Tekniske og organisatoriske datasikkerhedsforanstaltninger

v1.0.0

Sikkerhedsforanstaltninger

Serverne til onlineapplikationen, databaser og databeskyttelse (backup) drives og vedligeholdes af tredjeparter i professionelle datacentre. Underleverandører er udvalgt omhyggeligt og med respekt for deres sikkerhedsbevidsthed og deres ekspertise baseret på verificerede revisioner og certifikater. Nogle af de relevante sikkerhedsforanstaltninger i den følgende tjekliste vises ikke separat, fordi det er underleverandørers ansvar eller ikke offentliggøres i detaljer af hensyn til at opretholde fortrolighedens sikkerhed.

Adgangskontrol (fysisk)

Adgangskontrollen til serverinfrastrukturen sker af datacentrets rumlige struktur og der gennem det operatørsikrede kontrolsystem. Fysisk adgang til serverne vedligeholdes og kontrolleres af underleverandør.

Adgangskontrol (logisk)

RetinaLyze System har implementeret passende foranstaltninger for at forhindre, at dets databehandlingssystemer bliver brugt af uautoriserede personer.

Dette opnås ved:

  • Automatisk låsning af bruger-id'et, når der indtastes flere fejlagtige adgangskoder. Hændelser logges, og logs gennemgås regelmæssigt.

  • Automatisk time-out for brugerterminal, hvis den ikke er inaktiv, identifikation og adgangskode kræves for at genåbne.

  • Løbende overvågning af infrastruktursikkerhed.

  • Regelmæssig undersøgelse af sikkerhedsrisici af interne medarbejdere.

  • Rollebaseret adgangskontrol implementeret på en måde i overensstemmelse med princippet om mindste privilegium.

  • Fjernadgang til infrastruktur er krypteret og sikret ved hjælp af to-faktor autentificeringstokens.

  • Adgang til værtsservere, applikationer, databaser, routere, switches osv. logges.

  • Adgangskoder skal overholde RetinaLyze System-adgangskodepolitikken, som omfatter minimumslængdekrav og håndhævelse af kompleksitet.

Transmissionskontrol

RetinaLyze System har implementeret passende foranstaltninger for at forhindre, at persondata bliver læst, kopieret, ændret eller slettet af uautoriserede parter under transmissionen heraf eller under transporten af datamediet.

Dette opnås ved:

  • Brug af passende firewall- og krypteringsteknologier til at beskytte de gateways og pipelines, som dataene bevæger sig igennem.

  • Følsomme personlige data krypteres under transmission ved hjælp af opdaterede versioner af TLS eller andre sikkerhedsprotokoller ved hjælp af industristandard krypteringsalgoritmer og nøgler.

  • Kundefølsomme persondata og andre fortrolige kundedata krypteres i hvile i systemet.

  • Beskyttelse af webbaseret adgang til brugergrænseflader til kontoadministration gennem krypteret TLS.

  • End-to-end kryptering af skærmdeling til fjernadgang, support eller realtid meddelelse.

  • Brug af integritetstjek til at overvåge fuldstændigheden og rigtigheden af overførslen af data.

Indgangskontrol

RetinaLyze System har implementeret passende tiltag for at sikre, at det er muligt at kontrollere og fastslå, om og af hvem Persondata er blevet indlæst i databehandlingssystemer eller fjernet.

Dette opnås ved:

  • Autentificering af det autoriserede personale

  • Adskillelse og beskyttelse af alle lagrede personlige data via databaseskemaer, logiske adgangskontroller og kryptering

  • Udnyttelse af brugeridentifikationsoplysninger

  • Fysisk sikkerhed af databehandlingsfaciliteter

  • Session timeouts

Ordrekontrol

Der er kontrakter om databehandling for så vidt angår personoplysninger, der behandles på vegne af kunden. Behandling af personoplysninger på vegne af ordrer givet af kontrahenten skal kun sikres ved skriftlig aftale mellem kontrahenten og kunden eller datacentret. Hvis der sker alvorlige ændringer i processen, skal Kunden informeres.

Kunden skal informeres om systemets driftsstatus.

Sikkerheden ved fjernvedligeholdelse er ikke gældende, da der ikke er nogen fjernbetjening fra kundens side.

Tilgængelighedskontrol

RetinaLyze System har implementeret passende foranstaltninger for at sikre, at personlige data er beskyttet mod utilsigtet ødelæggelse eller tab.

Dette opnås ved:

  • Redundant datalagring.

  • Softwareudelukkelse: Nedbrydning af serverne til uafhængig og autonom udførelse af opgaverne (delt intet-arkitektur).

  • Multipel trinvis sikkerhedskopiering af data.

  • Sikkerhedskopier af data med en tidsplan, der på passende vis afspejler dataændringer.

Adskillelsesregel efter princippet om øremærkning

RetinaLyze System har implementeret passende foranstaltninger for at sikre, at persondata indsamlet til forskellige formål kan behandles separat.

Dette opnås ved:

  • Databaseprincippet, adskillelse ved adgangskontrol.

  • Adskillelse af test- og produktionsdata.

  • Adskillelse af udviklings- og produktionsmiljø.

Need help? Get in touch with us via: https://www.retinalyze.com/contact