Datasikkerhed

Læs her, hvordan vi håndterer datasikkerhed, og hvordan vi arbejder med sikkerhed i vores organisation. Lige fra GDPR og kryptering til autentificering, adgangskontrol og fejlsikringer.

GDPR - bløde kanter

Hvordan beskytter vi dine data i overensstemmelse med GDPR?

Vi har allerede rundet mere end 150.000 brugere, som har verificeret sig med vores identitetsplatform, og mere end 1000 revisions-, advokat- og finansielle virksomheder bruger hver dag Creditro til at sikre deres virksomhed indenfor hvidvaskloven og imod svindel.

Vores platform og hele løsningen er bygget op omkring håndteringen af følsomme data og personinformationer. Du kan altid skrive til info@creditro.com for at modtage en kopi af din databehandleraftale.

ISAE3000-erklæring med
høj grad af sikkerhed

Vi hos Visma Creditro indhenter årligt en ISAE3000-erklæring, som er en erklæring af, at persondata behandles i overensstemmelse med GDPR.

Erklæringen udarbejdes af en uafhængig tredjepart vedrørende Visma Creditros overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.

ISAE-3000-DK
ISAE 3000 - bløde kanter (1)

Forhindring af uautoriseret produktadgang

Dette sker som en outsourcet behandling; Vi hoster vores service med outsourcede cloud-infrastrukturudbydere. Derudover opretholdes kontraktlige relationer med leverandører for at levere tjenesten i overensstemmelse med databehandleraftale, jf. pkt. 4.2.

Creditro er afhængige af kontraktlige aftaler, herunder databehandleraftaler og leverandørers overholdelsesprogrammer for at beskytte data, der behandles eller opbevares af disse leverandører.

Mere om vores datasikkerhedspolitikker

Fysisk og miljømæssig sikkerhed

Vi hoster vores produktinfrastruktur med multi-lejer, outsourcede infrastrukturudbydere. 

De fysiske og miljømæssige sikkerhedskontroller revideres for SOC 2 Type II og ISO 27001 overholdelse, blandt andre certificeringer.

Autentificering

Creditro benytter en ensartet kodeordspolitik for vores kundeprodukter. 

Kunder, der interagerer med produkterne via brugergrænsefladen, skal autentificere, før de får adgang til ikke-offentlige kundedata.

Autorisation

Kundedata lagres i lagersystemer med flere lejere, som kun er tilgængelige for kunder via applikationsbrugergrænseflader og applikationsprogrammeringsgrænseflader. 

Kunder får ikke direkte adgang til den underliggende applikationsinfrastruktur. Autorisationsmodellen i hvert af vores produkter er designet til at sikre, at kun de korrekt tildelte personer kan få adgang til relevante funktioner, visninger og tilpasningsmuligheder.

Autorisation til datasæt udføres ved at validere brugerens tilladelser mod de attributter, der er knyttet til hvert datasæt.

API-adgang (Application Programming Interface)

Offentlige produkt-API’er kan tilgås ved hjælp af en API-nøgle eller via Oauth-autorisation.

Forebyggelse af uautoriseret produktbrug

Creditro benytter industristandardiseret adgangskontrol og detektionsfunktioner til de interne netværk, der understøtter dets produkter.

Adgangskontrol

Netværksadgangskontrolmekanismer er designet til at forhindre netværkstrafik, der bruger uautoriserede protokoller, i at nå produktinfrastrukturen. 

De implementerede tekniske foranstaltninger adskiller sig fra infrastrukturudbydere og inkluderer Virtual Private Cloud (VPC) implementeringer, sikkerhedsgruppetildeling og traditionelle firewallregler.

Registrering og forebyggelse af indtrængen

Creditro benytter en Web Application Firewall-løsning (WAF) til at beskytte hostede kundewebsteder og andre internettilgængelige applikationer. 

WAF er designet til at identificere og forhindre angreb mod offentligt tilgængelige netværkstjenester.

Statisk kodeanalyse

Sikkerhedsgennemgange af kode, der er gemt i vores kildekodelagre, udføres med passende interval, og der kontrolleres for bedste kodningspraksis og identificerbare softwarefejl.

Transmissionskontrol

Under transport

Creditro gør HTTPS-kryptering (også kaldet SSL eller TLS) tilgængelig på alle dets login-grænseflader og gratis på alle kundewebsteder, der hostes på Creditro-produkterne. Vores HTTPS-implementering bruger industristandardalgoritmer og certifikater.

 

I hvile

Creditro gemmer brugeradgangskoder efter politikker, der følger industristandardpraksis for sikkerhed. Creditro har implementeret teknologier for at sikre, at lagrede data er krypteret i hvile.

Indgangskontrol

Registrering

Creditro har designet infrastrukturen til at logge omfattende oplysninger om systemets adfærd, modtagne trafik, systemgodkendelse og andre applikationsanmodninger. 

Interne systemer aggregerer logdata og advarer relevante medarbejdere om ondsindede, utilsigtede eller unormale aktiviteter. 

Vores personale, herunder sikkerheds-, drifts- og supportpersonale, er lydhøre over for, og uddannede i, kendte hændelser.

 

Respons og sporing

Creditro opretholder en fortegnelse over kendte sikkerhedshændelser, der inkluderer beskrivelse, datoer og tidspunkter for relevante aktiviteter og hændelsens disposition. 

Mistænkte og bekræftede sikkerhedshændelser efterforskes af sikkerheds-, operations- eller supportpersonale; og passende afviklingstrin identificeres og dokumenteres. 

For alle bekræftede hændelser vil Creditro tage passende skridt for at minimere produkt- og kundeskade eller uautoriseret offentliggørelse. Meddelelse til Kunden vil være i overensstemmelse med vilkårene i indgåede aftaler.

Tilgængelighedskontrol

Infrastrukturtilgængelighed

Infrastrukturudbyderne bruger en kommercielt rimelig indsats for at sikre minimum 99,95 % oppetid. 

Udbyderne opretholder et minimum af N+1 redundans til strøm og netværk.

Fejltolerance

Backup- og replikeringsstrategier er designet til at sikre redundans og fail-over-beskyttelse under en væsentlig behandlingsfejl. 

Kundedata sikkerhedskopieres til flere holdbare datalagre og replikeres på tværs af flere tilgængelighedszoner.

 

Online replikaer og sikkerhedskopier

Hvor det er muligt, er produktionsdatabaser designet til at replikere data mellem ikke mindre end en primær og en sekundær database. 

Alle databaser er sikkerhedskopieret og vedligeholdt ved at bruge mindst industristandardmetoder eller højere.
 
Vores produkter er designet til at sikre redundans og problemfri failover. Serverforekomsterne, der understøtter produkterne, er også designet med et mål om at forhindre enkelte fejlpunkter. Dette design hjælper vores operationer med at vedligeholde og opdatere produktapplikationerne og backend og samtidig begrænse nedetiden.