Sådan behandler vi dine data

En udvalgt delmængde af vores medarbejdere har adgang til produkterne og til kundedata via kontrollerede grænseflader.

Hensigten med at give adgang til en undergruppe af medarbejdere er at yde effektiv kundesupport, at fejlfinde potentielle problemer, at opdage og reagere på sikkerhedshændelser, og implementere datasikkerhed.

Adgang til kundedata er aktiveret gennem “just in time” anmodninger om adgang. Alle sådanne anmodninger logges. Medarbejdere tildeles adgang alt efter rolle, og gennemgange af højrisikoprivilegiebevillinger igangsættes dagligt. Medarbejderroller og adgange gennemgås og revideres mindst en gang hvert år.

Alle Creditro-medarbejdere gennemgår et omfattende baggrundstjek, som en essentiel del af ansættelsesprocessen. Dette sikrer, at vi kun ansætter de mest pålidelige og kvalificerede fagfolk i vores team.

Baggrundstjekket udføres i fuld overensstemmelse med de gældende love og regler.

Vi sætter også en ære i at opretholde et højt niveau af etik og integritet i vores virksomhedskultur. Alle vores medarbejdere er forpligtet til at opføre sig i tråd med vores virksomheds retningslinjer, som omfatter strenge krav til hemmeligholdelse og beskyttelse af fortrolige oplysninger. Dette sikrer, at vores kunder kan have fuld tillid til os og vores evne til at håndtere deres økonomiske anliggender på en professionel og pålidelig måde.

Vi hoster vores produktinfrastruktur med multi-lejer, outsourcede infrastrukturudbydere. 

De fysiske og miljømæssige sikkerhedskontroller revideres for SOC 2 Type II og ISO 27001 overholdelse, blandt andre certificeringer.

Creditro benytter en ensartet kodeordspolitik for vores kundeprodukter. 

Kunder, der interagerer med produkterne via brugergrænsefladen, skal autentificere, før de får adgang til ikke-offentlige kundedata.

Kundedata lagres i lagersystemer med flere lejere, som kun er tilgængelige for kunder via applikationsbrugergrænseflader og applikationsprogrammeringsgrænseflader. 

Kunder får ikke direkte adgang til den underliggende applikationsinfrastruktur. Autorisationsmodellen i hvert af vores produkter er designet til at sikre, at kun de korrekt tildelte personer kan få adgang til relevante funktioner, visninger og tilpasningsmuligheder.

Autorisation til datasæt udføres ved at validere brugerens tilladelser mod de attributter, der er knyttet til hvert datasæt.

Offentlige produkt-API’er kan tilgås ved hjælp af en API-nøgle eller via Oauth-autorisation.

Netværksadgangskontrolmekanismer er designet til at forhindre netværkstrafik, der bruger uautoriserede protokoller, i at nå produktinfrastrukturen. 

De implementerede tekniske foranstaltninger adskiller sig fra infrastrukturudbydere og inkluderer Virtual Private Cloud (VPC) implementeringer, sikkerhedsgruppetildeling og traditionelle firewallregler.

Creditro benytter en Web Application Firewall-løsning (WAF) til at beskytte hostede kundewebsteder og andre internettilgængelige applikationer. 

WAF er designet til at identificere og forhindre angreb mod offentligt tilgængelige netværkstjenester.

Under transport

Creditro gør HTTPS-kryptering (også kaldet SSL eller TLS) tilgængelig på alle dets login-grænseflader og gratis på alle kundewebsteder, der hostes på Creditro-produkterne. Vores HTTPS-implementering bruger industristandardalgoritmer og certifikater.

I hvile

Creditro gemmer brugeradgangskoder efter politikker, der følger industristandardpraksis for sikkerhed. Creditro har implementeret teknologier for at sikre, at lagrede data er krypteret i hvile.

Registrering

Creditro har designet infrastrukturen til at logge omfattende oplysninger om systemets adfærd, modtagne trafik, systemgodkendelse og andre applikationsanmodninger. 

Interne systemer aggregerer logdata og advarer relevante medarbejdere om ondsindede, utilsigtede eller unormale aktiviteter. 

Vores personale, herunder sikkerheds-, drifts- og supportpersonale, er lydhøre over for, og uddannede i, kendte hændelser.

Respons og sporing

Creditro opretholder en fortegnelse over kendte sikkerhedshændelser, der inkluderer beskrivelse, datoer og tidspunkter for relevante aktiviteter og hændelsens disposition. 

Mistænkte og bekræftede sikkerhedshændelser efterforskes af sikkerheds-, operations- eller supportpersonale; og passende afviklingstrin identificeres og dokumenteres. 

For alle bekræftede hændelser vil Creditro tage passende skridt for at minimere produkt- og kundeskade eller uautoriseret offentliggørelse. Meddelelse til Kunden vil være i overensstemmelse med vilkårene i indgåede aftaler.

Infrastrukturtilgængelighed

Infrastrukturudbyderne bruger en kommercielt rimelig indsats for at sikre minimum 99,95 % oppetid. 

Udbyderne opretholder et minimum af N+1 redundans til strøm og netværk.

Fejltolerance

Backup- og replikeringsstrategier er designet til at sikre redundans og fail-over-beskyttelse under en væsentlig behandlingsfejl. 

Kundedata sikkerhedskopieres til flere holdbare datalagre og replikeres på tværs af flere tilgængelighedszoner.

Online replikaer og sikkerhedskopier

Hvor det er muligt, er produktionsdatabaser designet til at replikere data mellem ikke mindre end en primær og en sekundær database. 

Alle databaser er sikkerhedskopieret og vedligeholdt ved at bruge mindst industristandardmetoder eller højere.
 
Vores produkter er designet til at sikre redundans og problemfri failover. Serverforekomsterne, der understøtter produkterne, er også designet med et mål om at forhindre enkelte fejlpunkter. Dette design hjælper vores operationer med at vedligeholde og opdatere produktapplikationerne og backend og samtidig begrænse nedetiden.