GDPR / Sikkerheden

Sikkerheden

Når du gerne vil være helt sikker

etrack1 er din garanti for sikkerhed - dine drifts- og backup data er placeret i Danmark. Hostingen er baseret på redundans og kommunikationen med kunderne sker efter de højeste krav til sikkerhed. Klassificeringen af data i etrack1 er endnu et element i markedets mest sikre ticketsystem.

Sikkerheden

Om etrack1-sikkerheden

Datasikkerhed og etrack1

Datasikkerhed bør være en af de væsentligste elementer i enhver cloud-baseret service. Opbevaring, transport, processering, adgange og overvågning er alle delelementer i den ”kapsel” som en løsning, som etrack1, er pakket ind i.

Vi drifter etrack1 serverne hos Itadel A/S på redundante servere i København og Ballerup på opdelte DMZ’er. Vores backup af kundedata sker hvert 5. minut til en 3. lokation, i Danmark, og de eneste personer med adgang til vores kunders data, er medarbejdere hos etrack1, som har en "funktionsmæssig" rolle i at levere til vores kunder. Vi anvender ingen andre underleverandører.

De bærende elementer i vores rutiner, før vi går i gang, er altid at risikovurdere ny-udvikling, gennemføre code review inden idriftsættelse, stressteste og teste rollback-procedurer.

På den måde sikrer vi, at vi overholder alle krav fra vores kunder og krav som GDPR pålægger os som databehandlere og jer som dataansvarlige.

Med andre ord: Dine data er i de bedste hænder hos os, og vi garanterer, at etrack1 sikrer den fuldstændigt afgørende GDPR-compliance.

Om etrack1-sikkerheden

Sikkerheden

GDPR-compliance og ISAE-3000

Ansvarlig behandling af data med etrack1

At en virksomhed er GDPR-compliant, betyder blandt andet, at den, som etrack1, overholder en række veldefinerede områder indenfor ”behandlingssikkerhed”.

Det betyder blandt andet og som eksempler:

  • At der skal være sammenhæng mellem indsamling af informationer og det de skal anvendes til (formål og anvendelse)
  • At kun personer, som er en del af formålet for behandlingen, må have adgang til data
  • At når der ikke mere er brug for data, at de så slettets/anonymiseres
  • At du som dataansvarlig skal sikre ”passende organisatoriske og tekniske foranstaltninger” for at sikre datasubjekterne.
  • At du skal indsamle og kunne dokumentere at du har samtykke til behandling
  • At et sådant samtykke ikke er afgivet implicit (passivt) men accepteret aktivt af datasubjektet forud for databehandlingen.

Konsekvensen ved ikke at overholde GDPR kender de fleste til …men vi har styr på det!

Vores ansvar reguleres gennem de indgående databehandleraftaler, som vi udformer individuelt fra kunde til kunde. Databehandleraftalerne er baseret på det danske Datatilsyns standard og reguleret i henhold til dansk lov.

En gang om året i marts gennemgår Deloitte vores procedurer for at sikre, at vi lever op til kravene. Vi sender erklæringen i kopi til alle vores kunder, men du kan også finde den her.

Sikkerheden

TLS, DKIM og mail-relay

Vælg din fortrukne kryptering

På den tekniske side har vi fuldstændig styr på sikkerheden i forbindelse med opsamling og levering af mails.

Vi supporterer både ”optional” og ”forced” TLS eller du kan vælge at alle mails skal relayes gennem din eksisterende mail-infrastruktur.

Skal etrack1 levere mails direkte til modtagerne, så sker det med udgangspunkt i en opdateret SPF-record, hvor etrack1 mail-serveren er godkendt til at levere på vegne af dig. Dette er selvfølgelig med opsat DKIM-signatures, så mails ikke bliver afvist på grund af manglende verifikation af autenticitet.

Sikkerheden

e-boks

Ekstra sikkerhed med e-boks

Vil du være helt sikker på både at levere til en specifik modtager og samtidig ønsker ”end-to-end-kryptering”, så kan man med etrack1 konvertere almindelige mails til beskeder i e-boks.

I etrack1 vælger medarbejderen blot:

  • ”send som e-boks-besked”
  • Indtaster et CVR- eller CPR-nummer
  • Skriver beskeden og vedhæfter eventuelle dokumenter
  • Klikker ”send”

Hvis modtageren svarer på mailen fra e-boks, så kommer den naturligvis ind på samme tråd i etrack1, som den blev sendt fra.

e-boks

Sikkerheden

Redundant hosting i Danmark

Intet datatab med etrack1

Infrastrukturen som etrack1 hviler på, er etableret hos itadel A/S – på 2 adskilte hostingcentre i henholdsvis København og Ballerup. Backup foretages løbende til en 3. lokation i Århus.

Netværket, som dette redundante setup kører på, er adskilt, så etrack1 kan køre videre, selvom det ene center forsvinder. Vi garanterer for, at selv hvis dette skulle ske, så vil der ikke ske datatab.

Netværket er beskyttet af et avanceret anti-DDOS-setup, som sikrer oppetid, tilgængelighed og næsten usårlighed. Vi har således investeret massivt i vores hostingfaciliteter og uanset pris, så går vi aldrig på kompromis med at sikre både data og tilgængelighed.

Vi har et mål om at ingen andre ticketsystem-leverandører skal kunne matche os – vi vil være den sikreste løsning på markedet.

Redundant hosting i Danmark

Sikkerheden

Underleverandører

Hvem har adgang til dine data?

Databehandleraftalen regulerer, hvem vi som leverandører, har tilladelse til at arbejde sammen med som underleverandører med adgang til dine data.

En databehandleraftale som også regulerer og forpligter os til at passe ekstra godt på dine data via "tekniske og organisatoriske foranstaltninger".

For at minimere risikoen for databrud og gøre vores ansvar så tydeligt som muligt, anvender vi kun én underleverandør – Itadel A/S i Danmark. Alle andre med adgang til data er medarbejdere hos etrack1, underlagt strenge fortrolighedsklausuler og selvfølgelig auditering samt logning af adgange og funktionsadskillelse.

Sikkerheden

AD-integration

Sikkerhed med AD-integration

For at styre medarbejderadgange til etrack1, kan man som etrack1 kunde vælge enten at benytte den bruger- og rettighedsstyring som er indbygget i etrack.1 Alternativt kan man verificere brugeradgange mod et eksisterende "Active Directory".

Hvis man anvender etrack1-bruger- og rettighedsstyring, så er der her indbygget standardindstillinger til overholdelse af sikkerhedsniveauet, f.eks.:

  • Passwordlængde og -indhold
  • Tidsinterval for skift af password
  • IP-adresse-begrænsninger
  • Roller og rettighedsstyring

Uanset hvilken model du vælger, så garanterer vi som leverandør, at hvis du følger vores anvisninger, er dataene sikre hos etrack1.

AD-integration

Sikkerheden

Back-up og restore

Datatab er næsten teoretisk.

Vi tager en månedlig fuld backup og ”incremental”, altså backup af de filer der efterfølgende er blevet ændret, alle andre dage.

Herudover foretager vi "log-file-shipping" hvert 5. minut, så den maksimale mængde data som kan tabes, i forbindelse med et totalt nedbrud, vil være 5 minutters aktivitet.

Én gang i kvartalet foretager vi en "disaster-recovery-test" og konstaterer udfaldet af denne, både i forhold til dataintegritet og i forhold til tidsrummet, som er påkrævet i forbindelse med reetablering.

Dokumentation for gennemførsel og afholdelse af disse tests, fremgår desuden af vores ISAE-rapport fra Deloitte.

Vi arbejder kontinuerligt på denne proces og i løbet af 2021, vil vi ændre vores back-up-rutiner så de - udover at blive kørt som nu – vil blive reetableret på en ”hot-standby” SQL server hvert 5. minut, så den indeholder de nyeste data fra vores backup og "log-file-shipping".

Er uheldet ude vil vores reetablering af driftsmiljøet kunne ske på under 60 minutter når den nye proces er implementeret.

Back-up og restore
Søg
Kontakt os