Vem har tillgång till min data?
Kunden kontrollerar åtkomsten till data i sin Pureservice-instans. Administrativa uppgifter relaterade till uppdateringar, säkerhetskopiering, optimering och drift utförs av vårt certifierade driftteam med nödvändig åtkomst. Se Pureservice serviceavtal för ytterligare information.
Hur lagras mina uppgifter?
All data lagras i minst 2 fysiskt separata databasinstanser för att säkerställa tillgänglighet.
Är datan krypterad när den lagras i Pureservice?
Ja, alla databaser är krypterade när de lagras.
Krypteras informationen under transport när jag använder Pureservice i molnet?
Ja, data krypteras under transport mellan användarens enhet och Pureservice i molnet.
Har jag tillgång till att ladda ner min data?
En kopia av din data kan skickas till dig på begäran. Det tillkommer en servicekostnad för att hämta ut data.
Är det okej att utföra penetrationstester på min egen Pureservice molninstans?
Ja, detta kan göras upp till en gång per år och måste godkännas i förväg genom att kontakta Pureservice support.
Säkerhetsarkitektur
Vilka säkerhetsåtgärder säkerställer säkerheten för Pureservice i molnet?
- Kontinuerlig övervakning av prestanda och tillgänglighet.
- Driftas och utvecklas av personal med kunskap och erfarenhet av säkerhetsarbete.
- Pureservice utvecklar, testar och verifierar Pureservice utifrån OWASP top 10 guidelines. Externa säkerhetsrevisioner genomförs med penetrationstester på nätverks- och applikationsnivå.
- Pureservice drivs i ett datacenter som är SOC 2 Type 2 Compliant och ISO 27001:2013 certifierat enligt ISO 27002 best practice. ISO 27002 bästa praxis.
- Användarautentisering och åtkomstkontroll per instans.
- Multi-tenant arkitektur med separata databaser per kund.
- Kontinuerlig uppdatering av koden säkerställer att alla kunder hela tiden är uppdaterade med funktionalitet och säkerhetsfunktioner.
- Backup av all data kontinuerligt inom de senaste 30 dagarna.
- Kunddata krypteras vid lagring och under transport.
Ytterligare information om hur säkerhetsarbetet är organiserat och vilka åtgärder som vidtas finns beskrivet i vår CAIQ.
Vilken datamodell används för separation av data i molntjänsten?
Lösningen är uppbyggd med en multi-tenant arkitektur där separation mellan kunder upprätthålls genom separata databaser per kundinstans.
Hur uppfylls tillgänglighetskraven i molntjänsten?
Lösningen levereras på Microsoft Azure-plattformen, som är robust utformad för att upprätthålla tillgänglighet hela tiden. Tjänsterna övervakas kontinuerligt med nödvändiga aviseringsrutiner för att upprätthålla en acceptabel servicenivå enligt beskrivningen i serviceavtalet.
Hur säkerställs kraven på konfidentialitet och integritet i molntjänsten?
Pureservice anställda är skyldiga att följa en uppsättning säkerhetsinstruktioner och endast anställda med ett affärsbehov har tillgång till produktionsplattformen. Data krypteras både på disk och under transport.
Process för test och utveckling?
Utvecklingsteamet arbetar enligt SCRUM-metoden och använder versionshanteringssystemet GIT. Ändringar testas i separata miljöer innan de godkänns för release till produktionsmiljön. Detta möjliggörs genom att vi använder separata uppdateringskanaler (dev, main, preview och release) i våra release-rutiner och en uppdatering publiceras inte förrän paketets integritet har verifierats och testats. Dessa steg inkluderar även manuella godkännanderutiner. Det finns automatiserade tester före alla kanaler. Innan en uppdatering godkänns genomgår den en kvalitetskontroll i en separat QA-process.
Vilka autentiseringsmekanismer kan användas för att integrera Pureservice med organisationens befintliga Identity Provider?
Pureservice stödjer Single Sign-On för integration med organisationens befintliga Identity Provider genom OpenID Connect, SAML. OAuth 2.0, WS-Federation med mera. Om kunden t.ex. använder Entra ID som identitetsleverantör "IdP" kommer MFA, vitlistning, regeluppsättningar för åtkomst och avancerad åtkomstkontroll att hanteras från Entra ID.
Har Pureservice stöd för multifaktorautentisering?
Ja, Pureservice stödjer multifaktorautentisering genom integration med organisationens befintliga Identity Provider.
Operativa rutiner
Hur underhålls programvaran i Pureservice?
Pureservice uppdateras regelbundet med kod som lägger till ny funktionalitet eller åtgärdar kända buggar. Uppgraderingar av Pureservice i molnet annonseras i nyhetsfunktionen i Pureservice och sker automatiskt vid den tidpunkt som aviserats.
Utvecklingsteamet genomgår utbildning i säker utveckling i samband med penetrations- och säkerhetstestning varje år och är i övrigt kontinuerligt uppdaterade på hot som definieras i exempelvis OWASP:s topp 10-lista.
Hur underhålls Pureservice molninfrastruktur?
Pureservice DevOps-team uppdaterar regelbundet infrastrukturen efter behov. Förändringar som särskilt påverkar kunder meddelas i applikationen via nyhetsfunktionen. Underhåll och uppdateringar på en lägre infrastrukturnivå, t.ex. OS-uppdateringar, buggfixar på infrastrukturkomponenter, utförs automatiskt och regelbundet av Microsoft.
Hur hanteras ändringar?
Ändringar planeras och genomförs av DevOps-teamet. Teamet testar ändringar i en lämplig miljö innan ändringarna överförs till produktion. Alla planerade förändringar genomgår en riskbedömning i förväg.
Hur hanteras en säkerhetsincident?
Pureservice har etablerat ett CSIRT (Computer Security Incident Response Team) som följer upp alla säkerhetsincidenter. Teamet undersöker vilken typ av incident det rör sig om och vidtar nödvändiga åtgärder för att rätta till den. Detta inkluderar även att meddela kundens huvudkontakt om kunddata kan ha påverkats, eller att lämna in ett ärende till den norska dataskyddsmyndigheten om eventuella brott mot dataskyddsförordningen har upptäckts.
Hur hanteras avvikelser?
Pureservice har flera källor som kan leda till registrering av avvikelser. Exempelvis övervakning/larm, manuell analys av händelseloggar eller kundrapporterade avvikelser via vår servicedesk. Alla avvikelser registreras och bearbetas vidare av DevOps eller CSIRT.
Vilka är rutinerna för nödåtgärder?
Beredskapen för nödsituationer täcks av ett 24/7 jourschema och CSIRT.
Hur meddelas kända sårbarheter?
Varningar om sårbarheter som är av intresse för alla kunder publiceras i applikationen. Om en sårbarhet har rapporterats av en kund, meddelas den endast via versionshistoriken när sårbarheten har korrigerats.
Hur identifieras säkerhetsincidenter?
Pureservice använder funktionalitet i Microsoft Azure Security Centre för kontinuerlig säkerhetsövervakning av Pureservice i molnet.
Hur genomförs säkerhetstester?
Pureservice genomför årligen penetrations- och säkerhetstester med en extern leverantör. Testerna är baserade på OWASP top 10.
Om du behöver mer information, vänligen kontakta oss.
