Styrning, risk och efterlevnad

På SuperOffice arbetar vi målmedvetet för att värna om integritet, säkerhet och öppenhet. Det här avsnittet ger en översikt över vår styrningsmodell och de policyer och rutiner som säkerställer att alla våra anställda samverkar för att uppnå de önskade målen när det gäller integritet, säkerhet och öppenhet.

Styrning i SuperOffice

SuperOffice Quality Management System (SQS) bygger både på ISO-standarder och på GRC-principen: Governance + Risk management + Compliance (styrning + riskhantering + efterlevnad)

De processer som fastställs och genomförs av SuperOffices bolagsstyrelse avspeglas i företagets struktur och hur det styrs och leds mot uppfyllandet av våra mål.

SuperOffice SQS innefattar för närvarande implementering av vårt ledningssystem för informationssäkerhet för alla våra interna system och för molntjänsten SuperOffice CRM Online som erbjuds våra kunder. Dessutom täcker SQS alla processer som rör integritet enligt den allmänna dataskyddsförordningen (GDPR).

SuperOffice uppförandekod

På SuperOffice har vi fullt fokus på att leva, andas och agera i enlighet med en hög moralisk standard. Vi tror på kraften hos relationer och hur vi som företag kan samarbeta med alla aktuella intressenter för att skapa en sund miljö för personal, kunder, partners, ägare, leverantörer och alla andra relevanta affärspartners. Som en del av detta arbete har vi två separata dokument som inte bara beskriver våra förväntningar, utan även våra krav på hur individer, företag och andra ska bete sig när de gör affärer med SuperOffice. Detta omfattar naturligtvis även oss själva och alla medarbetare på vårt företag. Vår uppförandekod skapas av vår hållbarhetskommitté tillsammans med vår företagsledning och verifieras av vår revisionspartner PWC.

För att ladda ner och läsa vår uppförandekod, klicka här.

Riskhantering

För informationsobjekt genomförs en övergripande riskbedömning som uppdateras årligen. Vårt säkerhetstänkande bygger på riskbedömningar enligt artikel 24 i EU: s allmänna dataskyddsförordning (EU-GDPR) och avsnitt 3 i IKT-bestämmelserna.

Riskhanteringen består av en uppsättning processer genom vilka SuperOffice-ledningen tillförlitligt och i tid identifierar, analyserar och reagerar på risker som kan ha en negativ inverkan på uppnåendet av företagets affärsmål. Hur riskerna bemöts beror normalt på hur allvarliga de bedöms vara och kan innebära att man övervakar, undviker, accepterar eller överför dem till en tredje part.

Vi hanterar en mängd olika risker: tekniska risker, informationssäkerhetsrisker, kommersiella/finansiella risker och naturligtvis externa rättsliga risker och risker när det gäller efterlevnad av regelverken.

Klassificering och kontroll av information

Det är viktigt att brister i konfidentialiteten och informationsskyddet inte uppstår. Det är därför av yttersta vikt att vi skyddar informationen baserat på dess kritikalitet. All väsentlig information registreras därför och tilldelas till en särskild ägare.

Informationen klassificeras också för att göra det möjligt att tillämpa nödvändiga och lämpliga säkerhetsåtgärder. Informationsägaren ansvarar för underhåll och kontinuerlig tillämpning av godkända och lämpliga kontroller och förbättringar.

Tredje parts tillgång till uppgifter

All information som lagras i SuperOffice CRM Online behandlas konfidentiellt och varken utlämnas eller säljs till tredje part. All information lagras på ett säkert sätt och kan endast kommas åt av kunden och av den betrodda SuperOffice-personalen för administrativa syften.

Efterlevnad

SuperOffice följer de rättsliga krav som EU ställer i EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). All SuperOffice-data lagras i EU/EES. Om SuperOffice väljer att använda underleverantörer utanför EU/EES, måste sådan behandling ske i enlighet med EU: s standardavtalsklausuler för överföring till tredje land, eller någon annan specifikt angiven rättslig grund för överföring av personuppgifter till ett tredje land.

Avtal om behandling av personuppgifter

Avtal om behandling av personuppgifter upprättas mellan SuperOffice och kunden när SuperOffice CRM Online-avtalet skrivs under. Syftet med avtalet är att reglera SuperOffices behandling av personuppgifter för de kunder som använder SuperOffice CRM Online. Personuppgiftsbiträdesavtal upprättas mellan SuperOffice och personuppgiftsbiträden/App Store-partner.

Säker lagring (ISO 27001)

Data som lagras i SuperOffice CRM Online skyddas av ett ISO 27001-certifierat ledningssystem för informationssäkerhet. Dessa ISO-standarder är internationell bästa praxis för informationssäkerhet. GDPR uppmuntrar därför till ISO 27001-certifiering för att visa att informationssäkerheten tas på allvar på alla nivåer i organisationen.

Externa säkerhetskonsulter kontrollerar regelbundet våra säkerhetspolicyer och testar försvars- och säkerhetsåtgärderna. SuperOffice och våra hostingpartner lägger stor vikt vid att skydda all information i SuperOffice CRM Online.

Revisioner och ISAE 3402

Kunden har rätt att utföra periodiska säkerhetsrevisioner, kontroller och inspektioner. Revisionen kan innefatta genomgång av huvudrutiner, slumpmässig provtagning, mer omfattande kontroller på plats och andra lämpliga kontroller. Parterna måste stå för de egna kostnaderna i samband med sådana revisioner, kontroller och inspektioner. Kunden utför revisionerna tillsammans med en berättigad och certifierad tredje part.

SuperOffice/Visma ITC som personuppgiftsbiträde låter årligen en tredje part utföra en säkerhetsrevision. Syftet med sådan revision är att påvisa att de tekniska och organisatoriska säkerhetsåtgärder som vidtas av SuperOffice fyller sin funktion. Rapporterna om den årliga revisionen som utförs av Ernst & Young (EY) och bygger på ISAE 3402 är tillgänglig för kunderna på begäran.

SuperOffice som personuppgiftsansvarig utför granskningar regelbundet, kontroller och inspektioner utförs av en certifierad tredje part. För närvarande  är det PwC. Rapporter om PwCs granskningar görs tillgängliga för kunder på begäran.

Säker produktutveckling

SuperOffice följer principerna om inbyggd säkerhet och inbyggt dataskydd vid programutvecklingen. All programkod utvecklas med fokus på säkerhet och integritet från början till slut. Nya versioner testas av dedikerad testpersonal och genomgår också omfattande extern testning (beta-/pilotprovning).

SuperOffice utför olika tester som exempelvis funktions-, integrations-, prestanda- och belastnings-/stresstester. Testningen sker både automatiserat och manuellt.

Alla system som utvecklas för SuperOffice har tydliga säkerhetskrav, inklusive validering av data, säkerställande av kod före introduktion i produktionsmiljö och användning av kryptografi. Strukturerade metoder som agile, scrum, etc. används för att styra samtliga delar i utvecklingsprocessen.

Alla ändringar i produktionsmiljön följer erkända rutiner. Dedikerade test- och utvecklingsmiljöer används för att testa alla förändringar, t.ex. buggfixar och nya versioner, innan de tas i bruk i produktionsmiljö. Oberoende testpersonal testar regelbundet ny funktionalitet.

Dessutom testas och godkänns all programvara av en intern ägare och operatör innan den överförs till produktionsmiljön.

Innan vi inför några nya ändringar i produktionen genomför och dokumenterar vi systematiskt en hot- och en riskbedömning, en säkerhetsgranskning av kod samt penetrationstester. Om inga säkerhetsproblem upptäcks införs den nya funktionaliteten i det befintliga SuperOffice-programmet.

SuperOffice AS samarbetar med en oberoende säkerhetskonsult – Watchcom AS, i syfte att utveckla säkra applikationer och tjänster.

Watchcom bistår SuperOffice med säkerhetsbedömningar, säkerhetstestning av applikationer, penetrationstestning samt konsulttjänster. Watchcom arbetar med internationella säkerhetsstandarder som: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP, WASC. Dessa standarder utgör grunden för allt arbete och alla rapporter som skickas till SuperOffice.

Utträdesplan

När kundens prenumeration på SuperOffice CRM Online-tjänsterna avslutas eller upphör inaktiveras kontot och är inte längre tillgängligt. När kundens användare med administrativ behörighet därefter försöker logga in till dessa tjänster styrs de automatisk till en webbplats där de kan ladda ned alla data som tillhör kunden. Dessa data är i ett generiskt filformat. Nedladdningen kan göras inom 30 dagar från uppsägningen av avtalet. Efter 30 dagar raderas samtliga uppgifter som tillhör kunden från SuperOffices servrar och datacenter. Säkerhetskopior kommer att finnas tillgängliga i enlighet med rutinerna för säkerhetskopiering.

Något du undrar över?

Om du har frågor som inte besvaras här är du välkommen att kontakta oss