Sikker lagring (ISO 27001/27018)
Data som lagres i SuperOffice CRM, beskyttes av et ISO 27001 og ISO 27018 sertifisert styringssystem for informasjonssikkerhet.
Siden ISO-standardene er beste praksis for informasjonssikkerhet internasjonalt, oppfordrer GDPR selskaper til å bli ISO 27001-sertifisert for å vise at de tar informasjonssikkerheten på alvor på alle nivåer i organisasjonen.
SuperOffices styringssystem for informasjonssikkerhet sikrer at alle hendelser som skjer i SuperOffice CRM, håndteres i henhold til en strengt definert prosedyre.
Eksterne sikkerhetskonsulenter kontrollerer sikkerhetsretningslinjene og tester forsvars- og sikkerhetskontrollene med jevne mellomrom. Sammen med driftspartneren vår er vi i SuperOffice svært opptatt av å beskytte all informasjonen i SuperOffice CRM.
Driftspartner
Visma ITC AS er ansvarlig for å drifte SuperOffice CRM. All maskinvare, infrastruktur og datalagring og alle kommunikasjonslinjer håndteres og leveres av Visma ITC.
Visma ITC har følgende sertifiseringer: ISO 9001, ISO 20000, ISO 27001 og ISO 27018. Sikkerhetserklæringene og -retningslinjene i dette dokumentet gjelder både SuperOffice AS, som leverandør, og Visma ITC, som SuperOffice AS’ outsourcingspartner.
Personellsikkerhet
Hvem som har adgang til Visma ITCs kontor og anlegg, kontrolleres av et adgangskontrollsystem i bygningen. Videoovervåking brukes i bygningens inngangsparti. Det er ikke mulig å få adgang til Visma ITC-anleggene uten å ha fått dette uttrykkelig eller uten å være under tilsyn av personell som er autorisert av Visma ITC.
Kvalifikasjonene til personellet som er ansvarlig for å administrere systemet, som designere, utviklere og systemadministratorer, kontrolleres gjennom intervjuer, tester og verifisering av referanser. Personellet gis hensiktsmessig opplæring for å sikre at de er kvalifisert til å utføre arbeidsoppgavene sine.
Fysisk og miljømessig sikkerhet
Alle data i SuperOffice CRM lagres på sikrede servere som ligger i EU/EØS-området. Det viktigste produksjonssystemet ligger i to separate datasentre i Norge. Datasentrene er sikret både av mennesker og tekniske sikkerhetstiltak. Adgangen til datasentrene administreres eksklusivt av Visma ITC, og selskapets tekniske personell er tilgjengelig døgnet rundt, hele året.
SuperOffice CRM nettverk er satt opp i samsvar med den beste sikkerhetspraksisen, med separate, isolerte nettverkssoner for ulike deler av systemet. Nettverksovervåking gir løsningen stabilitet og robusthet, takket være proaktive tiltak og rask påvisning av problemer. Det sender oss også varsler når/hvis inntrengere prøver å bryte inn i systemet.
Alle serverer er koblet til redundante strømforsyninger. Redundante kjølesystemer brukes for å sikre stabile temperatur- og driftsforhold i serverrommet. Brannverntiltak er iverksatt i anleggene. I tillegg er det utarbeidet en nødgjenopprettingsplan for å sikre rask gjenoppretting ved behov.
SuperOffice SaaS/webapplikasjonen driftes på et sett med virtualiserte, grupperte Windows-servere. Serverne er bygget med komplett redundans på alle nivåer, inkludert redundante strømforsyninger med separat avbruddsfri strømforsyning, RAID-speiling av alle disker og redundante nettverkskort.
I tillegg er alle servere satt opp i et lastbalansert og feiltolerant miljø for alle serveroppgaver, noe som betyr at det er separate servergrupper for webserverne, databaseserverne og filserverne. Alle SuperOffice-serverne og -nettverkene overvåkes døgnet rundt, hele uken. Dokumenter som arkiveres i SuperOffice, lagres på Microsoft Azure-servere i to redundante datasentre i EU.
Nettverksstyring
Alle nettverk beskyttes med redundante brannmurer. Kommunikasjon mellom steder sikres av et kryptert VPN. Alle endringer i brannmurreglene følger endringer i styringsprosedyrene og logges nøye.
Kryptering
All kommunikasjon mellom serverne våre og kundene som har tilgang til området vårt, krypteres med SSL (Secure Socket Layer). All kommunikasjon mellom SuperOffices mobilapplikasjoner og serverne, krypteres også med SSL. Vi bruker alltid internasjonalt anerkjente krypteringsmetoder for å beskytte informasjon som lagres på området vårt, som TLS and IPSEC/RSA256(SHA256withRSA)/HSTS.
Driftsprosedyrer og forpliktelser
SuperOffice varsler om all planlagt nedetid minst 24 timer i forveien. Systemstatus og meldinger om planlagt nedetid vises i påloggingsbildet til den enkelte bruker og på statussiden: status.superoffice.com.
Tjenestenes kapasitet og ytelse overvåkes kontinuerlig. På den måten kan vi enkelt forutse behovet for oppgraderinger av servere og infrastruktur. Retningslinjene for hvordan vi håndterer oppgraderinger og oppdateringer (tidsplan), er utarbeidet slik at den driftsmessige påvirkningen på kundene er minst mulig. Oppdateringer av systemkritiske problemer utføres så snart som mulig.
Beskyttelse mot skadelig programvare
Sentralt administrert antivirusprogramvare installeres på alle servere og på stasjonære datamaskiner som brukes internt. SuperOffice CRM miljøet skannes for sårbarheter daglig, og alle beskyttelsesverktøy oppdateres kontinuerlig.
Sikkerhetskopi
Alle dataene sikkerhetskopieres hver kveld og lagres i to separate sikre miljøer. Sett med sikkerhetskopier krypteres og overføres over en kryptert VPN-tunnel.
SuperOffice CRM er basert på to typer datalagring: Microsoft SQL Server Database og dokumentarkiver. Data for ulike kunder holdes helt atskilt fra hverandre. Alle databaser har en 30 dagers tidspunktbasert sikkerhetskopiering. Dette betyr at man kan gjenopprette data fra en bestemt dato eller et bestemt klokkeslett innen de siste 30 dagene. I tillegg utføres en månedlig sikkerhetskopiering som lagres i 12 måneder. En årlig sikkerhetskopi lagres i 10 år.
Alle dokumentarkiver har kontinuerlig speiling mellom to fysisk separate datasentre med individuelle sikkerhetskopier begge steder. Sikkerhetskopieringen utføres en gang om dagen (vanligvis om natten). Dokumentendringer sikkerhetskopieres og lagres i 30 dager. Sikkerhetskopier av slettede filer (dokumenter) lagres i 90 dager.
Sikkerhetskopieringsrutinene for tredjepartsapper er underlagt spesifikasjonene og tjenestevilkårene til leverandøren av tredjepartsappen og inngår ikke i SuperOffice CRM tjenester.
Styring av forretningskontinuitet
SuperOffice har etablert en nødgjenopprettingsplan. Produksjonsmiljøet er satt opp med redundans for å tilby høy tilgjengelighet ved eventuelle feil, og for å håndtere perioder med høy trafikk på området. SuperOffice og Visma ITC (driftspartneren vår) har felles prosedyrer for både hendelseshåndtering og nødgjenoppretting.
Tilgangskontroll til SuperOffice CRM tjenester
All uautorisert tilgang til SuperOffice-området blokkeres automatisk av en brannmur. SSL-kryptering (Secure Socket Layer) og brukerautentisering beskytter informasjonen og sørger for at bare brukere i kundens organisasjon har tilgang til data.
Når det gjelder kundeinstallasjoner, støtter vi lagring av brukernavn og passord i SuperOffice CRM, Office 365 og G Suite (Google). Tofaktorautentisering støttes ved bruk av Office 365 og G Suite.
Tilgang til personopplysninger
Brukere kan når som helst logge seg på området vårt med brukernavn og passord, få tilgang til personopplysninger og oppdatere kontaktinformasjonen.
Tilgangsstyring i SuperOffice CRM-applikasjonen
Brukertilgang styres av kunden. Det er kundens ansvar å tildele passende rettigheter til individuelle brukere. Brukerautentisering utføres gjennom en kombinasjon av brukernavn og passord. Kunden kan opprette brukere med ulike tilgangsnivåer alt etter hvilken rolle eller hvilke rettigheter de har i SuperOffice CRM.
Det finnes ingen sentrale passordregler som er pålagt av SuperOffice. Kunden må fastsette sine egne passordregler i henhold til selskapets passordregler. Brukeren/kunden er ansvarlig for å holde brukernavnene og passordene trygge.
Tilgangskontroll til operativsystem
Bare autorisert systempersonell har tilgang til og kan utføre operativsystemavhengig administrasjon på SuperOffice-serverne. Alle oppdateringer av operativsystemet og operativsystemavhengig programvare utføres så snart de nye oppdateringene er lansert og testet i et testmiljø.
Revisjonsspor og systemtilgang
All webtilgang til området registreres både i databasen og i loggfilene. Loggfilene sikkerhetskopieres daglig, og det er mulig å gå tilbake i tid for å finne informasjon om hvem som hadde tilgang til en SuperOffice-side på et bestemt tidspunkt.
Bare autorisert personell får tillatelse til å administrere loggfiler og endre tilgangsnivåer i systemet. Pålogginger og bruk av systemrettigheter logges på servere. Pålogginger registreres med et brukernavn og en kilde-IP-adresse.