Itadels sikkerhedsforanstaltninger og underdatabehandlere

Sikkerhedsforanstaltninger i Itadel

#1

Tilrettelæggelse af it-sikkerhed

• Itadel har udpeget en person, der er dedikeret til at svare på anmodninger vedrørende personoplysninger.
• Itadel har implementeret en proces til håndtering af sådanne forespørgsler under hensyntagen til eksisterende lovkrav med hensyn til rettidigt svar.
• Itadel har udpeget en IT-sikkerhedsafdeling som ansvarlig for intern kontrol og overholdelse af love og forordninger.

Itadel har ligeledes implementeret et risikostyringsprogram for at sikre gennemsigtighed af risici og passende respons på risici.

#2

Styring af aktiver

• Itadel fører en fortegnelse over alle medier, der indeholder kundedata.
• Kundens data og systemer til behandling af Kundens data klassificeres med henblik på at identificere passende beskyttelsesniveauer.
• Adgang til Kundens data er kun tilladt, hvis der er et arbejdsrelateret behov. Denne adgang registreres i en log, jf. 5 Kommunikations- og driftsstyring.

#3

Personalesikkerhed

• Itadel har implementeret en proces til screening af personale forud for ansættelse.
• Alt personale er underlagt tavshedspligt.
• Itadels personale er blevet orienteret om deres roller og IT-sikkerhedsansvar ved ansættelsen og i forbindelse med ændringer.
• Alt personale er blevet gjort opmærksomt på mulige disciplinære foranstaltninger ved overtrædelse af sikkerhedsregler og -procedurer.

#4

Fysisk og miljømæssig sikkerhed

• Fysisk adgang til databehandlingsfaciliteter er begrænset til identificerede og autoriserede personer.
• Fysiske brugeradgangsrettigheder tilbagekaldes, når de ikke har været anvendt i en periode på seks måneder.
• Fysisk adgang registreres i en log, og loggen opbevares i 12 måneden.
• Medarbejdere og besøgende skal til enhver tid bære synlige ID-kort i Itadels faciliteter.
• Fotografering er forbudt i faciliteterne for supportinfrastruktur.
• Der foretages CCTV-dækning af faciliteterne for supportinfrastruktur. CCTV-aktivitet optages.
• For at forhindre afluring af oplysninger er der implementeret en politik om, at skærm og skrivebord skal være ryddet (clear screen/clear desk).
• Itadel håndterer bortskaffelse af fysiske datamedier i overensstemmelse med en formel proces ifølge best practice for branchen.
• Itadel fører fortegnelser over indgående og udgående medier, der indeholder kundedata.
• Der anvendes makulatorer til bortskaffelse af papiraktiver.
• Når systemer tages ud af drift, registreres sletning af logisk data med henblik på senere dokumentation.
• Der er redundante kommunikationslinjer for at minimere effekten af afbrydelser.
• For at sikre mod strømafbrydelser, som kunne føre til tab af data, benytter Itadel standardsystemer til nødstrøm samt beskyttelse mod lynnedslag.
• Backups lagres på et andet fysisk sted end der, hvor de primære systemer til behandling af kundedata er placeret, med en fysisk afstand på mindst 10 kilometer.

#5

Kommunikations- og driftsstyring

a. Driftsprocedurer

• Itadel opretholder driftsprocedurer til sikring af et ensartet sikkerhedsniveau.
• Ændringer foretages på en kontrolleret måde i henhold til Itadels' Change Management-procedure. Forud for ændringer foretages der en risikovurdering, som godkendes af en ansvarlig udpeget af ledelsen.

b. Backup

• For at sikre konsekvent backup gennemgås backupfortegnelserne dagligt for mislykkede backupforsøg.
• Evnen til at reetablere data tjekkes ved stikprøver hver måned.
• Reetableringsaktiviteter (recovery) registreres (se Registrering)

c. Registrering

• • Itadel registrerer alle relevante systemhændelser og administratoraktiviteter, herunder databehandlingsaktiviteter. Registrene gemmes i 6 måneder og slettes derefter (medmindre Kunden har specificeret en anden opbevaringsperiode). Registre lagres i et dedikeret og beskyttet logstyringssystem. Følgende hændelser logges i Itadels systemer:

Hypervisor og operativsystemer:

• Autorisation accept- eller afvisningshændelser.
• Adgang til, ændring i eller sletning af filer, herunder databackup og gendannelse.
• Ændring i adgangskontrollister Alle indførsler i log indeholder som minimum bruger-ID, tidspunkt og data, samt aktiviteten.

Database:

• SQL-sætninger i specifikke tabeller ifølge Kundens specifikationer.
• På Kundens anmodning kan der implementeres systemsupporterede loganalyser for at identificere og følge op på uregelmæssigheder. Sådanne anmodninger håndteres i overensstemmelse med Itadels ændringsprocedurer.

d. Kryptering

• Under forsendelse via offentlige netværk er Kundens data krypterede.

e. Beskyttelse mod ondsindet software

• På servere og klienter anvender Itadel et centralt styret antimalware-program fra en bredt anerkendt leverandør.

#6

Adgangskontrol

• Itadel har implementeret processer til brugerregistrering og fjernelse fra register samt tildeling og tilbagekaldelse af adgangsrettigheder. Principperne for funktionsadskillelse og ledelsesgodkendelse er indarbejdet i disse processer.
• Fjernadgang til kundesystemer er krypteret og beskyttet ved hjælp af en tofaktor autentificeringsmekanisme.
• Adgang til Kundens data godkendes på basis af arbejdsrelateret behov.
• Adgangsrettigheder til Itadels administratorer gennemgås løbende.
• Der føres fortegnelser over brugere og brugerrettigheder.
• Gentagne mislykkede forsøg på login udløser en alarm og en midlertidig lukning af den pågældende konto.
• Itadel deaktiver brugeroplysninger, der ikke har været brugt i tre måneder.
• Deaktiverede personlige bruger-ID gives ikke til andre personer.
  

Passwords

• Unikt og personligt bruger-ID og password med krav til kompleksitet er påkrævet.
• Længden af passwords til administrative konti er på mindst 12 karakterer.
• Regelmæssig udskiftning af password er tvunget.
• Brugen af generiske konti er begrænset og dokumenteres.
• I forbindelse med udvidede adgangsrettigheder til kundesystemer er en to-faktor autentificering påkrævet.
• Passwords skal lagres i krypteret format.

Sletning

• Itadel håndterer sletning af kundedata i overensstemmelse med en formel procedurer ifølge best practice for branchen

#7

Styring af it-sikkerhedshændelser (Information Security Incident Management)

• Itadel styrer IT-sikkerhedshændelser i overensstemmelse med en formaliseret proces, der er godkendt af ledelsen.
• Når hændelser konstateres, oprettes der en fortegnelse, som indeholder beskrivelse af hændelsen samt tidspunkt, dato og effekt, og hændelsen evalueres af den sikkerhedsansvarlige. Opfølgningsaktiviteter spores ligeledes.
• I tilfælde af videregivelse af kundeoplysninger vil Kunden blive orienteret så hurtigt som muligt.
• Orienteringen indeholder en beskrivelse af hændelsen, et skøn over omfanget af bruddet på datasikkerheden og de eventuelle konsekvenser, samt kontaktoplysninger på kontaktperson hos Itadel. Itadel vil således straks analysere og informere Kunden om rodårsagen til hændelsen og foranstaltninger, der er taget for at undgå gentagelser.

#8

Beredskab (Business Continuity Management)

• Itadels beredskabsplan indeholder foranstaltninger til undgåelse af krisesituationer og foranstaltninger til minimering af nødsituationer.
• Itadels beredskabsplan efterprøves løbende.
• For at minimere tab af data anvender Itadel lagerteknologi med indbygget redundans og foretager databackup en gang i døgnet.

#9

Videregivelse af personoplysninger

• Itadel har udpeget en dedikeret specialuddannet funktion med fokus på håndtering af anmodninger om personoplysninger. Den dedikerede funktion og en formel proces sikrer, at Itadel ikke udleverer personoplysninger, medmindre dette kræves ved lov, se kapitel 10.
  

#10

Indbygget persondatabeskyttelse (Privacy by Design)

• Itadel har stort fokus på beskyttelse af personoplysninger. Derfor tager Itadel højde for IT-sikkerhedskrav i designfasen vedrørende nye IT-services.
• Kunder, der er hostede i Itadels IT-miljø, er logisk adskilte i virtuelle datacentre. Et virtuelt datacenter for hver kunde. Den enkelte kundeserver er en logisk adskilt virtuel instans forbundet til et separat virtuelt logisk netværk.