GaveFabrikken benytter et hostingfirma i Danmark til opbevaring og sikring af vores data. Alle data ligger på deres server og er derved underlagt deres strenge sikkerhedspolitik.
IT-SIkkerhedspolitik
1. Indledning
Som hostingleverandør er den vigtigste sikkerhedsopgave at passe godt på alle data og sørge for, at der til enhver tid leves op til sikkerhedskravene fra GaveFabrikkens kunder. Sikkerhed er derfor et område, som tages meget seriøst - på alle niveauer.
Formålet med denne politik er at give dig et indblik i, hvordan platformen sikres, så du som kunde ikke behøver at bekymre dig om sikkerhed.
2. Organisering af sikkerhed
Hostingfirmaet har etableret et informationssikkerhedsprogram (ISMS), der giver den bedste beskyttelse og højeste grad af tillid.
3. Politikker, procedurer og standarder
Hostingfirmaet har defineret et sæt af politikker, procedurer og standarder for, hvordan der opereres i virksomheden og bedst passes på dine data. Dokumenterne opdateres løbende, i takt med at trusselsbilledet ændrer sig. På den måde sikres det, at indsatsen hele tiden prioriteres dér, hvor der er mest brug for den. Hvordan indsatsen prioriteres, afhænger af firmaets risikovurdering, der opdateres løbende, og som udgør kernen i deres informationssikkerhedsprogram.
4. Medarbejdersikkerhed
Alle hostingsfirmaets medarbejdere og konsulenter med adgang til systemer og faciliteter er underlagt deres sikkerhedspolitikker. Alle gennemgår obligatorisk undervisning, hvor de bliver præsenteret for alle relevante og aktuelle privacy- og sikkerhedsemner. Dette sker både ved start og løbende gennem deres ansættelse. Formålet er at ruste medarbejderne til at modstå aktuelle trusler mod virksomhedens og kundernes data.
For at højne det generelle niveau i branchen og for at vedligeholde firmaets kompetencer deltager alle medarbejdere aktivt i communitites og ERFA-grupper. Alle medarbejdere opfordres til hele tiden at være på forkant med den nyeste udvikling og til at erhverve de højeste certificeringer inden for sikkerhed, netværk, osv.
5. Dedikerede sikkerheds- og persondatakompetencer
Sikkerhedschefen er ansvarlig for at implementere og vedligeholde informationssikkerhedsprogrammet. Endelig har hostingfirmaet interne, juridiske kompetencer inden for persondata, som sikrer, at persondata behandles efter de gældende regler både internt i virksomheden og på vegne af GaveFabrikken.
6. Operationel sikkerhed – Beskyttelse af kundedata
Den vigtigste opgave i sikkerhedsprogrammet er at passe godt på dine data. For at gøre det er sikringsmiljøet inddelt i flere lag:
6.1 Fysisk sikkerhed
Hostingfirmaets datacentre er state-of-the-art og placeret i Danmark. Du kan derfor være sikker på, at dine data bliver inden for landets grænser. Datacenterleverandøren er ansvarlig for de fysiske rammer som f.eks. strøm, køl, brandslukning og adgangskontrol, og der føres skarp kontrol med, at underleverandører til en hver tid efterlever de gældende sikkerhedsregler på området.
6.2 Netværk
Hostingfirmaets core netværk er redundant, så fysiske nedbrud ikke påvirker normal drift. Firewalls begrænser angreb mod GaveFabrikkens miljø, og den påvirkning, som evt. angreb måtte have på serverne. Alle core netværksenheder overvåges, og alarmering sker direkte til 24/7 driftsvagt.
6.3 Logiske adgange
Hostingfirmaet tildeler kun rettigheder til de medarbejdere, der har brug for dem, og vurderer dem løbende. Kun særligt privilegerede medarbejdere har adgang til at administrere interne systemer.
6.4 Overvågning
Hostingfirmaet overvåger deres infrastruktur og relevante services døgnet rundt. Alle afvigelser registreres i deres incident management-system. Som supplement til overvågningen har vi tilknyttet en 24/7-vagtordning.
6.5 Logning
Hostingfirmaet logger alle adgange til management og kundemiljøer. På den måde sikres integritet og sporbarhed.
6.6 Backup
Hostingfirmaet udfører backup ud fra den indgåede SLA. Backupdata flyttes altid til fysisk uafhængig lokation, så der altid er en tilgængelig kopi i tilfælde af et kritisk nedbrud i det primære datacenter.
7. Beredskab og disaster recovery
Beredskab handler om at være forberedt på hændelser, som kan have kritisk eller katastrofal påvirkning på driften. Hostingfirmaet har derfor beredskabsplaner som fastlægger procedurer, rutiner og roller i tilfælde af en katastrofe. Medarbejdere trænes i beredskabet flere gange årligt.
For at sikre den tekniske infrastruktur og sprede risikoen ved kritiske nedbrud bruges der flere uafhængige datacenterleverandører. Der opbevares altid mindst én kopi af backupdata i et datacenter, hvor der ikke er produktionsdata.
8. Håndtering af underleverandører
For at hostingfirmaet kan operere så effektivt som muligt, benyttes underleverandører til udvalgte services. Hvis underleverandørerne kan have påvirkning på sikringsmiljøet, sørges der for, at de efterlever samme strenge krav som hostingfirmaet selv. Det sikres via kontrakter, databehandleraftaler, revisionserklæringer, egenkontrol og fortrolighedsaftaler. Der foretages løbende kontrol af, at alle underleverandører efterlever kravene.