IT-sikkerhetspolitikk

GaveFabrikken benytter et hostingselskap i Danmark til oppbevaring og sikring av våre data. Alle data ligger på deres server, og er derved underlagt deres strenge sikkerhetspolitikk.

SIKRINGSMILJØET HOS HOSTINGSELSKAPET

1. Innledning

Som hostingleverandør, er den viktigste sikkerhetsoppgaven å passe godt på alle data, og sørge for at det til enhver tid leves opp til sikkerhetskravene fra GaveFabrikkens kunder. Sikkerhet er derfor et område, som tas meget seriøst - på alle nivåer.

Formålet med denne politikken, er å gi deg et innblikk i hvordan plattformen sikres, så du som kunde ikke behøver å bekymre deg om sikkerheten.

2. Organisering av sikkerhet

Hostingselskapet har etablert et informasjonssikkerhetsprogram (ISMS), som gir den beste beskyttelse og høyeste grad av tillit.

3. Politikker, prosedyrer og standarder

Hostingselskapet har definert et sett av politikker, prosedyrer og standarder, for hvordan det opereres i virksomheten, og hvordan dine data best kan beskyttes. Dokumentene oppdateres løpende, i takt med at trusselbildet endrer seg. På den måten sikres det, at innsatsen hele tiden prioriteres der hvor det er mest bruk for den. Hvordan innsatsen prioriteres, avhenger av firmaets risikovurdering, som oppdateres løpende, og som utgjør kjernen i deres informasjonssikkerhetsprogram.

4. Medarbeidersikkerhet

Alle hostingselskapets medarbeidere og konsulenter med adgang til systemer og fasiliteter, er underlagt deres sikkerhetspolitikk. Alle gjennomgår obligatorisk undervisning, hvor de blir presentert for alle relevante og aktuelle privacy- og sikkerhetsemner. Dette skjer både ved start, og løpende gjennom deres ansettelse. Formålet er å utdanne medarbeiderne til å motstå aktuelle trusler mot virksomhetens og kundenes data.

For å høyne det generelle nivået i bransjen, og for å vedlikeholde firmaets kompetanser, deltar alle medarbeidere aktivt i vertsfirmaer og ERFA-grupper. Alle medarbeidere oppfordres til hele tiden å være i forkant av den nyeste utviklingen, og til å erverve de høyeste sertifiseringene innenfor sikkerhet, nettverk, osv.

5. Dedikerte sikkerhets- og persondatakompetanser

Sikkerhetssjefen er ansvarlig for å implementere og vedlikeholde informasjonssikkerhetsprogrammet. Endelig har hostingselskapet, interne juridiske kompetanser innenfor persondata, som sikrer at persondata behandles etter de gjeldende regler, både internt i virksomheten og på vegne av GaveFabrikken.

6. Operasjonell sikkerhet – Beskyttelse av kundedata

Den viktigste oppgaven i sikkerhetsprogrammet er å passe godt på dine data. For å gjøre det, er sikringsmiljøet delt inn i flere områder:

6.1 Fysisk sikkerhet

Hostingselskapets datasentre er state-of-the-art og plassert i Danmark. Du kan derfor være sikker på, at dine data blir innenfor landets grenser. Datasenterleverandøren er ansvarlig for de fysiske rammene som f.eks. strøm, kjøling, brannslukning og adgangskontroll, og det føres skarp kontroll med, at underleverandørene til enhver tid etterlever de gjeldende sikkerhetsreglene på området.

6.2 Nettverk

Hostingselskapets kjernenettverk er overflødig, så fysiske krasj påvirker ikke normal drift. Firewalls begrenser angrep mod GaveFabrikkens miljø, og den påvirkning, som et evt. angrep måtte ha på serverne. Alle kjernenettverksenheter overvåkes, og alarmering skjer direkte til 24/7 drifts-vakten.

6.3 Logiske adganger

Hostingselskapet tildeler kun rettigheter, til de medarbeidere som har bruk for dem, og vurderer dem løpende. Kun særlig privilegerte medarbeidere har adgang til å administrere interne systemer.

6.4 Overvåkning

Hostingselskapet overvåker deres infrastruktur, og relevante services, døgnet rundt. Alle avvik registreres i deres incident management-system. Som supplement til overvåkningen har vi tilknyttet en 24/7-vaktordning.

6.5 Logging

Hostingselskapet logger alle adganger til management og kundemiljøer. På den måtet sikres integritet og sporbarhet.

6.6 Backup

Hostingselskapet utfører backup ut fra den inngående SLA. Backupdata flyttes alltid til fysisk uavhengig lokasjon, så det er alltid en tilgengelig kopi i tilfelle av et kritisk avbrudd i det primære datasenteret.

7. Beredskap og katastrofe gjenoppretting

Beredskap handler om å være forberedt på hendelser, som kan ha kritisk eller katastrofal påvirkning på driften. Hostingselskapet har derfor beredskapsplaner som fastlegger prosedyrer, rutiner og roller i tilfelle av en katastrofe. Medarbeidere trenes i beredskapet flere ganger årlig.

For å sikre den tekniske infrastrukturen, og spre risikoen ved kritiske avbrudd, brukes det flere uavhengige datasenterleverandører. Det oppbevares alltid minst én kopi av backupdata i et datasenter, hvor det ikke er produksjonsdata.

8. Håndtering av underleverandører

For at hostingselskapet kan operere så effektivt som mulig, benyttes underleverandører til utvalgte servicer. Hvis underleverandørene kan ha påvirkning på sikringsmiljøet, sørges der for, at de etterlever samme strenge krav som hostingselskapet selv. Det sikres via kontrakter, databehandleravtaler, revisjonserklæringer, egenkontroll og fortrolighetsavtaler. Det foretas løpende kontroll av, at alle underleverandører etterlever kravene.