Hur vi säkrar din data

Vi inser att du som kund anförtror oss det viktigaste du har; dina kunders data och i förlängningen deras förtroende till dig som leverantör. Därför jobbar vi strukturerat med vår informationssäkerhet genom hela mjukvaru-utvecklingscykeln; från första skissen på en ny funktion tills den är i drift. 

‍

Våra processer

Vi jobbar riskfokuserat i enlighet med ISO-27001 med målet att leverera en tjänst med säkerhet i världsklass och förbättra vår säkerhet varje dag:

• Vår ledning och CISO utför varje halvår en riskanalys som ligger till grund för våra säkerhets-objektiv och key results (OKRs)
• Vi följer upp vårt säkerhetsarbete och våra kontroller på ledningsnivå i återkommande Information Security Management Review-möten
• Alla anställda och konsulter utbildas i vår IT säkerhetspolicy som en del av sin onboarding
• Vi har informationssäkerhet som en stående punkt på våra teammöten varannan vecka
• Vi har tydliga processer för att hantera data på ett säkert sätt när medarbetare slutar eller kunder avslutar sina prenumerationer

Vårt säkerhetsteam:

• Arbetar utifrån våra säkerhets-OKRs för att ständigt förbättra vår säkerhet
• Säkerställer efterlevnad till våra säkerhetspolicies
• Monitorerar vår software supply chain för att upptäcka sårbarheter
• Prioriterar och föreslår uppgraderingar och patchning utifrån CVSS (Common Vulnerability Scoring System)
• Monitorerar och utvärderar priviligerad access till system
• Utvärderar våra leverantörer
• Säkerhetstestar vår IT-infrastruktur på återkommande basis samt samordnar externa penetrationstester vid större förändringar

Vårt driftteam:

• Arbetar utifrån våra drift-OKRs och vår Operations Runbook för att se till att vi efterlever våra SLA:n
• Monitorerar säkerhetsincidenter och rapporterar och dokumenterar avvikelser
• Monitorerar drift-incidenter och rapporterar och dokumenterar avvikelser
• Uppgraderar och patchar tredjepartsmjukvara
• Testar vår disaster recovery-process (DR) på årlig basis och dokumenterar utfallet

Vårt utvecklingsteam:

• Jobbar holistiskt med säkerhet från ett utvecklingsperspektiv, t.ex. utifrån OWASP Top 10
• Uppgraderar och patchar vår egen programvara

‍

Vår plattform

Vår plattform är byggd från grunden för att säkerställa att din data alltid är säker.

• All din data i Senseworks applikationer hanteras helt frånskilt från andra kunder hela vägen från autentisering till lagring och processande. Data lagras fysiskt separat per kund både i databas och objektlagring
• Alla våra applikationer använder unika användarnamn och lösenord för att minimera blast radius utifrån principen minsta möjliga privilegier
• Våra tjänster har flera lager av behörighetsstyrning (RBAC) där Kunden kan styra vilka medarbetare som ska ha vilka rättigheter i Tjänsten. Våra tjänster implementerar också User-Managed Access (UMA) som låter Kunden avgöra vilka användare som ska ha tillgång till vilket data
• Alla administrativa konton använder tvåfaktors-autentisering (2FA)
• All access till alla system är personligt identifierbara och loggas
• Vi scannar kontinuerligt efter sårbarheter i mjukvarorna vi använder och avvikelser och anomalier i våra miljöer (IDS)
• Vi använder så minimala bas-images som möjligt för alla tjänster för att minimera sårbarhetsytorna
• Vi patchar kontinuerligt vår programvara utifrån Static Application Security Testing (SAST) i våra pipelines samt Software Composition Analysis (SCA) och image scanning efter CVEs under runtime
• All access till interna tjänster sker via VPN (2024 Q1) och genom strikt whitelisting
• All data krypteras med hjälp av TLS när den överförs mellan tjänster eller till slutanvändare (encryption-in-transit)
• Data krypteras så ofta som möjligt i lagring (encryption-at-rest) - t.ex. sparas alla lösenord krypterat i Azure Key Vault och all data i databaser och i objektlagring krypteras mha AES 256
• Vi använder Azures DDoS-skydd för att förhindra överbelastningsattacker
• Backups sker dagligen, krypteras och sparas i 7 dagar
• Vårt Recovery Time Objective (RTO) är 4 timmar för en fullständig återställning av applikationer och data
• Vårt Recovery Point Objective (RPO) är att som minst kunna återställa data från 24 timmar tillbaka

‍

Du är välkommen att höra av dig till vår Chief Information Security Officer (CISO) för att lära dig mer: ciso@senseworks.io

‍

Hur vi skyddar dina personuppgifter

Vi ser vårt ansvar att skydda dina personuppgifter och din personliga integritet på ett bra sätt som en potentiell konkurrensfördel. Vi är medvetna om utmaningarna att göra det i dagens föränderliga legala landskap.

‍

Våra mål är att leverera våra tjänster i enlighet med:

• EU:s GDPR
• EU:s ePrivacy Directive
• EU:s Digital Services Act

‍

Vi har investerat för att vår plattform ska vara flexibel och moln-agnostisk. Vår programvara körs i Microsofts svenska datacenter men kan med modifikation levereras även från andra IaaS-plattformar. All drift förutom den som sköts av Microsoft utförs av Senseworks svenska personal. All data lagras i Sverige, både databaser och objektlagring. 

‍

Våra riktlinjer är att:

• Alltid använda svenska eller europeiska leverantörer när det är möjligt; i andra hand använda open-source lösningar med möjlighet att drifta dem själva på svenska eller europeiska leverantörer
• Alltid minimera mängden personuppgifter vi hanterar (Art. 5 - data minimisation)
• Alltid kryptera personuppgifter när de överförs (encryption-in-transit)
• Kryptera personuppgifter när de lagras så ofta som möjligt (encryption-at-rest)
• Alltid utbilda våra medarbetare och konsulter kring korrekt hantering av personuppgifter när de börjar

‍

Våra amerikanska underbiträden vi använder för att leverera våra tjänster är:

• Atlassian, US (support - DPA, underbiträden)
• Google LLC, US (support, email - DPA, underbiträden) 
• Hotjar, US (usability - DPA, underbiträden)
• Microsoft Corporation, US (cloud, communication - DPA, underbiträden)
• Sentry, US (support - DPA, underbiträden)
• Slack, US (communication - DPA, underbiträden)

‍

Vi använder mekanismen Standard Contractual Clauses (SCCs) med dessa leverantörer för att överföra personuppgifter till tredjeland. Den data som överförs tillhör inte kategorin känsliga personuppgifter enligt EU:s definition men kan innefatta:

• Autentiseringsuppgifter (t.ex. användarnamn, lösenord, audit trails)
• Kontaktinformation (t.ex. e-post, telefonnummer, kopplingar till sociala medie-konton)
• Kommersiella uppgifter (t.ex. prenumerations-historik, betalningshistorik)
• Användningsdata
• Användarprofil-uppgifter (förnamn, efternamn, e-post)
• Eventuella personuppgifter i användarkommentarer i våra applikationer

‍

Du är välkommen att höra av dig till vår Data Protection Officer (DPO) för att lära dig mer: dpo@senseworks.io