Sikkerhedsstandarder
Sidst revideret: 9. maj 2018

I.  Tekniske og organisatoriske foranstaltninger

Vi tager opgaven angående beskyttelse af kundeoplysninger alvorligt.  I betragtning af bedste praktikker, implementeringsomkostning og karakteren, omfanget, omstændighederne og målet med behandling, såvel som forskellige sandsynligheder for tilfælde og alvorligheden af risikoen for en persons rettigheder og friheder, tager vi følgende tekniske og organisatoriske tiltag.  Ved valget af disse tilgag bliver systemernes fortrolighed, integritet, tilgængelighed og modstandsdygtighed overvejet. En hurtig genopretning efter en fysisk eller teknisk hændelse er garanteret.

Vores databeskyttelsesprogram er etableret for at opretholde en global data forvaltnings-struktur og sikre oplysningerne gennem hele deres livscyklus. Dette program er styret af direktøren for kontoret for databeskyttelse, som overser implementering af privatlivspraksisser og sikkerhedstiltag. Vi tester og evaluerer regelmæssigt effektiviteten af dette databeskyttelsesprogram og sikkerhedsstandarder.

1. Fortrolighed. Fortrolighed betyder, at personoplysninger er beskyttet mod uautoriseret offentliggørelse.*  

Vi bruger forskellige fysiske og logiske foranstaltninger til at beskytte fortroligheden af kundernes personoplysninger. Disse foranstaltninger inkluderer:   

Fysisk sikkerhed  

• Fysiske adgangskontrolsystemer på plads (Badge-adgangskontrol, overvågning af sikkerhedshændelser osv.) 
• Overvågningssystemer, herunder alarmer og, hvis nødvendigt, CCTV-overvågning
• Politikker om rene skriveborde og kontroller på plads (Låsning af uautoriserede computere, låste skabe osv.)  
• Administration af gæsters adgang.
• Tilintetgørelse af data på fysiske medier og af dokumenter (makulering; afmagnetisering osv.) 

Adgangskontrol og forebyggelse af uautoriseret adgang

• Brugeradgangsbegrænsninger anvendt og rollebaserede adgangstilladelser leveret/gennemgået baseret på princippet om adskillelse af pligter
• Stærk godkendelse og godkendelsesmetoder (multi-faktor godkendelse, certifikatbaseret godkendelse, automatisk deaktivering/log-af osv.)  
• Centraliseret administration af adgangskoder og politikker vedrørende stærke/komplekse kodeord (minimums længde, tegn kompleksitet, adgangskodernes udløb osv.)   
• Kontrolleret adgang til e-mails og internet.
• Administration af antivirus.
• Systemadministration til forebyggelse af indtrængen

Kryptering  

• Kryptering af ekstern og intern kommunikation via stærke kryptografiske protokoller
• Kryptering af PII/SPII data sat på pause (databaser, delte mapper osv.)    
• Fuld disk kryptering til firma PC’er og bærbare computere
• Kryptering af lagringsmedier
• Fjernforbindelser til virksomhedens netværk er krypteret via VPN
• Sikring af krypteringsnøglernes livscyklus

Dataminimering

• PII/SPI minimering i applikation, fejlfinding og sikkerhedslogs
• Brug af pseudonym til personoplysninger for at forhindre direkte identifikation af en person
• Adskillelse af lagret data efter funktion (test, opsættelse, live)
• Logisk adskillelse af data efter rollebaseret adgangsrettigheder
• Definerede dataopbevaringsperioder for personlige oplysninger

Sikkerhedstest

• Indtrængningstest af vigtige virksomhedsnetværk og platforme, der opbevarer personoplysninger
• Regelmæssige sårbarhedsscanninger af netværk

2. Integritet. Integritet refererer til at sikre korrektheden (at disse er intakte) af data og systemernes korrekte virke. Når begrebet integritet anvendes i forbindelse med udtrykket data, udtrykker det, at dataene er fuldstændige og uændrede.*  

Passende ændringer og styringsadministration af logs er på plads, ud over adgangskontrol, for at kunne opretholde integriteten af personoplysninger som f.eks.:    

Administration af ændringer og frigivelser  

• Forandring og håndtering af udgivelsesproces, herunder (konsekvensanalyse, godkendelser, test, sikkerhedsvurderinger, iscenesættelse, overvågning osv.)  
• Rolle og funktionsbaseret (adskillelse af pligter) tilladelse af adgang til produktionsmiljøer

Registrering og overvågning

• Registrering af adgang og ændring af oplysninger
• Centrale logs om audit og sikkerhed
• Overvågning af gennemførslen og rigtigheden af videregivelsen af data (end-to-end tjek)

3. Tilgængelighed. Tilgængeligheden af tjenester og it-systemer, it-applikationer og it-netværksfunktioner eller af oplysninger er garanteret, hvis brugerne er i stand til at bruge dem til enhver tid efter hensigten.    

Vi implementerer passende kontinuitets- og sikkerhedsforanstaltninger for at opretholde tilgængeligheden af tjenesterne og dataene inden for disse tjenester:    

• Regelmæssige fejl-over-test anvendes til vigtige tjenester
• Omfattende præstations/tilgængeligheds overvågning og rapportering for vigtige systemer
• Program for respons i forbindelse med hændelse
• Vigtige data enten replikeres eller sikkerhedskopieres (Cloud-sikkerhedskopier/harddiske/database-replikation osv.)  
• Planlagt software, vedligeholdelse af infrastruktur og sikkerhed på plads (software opdateringer, sikkerhedsudbedring osv.)   
• Redundante og robuste systemer (serverklynger, afspejlede databaser, højtilgængeligheds opsætninger osv.) anbragt off-site og/eller på geografisk adskilte steder
• Brug af strømforsyninger, der ikke kan afbrydes, fejl-redundant hardware og netværkssystemer
• Implementerede alarm- og sikkerhedssystemer
• Fysiske beskyttelsestiltag implementeret for kritiske faciliteter (sikringer, hævede gulve, afkølingssystemer, ild- og/røgalarmer, brandslukningssystemer osv.) 
• DDOS beskyttelse for at opretholde tilgængelighed
• Test af belastning og stress

4. Databehandlingsinstruktioner. Databehandlingsinstruktioner referer til at sikring af personlige oplysninger kun bliver behandlet i henhold til datakontrollørens instruktioner og de relaterede virksomhedstiltag  

Vi har etableret interne privatlivspolitikker, aftaler og udfører regelmæssige kurser om privatliv for medarbejderne for at sikre, at personoplysninger behandles i overensstemmelse med kundens præferencer og instruktioner.   

• Beskyttelse af personlige oplysninger og fortrolighed i medarbejderkontrakter
• Regelmæssig datasikkerheds- og sikkerhedstræning for medarbejdere
• Passende kontraktbestemmelser til aftaler med underentreprenører for at opretholde kontrol over instruktionsrettighederne
• Regelmæssige privatlivstjek af eksterne serviceudbydere
• Giver kunder fuld kontrol over deres databehandlingsindstillinger
• Regelmæssige sikkerhedsauditter