Säker lagring (ISO 27001/27018)
Data som lagras i SuperOffice CRM skyddas av ett ISO 27001 och ISO 27018 certifierat ledningssystem för informationssäkerhet.
Eftersom ISO-standarderna är den internationella bästa praxisen för informationssäkerhet uppmuntrar GDPR företagen att erhålla ISO 27001-certifiering för att visa att informationssäkerheten tas på allvar på alla nivåer i organisationen.
SuperOffices ledningssystem för informationssäkerhet ser till att varje incident i SuperOffice CRM hanteras enligt ett strikt definierat förfarande.
Externa säkerhetskonsulter kontrollerar regelbundet våra säkerhetspolicyer och testar försvars- och säkerhetsåtgärderna. SuperOffice och våra hostingpartner lägger stor vikt vid att skydda all information i SuperOffice CRM.
Hostingpartner
Visma ITC AS är ansvarig hostingpartner för SuperOffice CRM. Maskinvara, infrastruktur, datalagring och kommunikationslinjer hanteras och tillhandahålls av Visma ITC.
Visma ITC har följande certifieringar: ISO 9001, ISO 20000, ISO 27001 och ISO 27018. Alla säkerhetsutlåtanden och policyer i detta dokument gäller både SuperOffice AS, som leverantör, och Visma ITC, som vår hostingpartner.
Personalsäkerhet
Tillträde till Visma ITC:s kontor och lokaler styrs av ett passersystem i byggnaden. Vid ingången till byggnaden används videoövervakning. Det går inte att ta sig in i Visma ITC:s lokaler utan att ha fått uttryckligt tillstånd eller utan tillsyn av Visma ITC:s auktoriserade personal.
Att personalen som ansvarar för systemadministration, som designers, utvecklare och systemadministratörer, har rätt kvalifikationer kontrolleras genom intervjuer, tester och verifiering av referenser. Personalen får den utbildning som krävs för att säkerställa att den är väl kvalificerad för de uppgifter den utför.
Fysisk och miljömässig säkerhet
Alla data i SuperOffice CRM lagras på säkra servrar som finns inom EU/EES. Huvudproduktionssystemet är beläget i två separata datacenter i Norge. Datacentren skyddas av både människor och tekniska säkerhetsåtgärder. Åtkomsten till datacentren hanteras uteslutande av Visma ITC, och den tekniska personalen är tillgänglig 24x7/365.
SuperOffice CRM nätverk är uppbyggt i enlighet med de bästa säkerhetsmetoderna, med separata och isolerade nätverkszoner för olika delar av systemet. Nätverksövervakning ger lösningen stabilitet och tålighet tack vare proaktiva åtgärder och snabb problemupptäckt. Övervakningen skickar också varningar till oss när/om någon försöker bryta sig in i systemet.
Alla servrar är anslutna till redundanta nätaggregat. Redundanta kylsystem används för att säkerställa stabila temperatur- och driftsförhållanden i serverrummen. Lokalerna är brandskyddade genom flera olika åtgärder. Dessutom har en katastrofåterställningsplan tagits fram för att säkerställa en snabb återställning om det skulle behövas.
SuperOffice SaaS/webbapplikation finns på en uppsättning virtualiserade, klustrade Windows-servrar. Servrarna är byggda med fullständig redundans på alla nivåer, inklusive redundant strömförsörjning med avbrottsfri kraftkälla, raidspegling av alla diskar och redundanta nätverkskort.
Alla servrar fungerar dessutom i en lastbalanserad och feltolerant miljö som är specifik för deras uppgift, dvs. det finns separata servergrupper för webbservrar, databasservrar och filservrar. Alla SuperOffice-servrar är ständigt övervakade. Dokument som arkiveras i SuperOffice lagras på Microsoft Azure-servrar i två redundanta datacentraler inom EU.
Nätverkshantering
Alla nätverk skyddas med redundanta brandväggar. Kommunikationen mellan platser skyddas av ett krypterat VPN. Eventuella ändringar i brandväggsreglerna beror på ändrade hanteringsrutiner och loggas noggrant.
Kryptering
All kommunikation mellan våra servrar och kunderna som använder vår webbplats är krypterad med SSL (Secure Socket Layer). All kommunikation mellan SuperOffices mobila applikationer och servrarna är också krypterad med SSL. Vi använder alltid internationellt erkända kryptografiska metoder för att skydda information som lagras på vår webbplats, t.ex. TLS and IPSEC/RSA256(SHA256withRSA)/HSTS.
Driftsrutiner och ansvar
SuperOffice meddelar senast 24 timmar i förväg om schemalagda driftsavbrott. Information om systemstatus och schemalagda driftsavbrott visas på respektive användares inloggningsskärm samt på statussidan: status.superoffice.com.
Servicekapacitet och prestanda övervakas kontinuerligt. Vi kan därför lätt förutse behovet av uppgraderingar av servrar och infrastruktur. Uppgraderingar och patchar schemaläggs så att kundernas verksamhet påverkas så lite som möjligt. Patchar för systemkritiska problem tillämpas så fort som möjligt.
Skydd mot skadlig programvara
Centralt administrerad antivirusprogramvara finns på alla servrar och internt använda datorer. Det sker daglig kontroll av eventuella sårbarheter i SuperOffice CRM miljön och alla skyddsverktyg uppdateras kontinuerligt.
Säkerhetskopiering
Alla data säkerhetskopieras varje natt och lagras i två separata miljöer. Säkerhetskopiorna krypteras och överförs via en krypterad VPN-tunnel.
SuperOffice CRM använder två typer av datalagring: Microsoft SQL Server-databasen och dokumentarkivet. Alla data är helt åtskilda för varje kund. Alla databaser har 30 dagars valfri återställningstid. Det innebär att en återställning kan göras från vilket datum och vilken tidpunkt som helst under de senaste 30 dagarna. Dessutom tas en månatlig säkerhetskopia som lagras i 12 månader. En årlig säkerhetskopia lagras i 10 år.
Alla dokumentarkiv speglas kontinuerligt mellan två fysiskt åtskilda datacenter och har separata säkerhetskopior på båda platserna. Säkerhetskopieringen görs en gång per dag (vanligen på natten). Dokumentändringar säkerhetskopieras och lagras i 30 dagar. Säkerhetskopior av raderade filer (dokument) lagras i 90 dagar.
Säkerhetskopieringsrutinerna för tredjepartsappar beror på tredjepartsleverantörernas specifikationer och tjänstevillkor och ingår inte i SuperOffice CRM tjänstens omfattning.
Åtgärder för driftskontinuitet
SuperOffice har upprättat en katastrofåterställningsplan. Produktionsmiljön har redundans för att ge hög tillgänglighet i felsituationer och för att kunna hantera höga trafiktoppar till vår webbplats. SuperOffice och Visma ITC (vår hostingpartner) har gemensamma och sammanhängande rutiner för incidenthantering och katastrofåterställning.
Kontroll av åtkomst till SuperOffice CRM tjänsterna
All obehörig åtkomst till SuperOffice-webbplatsen blockeras automatiskt av en brandvägg. SSL-kryptering och användarautentisering skyddar informationen och ser till att bara användare i kundens organisation kan komma åt data.
För kundinstallationerna stödjer vi användarnamn och lösenord lagrade i SuperOffice CRM, Office 365 och G Suite (Google). Tvåfaktorsautentisering stöds vid användning av Office 365 och G Suite.
Tillgång till personuppgifter
Användarna kan när som helst logga in på vår webbplats med användarnamn/lösenord, få tillgång till personuppgifter och uppdatera kontaktuppgifter.
Åtkomsthantering i SuperOffice CRM-applikationen
Användaråtkomsten hanteras av kunden. Kunden ansvarar för att tilldela lämpliga behörigheter till enskilda användare. Användarautentiseringen sker via en kombination av användarnamn och lösenord. Kunden kan skapa användare med olika åtkomstnivåer beroende på deras roll eller behörigheter i SuperOffice CRM.
Det finns ingen central lösenordspolicy som upprätthålls av SuperOffice. Kunden följer i stället den lösenordspolicy som gäller i det egna företaget. Användaren/kunden ansvarar för att användarnamnen och lösenorden förblir säkra.
Kontroll av åtkomst till operativsystem
Endast behörig systempersonal har tillgång till och kan utföra OS-beroende administration på SuperOffice-servrarna. Patchar på OS och OS-beroende programvara tillämpas så snart de nya patcharna har släppts och testats i en testmiljö.
Spårbarhet och systemåtkomst
All åtkomst till webbplatsen registreras både i databasen och i loggfilerna. Logfilerna säkerhetskopieras dagligen och man kan gå tillbaka i tiden för att hitta information om vem som varit på en SuperOffice-webbplats vid en viss tidpunkt.
Endast behörig personal har rätt att hantera loggfiler och ändra systemåtkomstnivåer. Inloggningar och användning av systembehörigheter loggas på servrarna. Inloggningarna registreras med användarnamn och källans IP-adress.