Sikkerhetstiltak i skyen

Denne delen beskriver sikkerhetstiltakene som er på plass for å beskytte alle data som lagres i skytjenesten vår, SuperOffice CRM Online. I henhold til risikostyringsmodellen blir sikkerhetsrisikoer og hensiktsmessige sikkerhetstiltak hele tiden overvåket slik at vi kan tilby et høyt sikkerhetsnivå.

Sikker lagring (ISO 27001/27018)

Data som lagres i SuperOffice CRM Online, beskyttes av et ISO 27001-sertifisert styringssystem for informasjonssikkerhet. En ISO 27018-sertifisering skal etter planen oppnås i 2018.

Siden ISO-standardene er beste praksis for informasjonssikkerhet internasjonalt, oppfordrer GDPR selskaper til å bli ISO 27001-sertifisert for å vise at de tar informasjonssikkerheten på alvor på alle nivåer i organisasjonen.

SuperOffices styringssystem for informasjonssikkerhet sikrer at alle hendelser som skjer i SuperOffice CRM Online, håndteres i henhold til en strengt definert prosedyre.

Eksterne sikkerhetskonsulenter kontrollerer sikkerhetsretningslinjene og tester forsvars- og sikkerhetskontrollene med jevne mellomrom. Sammen med driftspartneren vår er vi i SuperOffice svært opptatt av å beskytte all informasjonen i SuperOffice CRM Online.

Driftspartner

Visma ITC AS er ansvarlig for å drifte SuperOffice CRM Online. All maskinvare, infrastruktur og datalagring og alle kommunikasjonslinjer håndteres og leveres av Visma ITC.

Visma ITC har følgende sertifiseringer: ISO 9001, ISO 20000 og ISO 27001. Visma ITC skal etter planen også bli ISO 27018-sertifisert i 2018. Sikkerhetserklæringene og -retningslinjene i dette dokumentet gjelder både SuperOffice AS, som leverandør, og Visma ITC, som SuperOffice AS’ outsourcingspartner.

Personellsikkerhet

Hvem som har adgang til Visma ITCs kontor og anlegg, kontrolleres av et adgangskontrollsystem i bygningen. Videoovervåking brukes i bygningens inngangsparti. Det er ikke mulig å få adgang til Visma ITC-anleggene uten å ha fått dette uttrykkelig eller uten å være under tilsyn av personell som er autorisert av Visma ITC.

Kvalifikasjonene til personellet som er ansvarlig for å administrere systemet, som designere, utviklere og systemadministratorer, kontrolleres gjennom intervjuer, tester og verifisering av referanser. Personellet gis hensiktsmessig opplæring for å sikre at de er kvalifisert til å utføre arbeidsoppgavene sine.

Fysisk og miljømessig sikkerhet

Alle data i SuperOffice CRM Online lagres på sikrede servere som ligger i EU/EØS-området. Det viktigste produksjonssystemet ligger i to separate datasentre i Norge. Datasentrene er sikret både av mennesker og tekniske sikkerhetstiltak. Adgangen til datasentrene administreres eksklusivt av Visma ITC, og selskapets tekniske personell er tilgjengelig døgnet rundt, hele året.

SuperOffice CRM Onlines nettverk er satt opp i samsvar med den beste sikkerhetspraksisen, med separate, isolerte nettverkssoner for ulike deler av systemet. Nettverksovervåking gir løsningen stabilitet og robusthet, takket være proaktive tiltak og rask påvisning av problemer. Det sender oss også varsler når/hvis inntrengere prøver å bryte inn i systemet.

Alle serverer er koblet til redundante strømforsyninger. Redundante kjølesystemer brukes for å sikre stabile temperatur- og driftsforhold i serverrommet. Brannverntiltak er iverksatt i anleggene. I tillegg er det utarbeidet en nødgjenopprettingsplan for å sikre rask gjenoppretting ved behov.

SuperOffice SaaS/webapplikasjonen driftes på et sett med virtualiserte, grupperte Windows-servere. Serverne er bygget med komplett redundans på alle nivåer, inkludert redundante strømforsyninger med separat avbruddsfri strømforsyning, RAID-speiling av alle disker og redundante nettverkskort.

I tillegg er alle servere satt opp i et lastbalansert og feiltolerant miljø for alle serveroppgaver, noe som betyr at det er separate servergrupper for webserverne, databaseserverne og filserverne. Alle SuperOffice-serverne og -nettverkene overvåkes døgnet rundt, hele uken. Dokumenter som arkiveres i SuperOffice, lagres på Microsoft Azure-servere i to redundante datasentre i EU.

Nettverksstyring

Alle nettverk beskyttes med redundante brannmurer. Kommunikasjon mellom steder sikres av et kryptert VPN. Alle endringer i brannmurreglene følger endringer i styringsprosedyrene og logges nøye.

Kryptering

All kommunikasjon mellom serverne våre og kundene som har tilgang til området vårt, krypteres med SSL (Secure Socket Layer). All kommunikasjon mellom SuperOffices mobilapplikasjoner og serverne, krypteres også med SSL. Vi bruker alltid internasjonalt anerkjente krypteringsmetoder for å beskytte informasjon som lagres på området vårt, som SSL v3/TLS og IPSEC/AES256/SHA1-HMAC.

Driftsprosedyrer og forpliktelser

SuperOffice varsler om all planlagt nedetid minst 24 timer i forveien. Systemstatus og meldinger om planlagt nedetid vises i påloggingsbildet til den enkelte bruker og på statussiden: status.superoffice.com.

Tjenestenes kapasitet og ytelse overvåkes kontinuerlig. På den måten kan vi enkelt forutse behovet for oppgraderinger av servere og infrastruktur. Retningslinjene for hvordan vi håndterer oppgraderinger og oppdateringer (tidsplan), er utarbeidet slik at den driftsmessige påvirkningen på kundene er minst mulig. Oppdateringer av systemkritiske problemer utføres så snart som mulig.

Beskyttelse mot skadelig programvare

Sentralt administrert antivirusprogramvare installeres på alle servere og på stasjonære datamaskiner som brukes internt. SuperOffice CRM Online-miljøet skannes for sårbarheter daglig, og alle beskyttelsesverktøy oppdateres kontinuerlig.

Sikkerhetskopi

Alle dataene sikkerhetskopieres hver kveld og lagres i to separate sikre miljøer. Sett med sikkerhetskopier krypteres og overføres over en kryptert VPN-tunnel.

SuperOffice CRM er basert på to typer datalagring: Microsoft SQL Server Database og dokumentarkiver. Data for ulike kunder holdes helt atskilt fra hverandre. Alle databaser har en 30 dagers tidspunktbasert sikkerhetskopiering. Dette betyr at man kan gjenopprette data fra en bestemt dato eller et bestemt klokkeslett innen de siste 30 dagene. I tillegg utføres en månedlig sikkerhetskopiering som lagres i 12 måneder. En årlig sikkerhetskopi lagres i 10 år.

Alle dokumentarkiver har kontinuerlig speiling mellom to fysisk separate datasentre med individuelle sikkerhetskopier begge steder. Sikkerhetskopieringen utføres en gang om dagen (vanligvis om natten). Dokumentendringer sikkerhetskopieres og lagres i 30 dager. Sikkerhetskopier av slettede filer (dokumenter) lagres i 90 dager.

Sikkerhetskopieringsrutinene for tredjepartsapper er underlagt spesifikasjonene og tjenestevilkårene til leverandøren av tredjepartsappen og inngår ikke i SuperOffice CRM Onlines tjenester.

Styring av forretningskontinuitet

SuperOffice har etablert en nødgjenopprettingsplan. Produksjonsmiljøet er satt opp med redundans for å tilby høy tilgjengelighet ved eventuelle feil, og for å håndtere perioder med høy trafikk på området. SuperOffice og Visma ITC (driftspartneren vår) har felles prosedyrer for både hendelseshåndtering og nødgjenoppretting.

Tilgangskontroll til SuperOffice CRM Online-tjenester

All uautorisert tilgang til SuperOffice-området blokkeres automatisk av en brannmur. SSL-kryptering (Secure Socket Layer) og brukerautentisering beskytter informasjonen og sørger for at bare brukere i kundens organisasjon har tilgang til data.

Når det gjelder kundeinstallasjoner, støtter vi lagring av brukernavn og passord i SuperOffice CRM Online, Office 365 og G Suite (Google). Tofaktorautentisering støttes ved bruk av Office 365 og G Suite.

Tilgang til personopplysninger

Brukere kan når som helst logge seg på området vårt med brukernavn og passord, få tilgang til personopplysninger og oppdatere kontaktinformasjonen.

Tilgangsstyring i SuperOffice CRM-applikasjonen

Brukertilgang styres av kunden. Det er kundens ansvar å tildele passende rettigheter til individuelle brukere. Brukerautentisering utføres gjennom en kombinasjon av brukernavn og passord. Kunden kan opprette brukere med ulike tilgangsnivåer alt etter hvilken rolle eller hvilke rettigheter de har i SuperOffice CRM.

Det finnes ingen sentrale passordregler som er pålagt av SuperOffice. Kunden må fastsette sine egne passordregler i henhold til selskapets passordregler. Brukeren/kunden er ansvarlig for å holde brukernavnene og passordene trygge.

Tilgangskontroll til operativsystem

Bare autorisert systempersonell har tilgang til og kan utføre operativsystemavhengig administrasjon på SuperOffice-serverne. Alle oppdateringer av operativsystemet og operativsystemavhengig programvare utføres så snart de nye oppdateringene er lansert og testet i et testmiljø.

Revisjonsspor og systemtilgang

All webtilgang til området registreres både i databasen og i loggfilene. Loggfilene sikkerhetskopieres daglig, og det er mulig å gå tilbake i tid for å finne informasjon om hvem som hadde tilgang til en SuperOffice-side på et bestemt tidspunkt.

Bare autorisert personell får tillatelse til å administrere loggfiler og endre tilgangsnivåer i systemet. Pålogginger og bruk av systemrettigheter logges på servere. Pålogginger registreres med et brukernavn og en kilde-IP-adresse.

GDPR og CRM

Finn ut hvordan SuperOffice CRM kan hjelpe deg med å lagre og behandle personlige kundeopplysninger i tråd med kravene i EUs nye personvernforordning, GDPR.

App Store og API-er

Sjekk ut alle de lovfestede kravene, retningslinjene, reglene og sertifiseringene som SuperOffice etterlever.

Åpenhet

Lær hvorfor åpenhet og tillit er kjernen i alle juridiske operasjoner, sikkerhetsoperasjoner, vedlikeholdsoperasjoner og lagringsoperasjoner i SuperOffice.