Styrning, risk och efterlevnad

På SuperOffice arbetar vi målmedvetet för att värna om integritet, säkerhet och öppenhet. Det här avsnittet ger en översikt över vår styrningsmodell och de policyer och rutiner som säkerställer att alla våra anställda samverkar för att uppnå de önskade målen när det gäller integritet, säkerhet och öppenhet.

Styrning i SuperOffice

SuperOffice Quality Management System (SQS) bygger både på ISO-standarder och på GRC-principen: Governance + Risk management + Compliance (styrning + riskhantering + efterlevnad)

De processer som fastställs och genomförs av SuperOffices bolagsstyrelse avspeglas i företagets struktur och hur det styrs och leds mot uppfyllandet av våra mål.

SuperOffice SQS innefattar för närvarande implementering av vårt ledningssystem för informationssäkerhet för alla våra interna system och för molntjänsten SuperOffice CRM Online som erbjuds våra kunder. Dessutom täcker SQS alla processer som rör integritet enligt den allmänna dataskyddsförordningen (GDPR).

Riskhantering

För informationsobjekt genomförs en övergripande riskbedömning som uppdateras årligen. Vårt säkerhetstänkande bygger på riskbedömningar enligt artikel 24 i EU: s allmänna dataskyddsförordning (EU-GDPR) och avsnitt 3 i IKT-bestämmelserna.

Riskhanteringen består av en uppsättning processer genom vilka SuperOffice-ledningen tillförlitligt och i tid identifierar, analyserar och reagerar på risker som kan ha en negativ inverkan på uppnåendet av företagets affärsmål. Hur riskerna bemöts beror normalt på hur allvarliga de bedöms vara och kan innebära att man övervakar, undviker, accepterar eller överför dem till en tredje part.

Vi hanterar en mängd olika risker: tekniska risker, informationssäkerhetsrisker, kommersiella/finansiella risker och naturligtvis externa rättsliga risker och risker när det gäller efterlevnad av regelverken.

Klassificering och kontroll av information

Det är viktigt att brister i konfidentialiteten och informationsskyddet inte uppstår. Det är därför av yttersta vikt att vi skyddar informationen baserat på dess kritikalitet. All väsentlig information registreras därför och tilldelas till en särskild ägare.

Informationen klassificeras också för att göra det möjligt att tillämpa nödvändiga och lämpliga säkerhetsåtgärder. Informationsägaren ansvarar för underhåll och kontinuerlig tillämpning av godkända och lämpliga kontroller och förbättringar.

Tredje parts tillgång till uppgifter

All information som lagras i SuperOffice CRM Online behandlas konfidentiellt och varken utlämnas eller säljs till tredje part. All information lagras på ett säkert sätt och kan endast kommas åt av kunden och av den betrodda SuperOffice-personalen för administrativa syften.

Efterlevnad

SuperOffice följer de rättsliga krav som EU ställer i EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). De USA-baserade tjänsterna är certifierade enligt Privacy Shield-överenskommelsen mellan EU och USA och/eller Safe Harbor-överenskommelsen mellan USA och Schweiz. Alla SuperOffice-data lagras i Europa.

Avtal om behandling av personuppgifter

Avtal om behandling av personuppgifter upprättas mellan SuperOffice och kunden när SuperOffice CRM Online-avtalet skrivs under. Syftet med avtalet är att reglera SuperOffices behandling av personuppgifter för de kunder som använder SuperOffice CRM Online. Personuppgiftsbiträdesavtal upprättas mellan SuperOffice och personuppgiftsbiträden/App Store-partner.

Säker lagring (ISO 27001/27018)

Data som lagras i SuperOffice CRM Online skyddas av ett ISO 27001-certifierat ledningssystem för informationssäkerhet. ISO 27018-certifiering är planerad till 2018. Dessa ISO-standarder är internationell bästa praxis för informationssäkerhet. GDPR uppmuntrar därför till ISO 27001-certifiering för att visa att informationssäkerheten tas på allvar på alla nivåer i organisationen.

Externa säkerhetskonsulter kontrollerar regelbundet våra säkerhetspolicyer och testar försvars- och säkerhetsåtgärderna. SuperOffice och våra hostingpartner lägger stor vikt vid att skydda all information i SuperOffice CRM Online.

Revisioner och ISAE 3402

Kunden har rätt att utföra periodiska säkerhetsrevisioner, kontroller och inspektioner. Revisionen kan innefatta genomgång av huvudrutiner, slumpmässig provtagning, mer omfattande kontroller på plats och andra lämpliga kontroller. Parterna måste stå för de egna kostnaderna i samband med sådana revisioner, kontroller och inspektioner. Kunden utför revisionerna tillsammans med en berättigad och certifierad tredje part.

SuperOffice låter årligen en tredje part utföra en säkerhetsrevision. Syftet med sådan revision är att påvisa att de tekniska och organisatoriska säkerhetsåtgärder som vidtas av SuperOffice fyller sin funktion. Rapporterna om den årliga revisionen som utförs av Ernst & Young (EY) och bygger på ISAE 3402 är tillgänglig för kunderna mot en fastställd avgift.

Säker produktutveckling

SuperOffice följer principerna om inbyggd säkerhet och inbyggt dataskydd vid programutvecklingen. All programkod utvecklas med fokus på säkerhet och integritet från början till slut. Nya versioner testas av dedikerad testpersonal och genomgår också omfattande extern testning (beta-/pilotprovning).

SuperOffice utför olika tester som exempelvis funktions-, integrations-, prestanda- och belastnings-/stresstester. Testningen sker både automatiserat och manuellt.

Alla system som utvecklas för SuperOffice har tydliga säkerhetskrav, inklusive validering av data, säkerställande av kod före introduktion i produktionsmiljö och användning av kryptografi. Strukturerade metoder som agile, scrum, etc. används för att styra samtliga delar i utvecklingsprocessen.

Alla ändringar i produktionsmiljön följer erkända rutiner. Dedikerade test- och utvecklingsmiljöer används för att testa alla förändringar, t.ex. buggfixar och nya versioner, innan de tas i bruk i produktionsmiljö. Oberoende testpersonal testar regelbundet ny funktionalitet.

Dessutom testas och godkänns all programvara av en intern ägare och operatör innan den överförs till produktionsmiljön.

Innan vi inför några nya ändringar i produktionen genomför och dokumenterar vi systematiskt en hot- och en riskbedömning, en säkerhetsgranskning av kod samt penetrationstester. Om inga säkerhetsproblem upptäcks införs den nya funktionaliteten i det befintliga SuperOffice-programmet.

SuperOffice AS samarbetar med en oberoende säkerhetskonsult – Watchcom AS, i syfte att utveckla säkra applikationer och tjänster.

Watchcom bistår SuperOffice med säkerhetsbedömningar, säkerhetstestning av applikationer, penetrationstestning samt konsulttjänster. Watchcom arbetar med internationella säkerhetsstandarder som: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP, WASC. Dessa standarder utgör grunden för allt arbete och alla rapporter som skickas till SuperOffice.

Utträdesplan

När kundens prenumeration på SuperOffice CRM Online-tjänsterna avslutas eller upphör inaktiveras kontot och är inte längre tillgängligt. När kundens användare med administrativ behörighet därefter försöker logga in till dessa tjänster styrs de automatisk till en webbplats där de kan ladda ned alla data som tillhör kunden. Dessa data är i ett generiskt filformat. Nedladdningen kan göras inom 30 dagar från uppsägningen av avtalet. Efter 30 dagar raderas samtliga uppgifter som tillhör kunden från SuperOffices servrar och datacenter. Säkerhetskopior kommer att finnas tillgängliga i enlighet med rutinerna för säkerhetskopiering.

Molnsäkerhet

Få information om vilka säkerhetsåtgärder som skyddar alla data som lagras i SuperOffice CRM Online.

GDPR och CRM

Läs om hur SuperOffice CRM kan hjälpa dig att behandla personuppgifter på ett sätt som är förenligt med GDPR.

App Store och API:er

Här presenterar vi de olika juridiska avtal, policyer, regler och certifikat som SuperOffice efterlever.