Styring, risiko og samsvar

SuperOffice er svært opptatt av personvern, sikkerhet og åpenhet. Denne delen beskriver SuperOffices styringsmodell samt retningslinjene og prosedyrene som bidrar til å sikre at alle ansatte samarbeider for å oppnå målene for personvern, sikkerhet og åpenhet.

Styring i SuperOffice

SuperOffice Quality Management System (SQS) er utviklet med utgangspunkt i ISO-standarder og GRC-prinsippet – styring + risikostyring + samsvar (governance + risk management + compliance).

Prosessene som er etablert og som gjennomføres av styret i SuperOffice, gjenspeiles i organisasjonens struktur og i måten den ledes på på veien mot målene.

For øyeblikket omfatter SuperOffice SQS styringssystemet for informasjonssikkerhet for alle interne systemer og for de skybaserte SuperOffice CRM Online-tjenestene som tilbys kundene. Videre dekker SQS alle personvernrelaterte prosesser som er påbudt av personvernforordningen (GDPR).

Risikostyring

Vi har implementert en generell risikovurdering av informasjonsobjekter, og denne risikovurderingen oppdateres en gang i året.  Tilnærmingen til sikkerhet er basert på risikovurderinger i henhold til artikkel 24 i EUs personvernforordning (GDPR) og IKT-regelverket § 3.

Risikostyring er et sett med prosesser som SuperOffice-ledelsen bruker til å identifisere, analysere og reagere på risiko som kan ha en negativ effekt på realiseringen av organisasjonens forretningsmål.  Reaksjonen på risiko avhenger typisk av risikoens antatte alvorlighetsgrad og går ut på å kontrollere, unngå, godta eller overføre den til en tredjepart.

Vi håndterer en rekke former for risiko: teknologisk risiko, risiko knyttet til informasjonssikkerhet, kommersiell/økonomisk risiko og selvsagt ekstern risiko knyttet til etterlevelse av lover og regler.

Klassifisering og kontroll av informasjon

Det er viktig at det ikke oppstår konfidensialitetsbrudd, eller at integriteten til informasjonen er mangelfull. Dermed er det viktig at vi beskytter informasjonen med utgangspunkt i hvor kritisk den er, og all den viktigste informasjonen registreres og tildeles en utpekt eier.

Informasjonen klassifiseres også for å gjøre det mulig å ta i bruk nødvendige og hensiktsmessige sikkerhetskontroller. Informasjonseieren er ansvarlig for vedlikehold og kontinuerlig gjennomføring av godkjente og hensiktsmessige kontroller og forbedringer.

Tredjeparts tilgang til data

All informasjon som lagres i SuperOffice CRM Online, behandles som konfidensiell og blir ikke offentliggjort eller solgt til noen tredjepart. Informasjonen lagres på en sikker måte og er bare tilgjengelig for kundene og for klarert SuperOffice-personell i forbindelse med administrasjon av området.

Samsvar

SuperOffice følger de lovfestede kravene som EU vedtok i Europaparlaments- og rådsforordning (2016/679) av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning). De USA-baserte tjenestene er sertifisert under rammeverkene EU-US Privacy Shield og/eller US-Swiss Safe Harbor.   Alle SuperOffice-data lagres i Europa.

Avtaler om databehandling

En databehandleravtale inngås mellom SuperOffice og kunden når SuperOffice CRM Online-avtalen signeres. Formålet med denne avtalen er å regulere SuperOffices behandling av personopplysninger på vegne av kunden som bruker SuperOffice CRM Online. Delavtaler om databehandling inngås mellom SuperOffice og underdatabehandlere samt App Store-partnere.

Sikker lagring (ISO 27001/27018)

Data som lagres i SuperOffice CRM Online, beskyttes av et ISO 27001-sertifisert styringssystem for informasjonssikkerhet.  En ISO 27018-sertifisering skal etter planen oppnås i 2018. Disse ISO-standardene er beste praksis internasjonalt når det gjelder informasjonssikkerhet. Det er grunnen til at GDPR anbefaler ISO 27001-sertifisering – en slik sertifisering viser at informasjonssikkerheten tas på alvor på alle nivåer i organisasjonen.

SuperOffices eksterne sikkerhetskonsulenter kontrollerer sikkerhetsretningslinjene og tester forsvars- og sikkerhetskontrollene med jevne mellomrom. Sammen med driftspartnerne våre er vi svært opptatt av å beskytte all informasjonen i SuperOffice CRM Online.

Revisjoner og ISAE 3402

Kunden har rett til å utføre regelmessige sikkerhetsrevisjoner, -kontroller og -inspeksjoner. Revisjonene kan innebære en gjennomgang av de viktigste rutinene, stikkprøvetaking, omfattende kontroller på stedet og andre hensiktsmessige kontroller. Partene må dekke sine egne kostnader tilknyttet slike revisjoner, kontroller og inspeksjoner. Kunden må engasjere en berettiget og sertifisert tredjepart til å utføre slike revisjoner.

SuperOffice utfører tredjeparts sikkerhetsrevisjoner årlig. Formålet med slike revisjoner er å vise at de tekniske og organisatoriske sikkerhetstiltakene som SuperOffice bruker, er tilstrekkelige. Rapporter om den årlige revisjonen som er basert på ISAE 3402 og utføres av Ernst & Young (EY), er tilgjengelige for kundene for et fastsatt gebyr.

Sikker produktutvikling

SuperOffice utvikler programvare med utgangspunkt i prinsippene for innebygd sikkerhet og innebygd personvern. Alle programkoder utvikles med et ende-til-ende-fokus på sikkerhet og personvern. Nye versjoner testes av dedikert testpersonell og er også gjenstand for omfattende ekstern testing (beta-/pilottesting).

SuperOffice utfører ulike tester, som funksjons-, integrasjons-, ytelses- og belastnings-/stresstester. Både automatisert og manuell testing benyttes.

Alle systemene som utvikles for SuperOffice, har klare sikkerhetskrav, inkludert valideringen av data, ivaretakelse av kodens sikkerhet før produksjonssetting og bruk av kryptografi. Strukturerte metoder som agile og scrum osv. brukes for å kontrollere alle deler av utviklingsprosessen.

Alle endringer i produksjonsmiljøet følger rådende prosedyrer. Alle endringer, som feilrettinger og nye lanseringer, testes i dedikerte test- og utviklingsmiljøer før de settes i produksjon. Uavhengig testpersonell tester regelmessig ny funksjonalitet.

I tillegg blir all programvare testet og formelt godkjent av en intern eier og operatør før den overføres til produksjonsmiljøet.

Før nye endringer settes i produksjon, blir en trussel- og risikovurdering, en sikkerhetsgjennomgang av koden og penetreringstester systematisk utført og dokumentert. Hvis det ikke blir oppdaget noen sikkerhetsproblemer, implementeres de nye funksjonene i den eksisterende SuperOffice-applikasjonen.

SuperOffice AS har inngått samarbeid med en uavhengig sikkerhetsrådgiver, Watchcom AS, med det formål å utvikle sikre applikasjoner og tjenester.

Watchcom bistår SuperOffice med sikkerhetsvurderinger, sikkerhetstesting av applikasjoner, penetreringstesting og konsulenttjenester. Watchcom jobber med utgangspunkt i internasjonale sikkerhetsstandarder som ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP og WASC. Disse standardene er grunnlaget for alt arbeid og alle rapporter som leveres til SuperOffice.

Exitplan

Når kundens abonnement på SuperOffice CRM Online-tjenestene sies opp eller utløper, vil kontoen bli deaktivert og ikke lenger være tilgjengelig. Når avtalen sies opp, vil de av kundens brukere som har administratortilgang, og som prøver å logge på, videresendes til en side der de kan laste ned alle dataene som tilhører kunden. Disse dataene vil være i et generelt filformat. Dataene vil være tilgjengelig for nedlasting i 30 dager fra avtalen sies opp. Etter 30 dager vil alle data som tilhører kunden, bli fjernet fra SuperOffices servere og datasentre. Sikkerhetskopier vil være tilgjengelige i henhold til sikkerhetskopieringsprosedyrene.

Sikkerhet i skyen

Lær hvilke sikkerhetstiltak og sikkerhetsprotokoller som er på plass for å sikre alle data som lagres i SuperOffice CRM Online.

GDPR og CRM

Finn ut hvordan SuperOffice CRM kan hjelpe deg med å lagre og behandle personlige kundeopplysninger i tråd med kravene i EUs nye personvernforordning, GDPR.

App Store og API-er

Sjekk ut alle de lovfestede kravene, retningslinjene, reglene og sertifiseringene som SuperOffice etterlever.