Åtgärder för säkerhet i molnet

Det här avsnittet beskriver de säkerhetsåtgärder som för närvarande skyddar alla data som lagras i vår molntjänst, SuperOffice CRM Online. I linje med vår riskhanteringsmodell övervakas säkerhetsriskerna kontinuerligt och lämpliga säkerhetsåtgärder vidtas för att säkerställa en hög säkerhetsnivå.

Säker lagring (ISO 27001/27018)

Data som lagras i SuperOffice CRM Online skyddas av ett ISO 27001-certifierat ledningssystem för informationssäkerhet. ISO 27018-certifiering är planerad till 2018.

Eftersom ISO-standarderna är den internationella bästa praxisen för informationssäkerhet uppmuntrar GDPR företagen att erhålla ISO 27001-certifiering för att visa att informationssäkerheten tas på allvar på alla nivåer i organisationen.

SuperOffices ledningssystem för informationssäkerhet ser till att varje incident i SuperOffice CRM Online hanteras enligt ett strikt definierat förfarande.

Externa säkerhetskonsulter kontrollerar regelbundet våra säkerhetspolicyer och testar försvars- och säkerhetsåtgärderna. SuperOffice och våra hostingpartner lägger stor vikt vid att skydda all information i SuperOffice CRM Online.

Hostingpartner

Visma ITC AS är ansvarig hostingpartner för SuperOffice CRM Online. Maskinvara, infrastruktur, datalagring och kommunikationslinjer hanteras och tillhandahålls av Visma ITC.

Visma ITC har följande certifieringar: ISO 9001, ISO 20000 och ISO 27001. Visma ITC räknar också med att bli ISO 27018-certifierad under 2018. Alla säkerhetsutlåtanden och policyer i detta dokument gäller både SuperOffice AS, som leverantör, och Visma ITC, som vår hostingpartner.

Personalsäkerhet

Tillträde till Visma ITC:s kontor och lokaler styrs av ett passersystem i byggnaden. Vid ingången till byggnaden används videoövervakning. Det går inte att ta sig in i Visma ITC:s lokaler utan att ha fått uttryckligt tillstånd eller utan tillsyn av Visma ITC:s auktoriserade personal.

Att personalen som ansvarar för systemadministration, som designers, utvecklare och systemadministratörer, har rätt kvalifikationer kontrolleras genom intervjuer, tester och verifiering av referenser. Personalen får den utbildning som krävs för att säkerställa att den är väl kvalificerad för de uppgifter den utför.

Fysisk och miljömässig säkerhet

Alla data i SuperOffice CRM Online lagras på säkra servrar som finns inom EU/EES. Huvudproduktionssystemet är beläget i två separata datacenter i Norge. Datacentren skyddas av både människor och tekniska säkerhetsåtgärder. Åtkomsten till datacentren hanteras uteslutande av Visma ITC, och den tekniska personalen är tillgänglig 24x7/365.

SuperOffice CRM Onlines nätverk är uppbyggt i enlighet med de bästa säkerhetsmetoderna, med separata och isolerade nätverkszoner för olika delar av systemet. Nätverksövervakning ger lösningen stabilitet och tålighet tack vare proaktiva åtgärder och snabb problemupptäckt. Övervakningen skickar också varningar till oss när/om någon försöker bryta sig in i systemet.

Alla servrar är anslutna till redundanta nätaggregat. Redundanta kylsystem används för att säkerställa stabila temperatur- och driftsförhållanden i serverrummen. Lokalerna är brandskyddade genom flera olika åtgärder. Dessutom har en katastrofåterställningsplan tagits fram för att säkerställa en snabb återställning om det skulle behövas.

SuperOffice SaaS/webbapplikation finns på en uppsättning virtualiserade, klustrade Windows-servrar. Servrarna är byggda med fullständig redundans på alla nivåer, inklusive redundant strömförsörjning med avbrottsfri kraftkälla, raidspegling av alla diskar och redundanta nätverkskort.

Alla servrar fungerar dessutom i en lastbalanserad och feltolerant miljö som är specifik för deras uppgift, dvs. det finns separata servergrupper för webbservrar, databasservrar och filservrar. Alla SuperOffice-servrar är ständigt övervakade. Dokument som arkiveras i SuperOffice lagras på Microsoft Azure-servrar i två redundanta datacentraler inom EU.

Nätverkshantering

Alla nätverk skyddas med redundanta brandväggar. Kommunikationen mellan platser skyddas av ett krypterat VPN. Eventuella ändringar i brandväggsreglerna beror på ändrade hanteringsrutiner och loggas noggrant.

Kryptering

All kommunikation mellan våra servrar och kunderna som använder vår webbplats är krypterad med SSL (Secure Socket Layer). All kommunikation mellan SuperOffices mobila applikationer och servrarna är också krypterad med SSL. Vi använder alltid internationellt erkända kryptografiska metoder för att skydda information som lagras på vår webbplats, t.ex. SSL v3/TLS och IPSEC/AES256/SHA1-HMAC.

Driftsrutiner och ansvar

SuperOffice meddelar senast 24 timmar i förväg om schemalagda driftsavbrott. Information om systemstatus och schemalagda driftsavbrott visas på respektive användares inloggningsskärm samt på statussidan: status.superoffice.com.

Servicekapacitet och prestanda övervakas kontinuerligt. Vi kan därför lätt förutse behovet av uppgraderingar av servrar och infrastruktur. Uppgraderingar och patchar schemaläggs så att kundernas verksamhet påverkas så lite som möjligt. Patchar för systemkritiska problem tillämpas så fort som möjligt.

Skydd mot skadlig programvara

Centralt administrerad antivirusprogramvara finns på alla servrar och internt använda datorer. Det sker daglig kontroll av eventuella sårbarheter i SuperOffice CRM Online-miljön och alla skyddsverktyg uppdateras kontinuerligt.

Säkerhetskopiering

Alla data säkerhetskopieras varje natt och lagras i två separata miljöer. Säkerhetskopiorna krypteras och överförs via en krypterad VPN-tunnel.

SuperOffice CRM använder två typer av datalagring: Microsoft SQL Server-databasen och dokumentarkivet. Alla data är helt åtskilda för varje kund. Alla databaser har 30 dagars valfri återställningstid. Det innebär att en återställning kan göras från vilket datum och vilken tidpunkt som helst under de senaste 30 dagarna. Dessutom tas en månatlig säkerhetskopia som lagras i 12 månader. En årlig säkerhetskopia lagras i 10 år.

Alla dokumentarkiv speglas kontinuerligt mellan två fysiskt åtskilda datacenter och har separata säkerhetskopior på båda platserna. Säkerhetskopieringen görs en gång per dag (vanligen på natten). Dokumentändringar säkerhetskopieras och lagras i 30 dagar. Säkerhetskopior av raderade filer (dokument) lagras i 90 dagar.

Säkerhetskopieringsrutinerna för tredjepartsappar beror på tredjepartsleverantörernas specifikationer och tjänstevillkor och ingår inte i SuperOffice CRM Online-tjänstens omfattning.

Åtgärder för driftskontinuitet

SuperOffice har upprättat en katastrofåterställningsplan. Produktionsmiljön har redundans för att ge hög tillgänglighet i felsituationer och för att kunna hantera höga trafiktoppar till vår webbplats. SuperOffice och Visma ITC (vår hostingpartner) har gemensamma och sammanhängande rutiner för incidenthantering och katastrofåterställning.

Kontroll av åtkomst till SuperOffice CRM Online-tjänsterna

All obehörig åtkomst till SuperOffice-webbplatsen blockeras automatiskt av en brandvägg. SSL-kryptering och användarautentisering skyddar informationen och ser till att bara användare i kundens organisation kan komma åt data.

För kundinstallationerna stödjer vi användarnamn och lösenord lagrade i SuperOffice CRM Online, Office 365 och G Suite (Google). Tvåfaktorsautentisering stöds vid användning av Office 365 och G Suite.

Tillgång till personuppgifter

Användarna kan när som helst logga in på vår webbplats med användarnamn/lösenord, få tillgång till personuppgifter och uppdatera kontaktuppgifter.

Åtkomsthantering i SuperOffice CRM-applikationen

Användaråtkomsten hanteras av kunden. Kunden ansvarar för att tilldela lämpliga behörigheter till enskilda användare. Användarautentiseringen sker via en kombination av användarnamn och lösenord. Kunden kan skapa användare med olika åtkomstnivåer beroende på deras roll eller behörigheter i SuperOffice CRM.

Det finns ingen central lösenordspolicy som upprätthålls av SuperOffice. Kunden följer i stället den lösenordspolicy som gäller i det egna företaget. Användaren/kunden ansvarar för att användarnamnen och lösenorden förblir säkra.

Kontroll av åtkomst till operativsystem

Endast behörig systempersonal har tillgång till och kan utföra OS-beroende administration på SuperOffice-servrarna. Patchar på OS och OS-beroende programvara tillämpas så snart de nya patcharna har släppts och testats i en testmiljö.

Spårbarhet och systemåtkomst

All åtkomst till webbplatsen registreras både i databasen och i loggfilerna. Logfilerna säkerhetskopieras dagligen och man kan gå tillbaka i tiden för att hitta information om vem som varit på en SuperOffice-webbplats vid en viss tidpunkt.

Endast behörig personal har rätt att hantera loggfiler och ändra systemåtkomstnivåer. Inloggningar och användning av systembehörigheter loggas på servrarna. Inloggningarna registreras med användarnamn och källans IP-adress.

GDPR och CRM

Läs om hur SuperOffice CRM kan hjälpa dig att behandla personuppgifter på ett sätt som är förenligt med GDPR.

App Store och API:er

Här presenterar vi de olika juridiska avtal, policyer, regler och certifikat som SuperOffice efterlever.

Öppenhet

Läs om varför öppenhet ligger till grund för alla rätts-, säkerhets-, underhålls- och lagringsrelaterade åtgärder i SuperOffice.