Hoppa till innehåll
Nära
Boka en demo
Inloggning
Logga in
Boka en demo
Inloggning

Säkerhetsåtgärder

itslearning har genomfört de säkerhetsåtgärder som anges i denna bilaga, både organisatoriska och tekniska åtgärder, i enlighet med branschstandarder.

itslearning får uppdatera eller ändra sådana säkerhetsåtgärder från tid till annan, förutsatt att sådana uppdateringar och ändringar inte leder till en försämring av tjänsternas övergripande säkerhet.

 

Organisatoriska åtgärder

Ledningsgruppen för itslearning har varit aktivt involverad i att utveckla en informationssäkerhetskultur inom företaget genom ett pågående medvetenhetsprogram, och har en ledningsstruktur på plats för att hantera implementeringen av informationssäkerhet i sina tjänster med tydliga roller och ansvarsområden inom organisationen.

 

Operativ ledning

Flera processer och policyer för bästa praxis inom branschen finns för att säkerställa bästa möjliga konfidentialitet, tillgänglighet och integritet för plattformen. Dessa policyer bygger på strikta krav inom ett antal områden, t.ex;

  • Informationssäkerhet
  • Säkerhet för värdmiljö
  • Tillgång för tredje part
  • Kapacitetskontroll
  • Hantering av förändringar
  • Säkerhetskopiering och återställning
  • Kontroll av åtkomst
  • Dokumentation
  • Loggning och övervakning
  • Reaktion på incidenter
  • Releasehantering

 

Säkerhetsteam

itslearning har ett team av säkerhetsexperter som ansvarar för organisationens övergripande informationssäkerhet. I deras roll ingår ansvar för;

  • Samordning av säkerhetsrelaterade uppgifter
  • Säkra företagets miljö, nätverk och enheter
  • Applikationens säkerhet (interna penetrationstester och applikationsrevisioner)
  • Övervakning och loggning
  • Process- och policyhantering (katastrofåterställning, hantering av sökvägar etc.)
  • Utbildning och fortbildning av anställda inom området informationssäkerhet
  • Samordna säkerhetsrevisioner som utförs av tredje part och följa upp eventuella iakttagelser
  • Granskning av kod för att upptäcka potentiella säkerhetsproblem.

 

Roller och ansvarsområden

Alla medarbetare har tydliga roller inom företaget och får endast tillgång till de uppgifter som krävs för deras specifika roll. Ett begränsat antal medarbetare har administrativ tillgång till vår produktionsmiljö och deras rättigheter är starkt reglerade och granskas med bestämda intervall. Alla större förändringar av applikationen, miljön eller hårdvaran i produktionsmiljön verifieras alltid av minst två personer.

 

Säkerhet för personalen

All personal på itslearning måste ingå ett strikt sekretessavtal. All personal är skyldig att följa företagets policyer avseende sekretess, affärsetik och professionella standarder. Personal som arbetar med att säkra, hantera och bearbeta kunddata måste genomgå utbildning som är lämplig för deras roll.

 

Kontroll av åtkomst

Strikta krav gäller för alla anställda, inhyrda konsulter eller tredje part som begär åtkomst till itslearning informationssystem. Åtkomstkontrollen styrs av ett autentiseringssystem. Användaren är skyldig att:

  • ha ledningens godkännande för den begärda åtkomsten
  • Ha starka lösenord som överensstämmer med företagets lösenordspolicy
  • Ändra sitt lösenord med jämna mellanrum
  • Dokumentera att den begärda åtkomsten krävs för deras specifika roll/uppgift
  • Se till att den enhet (dator, surfplatta, mobiltelefon) som används är tillräckligt säkrad och låst när användaren är frånvarande

 

itslearning använder automatisk tillfällig spärr av användarens terminal om den lämnas inaktiv.

Interna processer och policyer för dataåtkomst är utformade för att förhindra att obehöriga personer och/eller system får åtkomst till system som används för att behandla personuppgifter. Alla ändringar av uppgifter loggas för att skapa en verifieringskedja för ansvarsskyldighet.

 

Fysisk säkerhet

  • Datacenter
    itslearning driver alla sina kundtjänster från datacenter som är separerade från huvudkontorets arbetsutrymmen. Tillgång till datacenter är strikt kontrollerad och skyddad för att minska sannolikheten för obehörig åtkomst, brand, översvämning eller annan skada på den fysiska miljön. Fysisk åtkomst till datacenter är begränsad till ett litet antal anställda inom itslearning och/eller dess hostingcenterleverantörer. Strikta säkerhetstillstånd krävs och måste godkännas av säkerhetsledningen innan man får tillträde till ett datacenter.

  • Kontorsarbetsplats
    Alla kontorsarbetsplatser på itslearning är skyddade av åtkomstkontroll. Endast inbjudna besökare och anställda har tillgång till itslearning:s arbetsutrymme. Flera åtgärder har vidtagits för att undvika säkerhetsproblem på grund av stöld eller förlust av datorutrustning. Detta inkluderar säkerhetsriktlinjer och policyer för acceptabel användning, autentiseringssystem och kryptering av lagringsenheter när det är tillämpligt.

 

Tekniska åtgärder - Systemtillgänglighet

itslearning har infört branschstandardåtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstöring eller förlust, inklusive:

  • Redundans i infrastrukturen (inklusive fullständig redundans i nätverk, strömförsörjning, kylning, databas, server och lagring).
  • backup lagras på en alternativ plats och är tillgänglig för återställning om det primära systemet skulle fallera.
  • Lämpligt skydd mot överbelastningsattacker.
  • 365/24/7 personal i tjänst för övervakning och felsökning

 

Skydd av personuppgifter

itslearning har implementerat en rad branschstandardåtgärder för att förhindra att personuppgifterna läses, kopieras, ändras eller raderas av obehöriga parter under transport eller i vila. Detta åstadkoms genom olika branschstandardåtgärder, inklusive:

  • Användning av skiktade brandväggar, VPN och krypteringsteknik för att skydda gateways och pipelines
  • HTTPS-kryptering (även kallad SSL- eller TLS-anslutning) med säkra kryptografiska nycklar
  • Fjärråtkomst till datacenter skyddas med ett antal lager av nätverkssäkerhet
  • Särskilt känsliga kunddata i vila skyddas genom kryptering och/eller hashning (pseudonymisering)
  • Varje disk som tas ur drift genomgår en raderingsprocess i enlighet med vår "Policy för diskradering", och avvecklingen loggas med diskens serienummer
  • Regelbundna säkerhetsgranskningar av tredje part (minst en gång per år), inklusive penetrationstest, som görs tillgängliga för kunderna

 

Datacenter

itslearning använder endast toppmoderna datacenter, med säkerhets- och övervakningsverksamhet på plats 365/24/7. Datacentren är inrymda i moderna brandsäkra anläggningar som kräver elektroniskt nyckelkort, med larm som är kopplade till säkerhetsverksamheten på plats. Endast behöriga anställda och entreprenörer har rätt att begära tillgång till dessa anläggningar med elektroniska nyckelkort.

 

Utveckling av system

itslearnings plattform bygger på branschstandardteknik från välkända leverantörer som Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 och Cisco. Systemen patchar regelbundet till den senaste versionen för att säkerställa att de senaste säkerhetsförbättringarna tillämpas. Plattformen uppdateras i allmänhet flera gånger per kvartal, och buggfixar släpps snabbt baserat på prioritet och efter rigorösa kvalitetskontroller.

itslearning har åtgärder på plats för att minimera risken för att införa kod i sin plattform som kan försämra säkerheten eller integriteten för de kundtjänster och personuppgifter som behandlas. Åtgärderna omfattar bl.a:

  • Regelbunden utbildning av personalen
  • Kodgranskning av säkerhetsarkitekter
  • QA-process för rigorös testning av ändringar innan de implementeras

 

Säkerhet för underprocessorer

Vid introduktion av underbiträden utför itslearning en granskning av underbiträdenas säkerhets- och integritetsrutiner för att säkerställa att underbiträdena tillhandahåller en säkerhets- och integritetsnivå som är lämplig för deras tillgång till uppgifter och omfattningen av de tjänster de anlitas för att tillhandahålla. itslearning utför regelbundna säkerhetsrevisioner av rutiner och leverans för befintliga underbiträden.

GDPR och itslearning