör.

Lösenordet måste vara minst 5 tecken.

Kontot låses efter fem misslyckade inloggningsförsök och är låst till dess en administratör låser upp det.

Vi erbjuder anpassade lösenordsregler där vi kan sätta upp anpassade regler enligt önskemål. Det som kan specificeras är antal siffror, antal specialtecken, minsta längd och krav på tvåfaktorsautensiering.

Alla användare med personligt konto kan välja att aktivera tvåfaktorsautensiering i "Min profil". Väljer man att koppla på anpassade lösenordsregler kan man dessutom tvinga sina användare att använda det.

Vår lösning bygger på att man använder sin telefon för att via en app generera en säkerhetskod som anges vid inloggning.
7.4 Användarkonton
När ett nytt konto skapas skickas ett registreringsmail till användaren med en länk för val av lösenord. Länken är aktiv i 24 timmar. Om användaren glömmer sitt lösenord kan lösenordet återställas, ett mail skickas då till användaren med en länk för återställning av lösenord. Länken är aktiv i 72 timmar.

8 Support

Draftit Privacy har två supportnivåer:

Supportnivå 1 bemannas av våra supportspecialister inom CS (Customer Success), som skall identifiera incidenten, öppna ett incidentärende och initiera åtgärd, samt hantera incidenter som kräver djupare kompetens.

Supportnivå 2 bemannas av våra underleverantörs specialister, eller externa konsulter. Supportnivå 2 är sista ledet för eskalering och för åtgärd av en incident.

Processflödet för incidenthantering följer ITILs modell för IT Service Management:

  • 1. En användare ringer eller skickar ett E-postmeddelande till CS för att rapportera en incident.
  • 2. Ett incidentärende registreras.
  • 3. CS bekräftar med ett e-mail till användaren/kontaktpersonen att incidenten är registrerad.
  • 4. Diagnos av incidenten genomförs, felsökning eller eskalering sker.
  • 5. Om supportteknikern som har tagit emot ärendet själv kan åtgärda det, så tilldelar supportteknikern ärendet till sig själv, åtgärdar det samt meddelar och verifierar funktionen med användaren.
  • 6. Om inte supportteknikern kan åtgärda ärendet eskaleras ärendet till supportnivå 2. Beskrivning av åtgärd skrivs in i ärendet och ärendet stängs.
Draftit Privacy har även daglig mätning av följande parametrar:

  • • Svarstid
  • • Samtalsregistrering
  • • Åtgärdstid
  • • Antal samtal per månad
  • • Genomsnittlig samtalslängd
  • • Nivå på support och teknikernas kompetens