Tlf: HUMAN TIME A/S

Transkript

1 Tlf: BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER BDO Statsautoriseret revisionsaktieselskab, en danskejet revisions- og rådgivningsvirksomhed, er medlem af BDO International Limited - et UK-baseret selskab med begrænset hæftelse - og en del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer.

2 INDHOLDSFORTEGNELSE Side 1. Uafhængig revisors erklæring om beskrivelsen af whistleblowersystemet og de tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger Udsagn fra Human Time A/S Human Time A/S beskrivelse af whistleblowersystemet og de tilhørende kontroller til sikring af overholdelse af lov om behandling af personoplysninger Kontrolmål, kontroller, test og resultat af test Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og Inddatamateriale som indeholder personoplysninger Autorisation og adgangskontrol - 11, 12 og Uddatamateriale som indeholder personoplysninger Eksterne kommunikationsforbindelser Kontrol med afviste adgangsforsøg Logning Almindelige bestemmelser Andre forhold... 20

3 1 1. UAFHÆNGIG REVISORS ERKLÆRING OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Til: Ledelsen i Human Time A/S Human Time A/S kunder Indledning Vi har fået som opgave at afgive erklæring om Human Time A/S (serviceleverandøren) beskrivelse på side 4 af whistleblowersystemet og de pr. 1. juni 2012 tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger, og om serviceleverandøren i forhold til det anvendte whisleblowersystem overholder lov om behandling af personoplysninger. Serviceleverandørens ansvar På side 3 i nærværende rapport har serviceleverandøren afgivet et udsagn om egnetheden af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de udformede kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Serviceleverandøren er ansvarlig for udarbejdelsen af beskrivelsen og udsagnet, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. Endvidere er serviceleverandøren ansvarlig for leveringen af de ydelser, beskrivelsen omfatter. Serviceleverandøren er desuden ansvarlig for at definere kontrolmål samt udforme og implementere tekniske og organisatoriske foranstaltninger (kontroller) mod, at de i whistleblowersystemet registrerede personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, eller at disse personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om serviceleverandørens beskrivelse samt om udformningen af kontroller, der knytter sig til de kontrolmål, som er anført i denne beskrivelse, og om serviceleverandøren i forhold til det anvendte whistleblowersystem overholder lov om behandling af personoplysninger. Vi har udført vores arbejde i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske oplysninger. Revisionen er tilrettelagt og udført med henblik på at opnå høj grad af sikkerhed for vores konklusion og er baseret på lov om behandling af personoplysninger, jf. lov nr. 479 af 31. maj 2000 med senere ændringer, og de i medfør af loven udstedte bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer (sikkerhedsbekendtgørelsen). En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed omfatter endvidere vurdering af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de anførte kontrolmål. Vores arbejde har omfattet forespørgsler, observationer og inspektioner samt stikprøvevis efterprøvelse af den information, vi har modtaget. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt og egnet grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Serviceleverandørens beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder, og omfatter derfor ikke nødvendigvis alle de aspekter ved whistleblowersystemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen af personoplysninger.

4

5 3 2. UDSAGN FRA HUMAN TIME A/S Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - info@humantime.com -

6 4 3. HUMAN TIME A/S BESKRIVELSE AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Indledning Det er af væsentlig betydning for Human Time A/S ledelse, at der til stadighed er 100% fokus på itsikkerhed, at de trufne foranstaltninger til sikring af et højt it-sikkerhedsniveau løbende bliver vedligeholdt, samt at det med jævne mellemrum vurderes, om der er behov for at justere foranstaltningerne. Human Time A/S har valgt at få udarbejdet en revisorerklæring for at dokumentere over for kunderne, at virksomheden anser et højt it-sikkerhedsniveau som en selvfølge særligt når der er tale om et system, hvori der lagres meget personfølsomme data. Systemet Systemet leveres som en SaaS (Software as a Service), det vil sige en internetbaseret applikation hostet af Human Time A/S. Systemet består af en it-portal, hvor whistleblowere hos kundens ansatte og/eller forretningsforbindelser/samarbejdspartnere anonymt kan indrapportere kritisable forhold. I systemets administrator-portal kan kundens administrator-brugere foretage sagsbehandlingen i et elektronisk sagsbehandlingssystem. Alle personfølsomme data i kundernes whistleblowersystemer er krypterede med en kundespecifik krypteringsnøgle. Ingen medarbejdere hos Human Time A/S ej heller systemudviklerne - har adgang til de personfølsomme data, der er lagret i kundernes whistleblower-portaler. Human Time A/S har ikke adgang til oplysningerne i kundernes systemer, da disse er krypterede. Derfor er det fastsat i kontrakten mellem kunden og Human Time A/S, at kunden er ansvarlig for: med jævnlige mellemrum at gennemgå transaktionsloggen, at den i systemet konfigurerede passwordpolitik overholder persondatalovens og sikkerhedsbekendtgørelsens krav til kompleksitet, periodisk passwordskift samt midlertidig deaktivering af login i tilfælde af forgæves login-forsøg, at der er implementeret procedurer for sletning af transaktionslog og personfølsomme oplysninger i overensstemmelse med retningslinjerne i persondatalovgivningen, og at inddrage systemadgange for fratrædende medarbejdere samt i det tilfælde, hvor en medarbejder skifter stilling, hvorefter vedkommende ikke skal have adgang til systemet. Identifikation af risici og implementering af kontroller Human Time A/S ledelse har analyseret de systemmæssige risici. På baggrund af risikoanalysen har ledelsen formuleret relevante kontrolmål og implementeret de nødvendige og tilstrækkelige kontroller, så det tilsikres, at systemet overholder persondataloven og sikkerhedsbekendtgørelsen. Bilaget i denne rapport indeholder en liste over de implementerede kontrolmål og kontroller og er en integreret del af nærværende beskrivelse. Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - info@humantime.com -

7 5 4. KONTROLMÅL, KONTROLLER, TEST OG RESULTAT AF TEST I nærværende beskrivelse er følgende informationer beskrevet af Human Time A/S: Relevante kontrolmål, udvalgt af Human Time A/S. Indførte kontrolaktiviteter, udvalgt af Human Time A/S, og udformet til at nå kontrolmålene. Human Time A/S kommentarer til de af revisor identificerede afvigelser. Vores arbejde blev gennemført i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger med henblik på at opnå høj grad af sikkerhed for vores konklusion. Vores test af kontrollernes design og implementering har omfattet de kontrolmål og tilknyttede kontrolaktiviteter, der er udvalgt af Human Time A/S. Vores test har omfattet de handlinger, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev opnået pr. 1. juni I nærværende beskrivelse er følgende informationer således beskrevet af BDO: En beskrivelse af de udførte test med henblik på at konkludere, hvorvidt Human Time A/S anførte kontroller var hensigtsmæssigt udformet til at nå de anførte kontrolmål. Resultatet af vores test af hensigtsmæssighed og udformning af kontroller med Human Time A/S kommentarer til enhver af de konstaterede afvigelser. De udførte test af kontrollernes design og implementering er beskrevet nedenfor: Type Forespørgsel Beskrivelse Forespørgsler hos passende personale hos Human Time A/S er udført for alle væsentlige kontrolaktiviteter. Forespørgslerne blev udført for blandt andet at opnå viden og yderligere oplysninger om indførte politikker og procedurer, herunder hvordan kontrolaktiviteterne udføres, samt at få bekræftet beviser for politikker, procedurer og kontroller. Inspektion Dokumenter og rapporter, der indeholder angivelse om udførelse af kontrollen, er gennemlæste med det formål at vurdere udformningen og overvågningen af de specifikke kontroller, herunder om kontrollerne er udformede, således at de kan forventes at blive effektive, hvis de implementeres, og om kontrollerne overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Test af væsentlige systemopsætninger af tekniske platforme, databaser og netværksudstyr er udført for at påse, om kontroller er implementerede, herunder eksempelvis vurdering af logning, sikkerhedskopiering, patch management, autorisationer og adgangskontroller, datatransmission og besigtigelse af udstyr og lokaliteter. Observation Anvendelsen og eksistensen af specifikke kontroller er observeret, herunder test for at påse, at kontrollen er implementeret. For de ydelser, som Aimes Grid Services leverer, har vi modtaget en ISO certificering for Hosting, afgivet pr. 4. april For de ydelser, som Wannafind.dk A/S leverer, har vi fra uafhængig revisor modtaget en erklæring om efterlevelse af egen it-sikkerhedspolitik, afgivet for perioden 1. januar 31. december Disse serviceunderleverandørers relevante kontrolmål og tilknyttede kontroller indgår ikke i Human Time A/S beskrivelse af serviceydelser og kontroller i tilknytning til whistleblowersystemet. Vi har således alene vurderet erklæringen og testet de kontroller hos Human Time A/S, der overvåger funktionaliteten af serviceunderleverandørens kontroller.

8 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Ledelsen gennemfører én gang årligt en risikoanalyse og gennemgår kontrolmål og kontroller ( 5, stk.2). Vi har udført forespørgsler hos passende personale og inspiceret procedurebeskrivelse og referat fra seneste it-sikkerhedsudvalgsmøde, hvor it-sikkerhedspolitik, risikovurdering samt kontrolmål og kontroller blev gennemgået. Vi har foretaget inspektion af serviceleverandørens it-sikkerhedspolitik, risikovurdering, kontrolmål og kontroller. Instruktion til alle medarbejdere om overholdelse af HumanTimes A/S' kodeks for god it-adfærd ( 6). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens Kodeks for god it-adfærd samt modtaget kopi af alle medarbejderes erklæring om, at de er bekendte med Kodeks for god it-adfærd og vil overholde de beskrevne retningslinjer herfor. Indgåelse af databehandleraftaler med de underleverandører, der behandler persondata ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens indgåede skriftlige databehandleraftale med hosting-leverandøren Aimes Grid Services i England samt tilhørende ISO certifikat. 6

9 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Indgåelse af databehandleraftaler med kunderne ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens standard Softwareserviceaftale Vi har observeret, at hosting hos Aimes Grid Services i England er integreret i aftalen med de enkelte kunder. Begrænsning af de enkelte medarbejderes adgang til personfølsomme oplysninger ( 8). Vi har udført forespørgsler hos passende personale samt observeret, at det alene er medarbejdere i udviklingsafdelingen, der har adgang til udviklingsserveren i Holstebro og produktionsserveren i England. Vi har observeret, at ingen medarbejdere hos serviceleverandøren har adgang til personfølsomme data, da kunderne selv varetager sagsbehandlingen. Vi har observeret, at der ikke er personfølsomme data på udviklingsserveren, da der alene anvendes testdata herpå. Vi har via stikprøver observeret, at personfølsomme data på produktionsserveren er krypterede. 7

10 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har udtrukket oplysninger fra Active Directory, og inspiceret tildelte brugerrettigheder. Begrænsning af adgang til kontorlokalerne i Holstebro ( 8). Vi har udført forespørgsler hos passende personale. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Begrænsning af adgang til kontorlokalerne i Valby ( 8). Vi har udført forespørgsler hos passende personale. Vi har observeret, at de enkelte kontorlokaler er aflåst uden for normal arbejdstid, at indgangsdøren altid er aflåst, og at der er tilkoblet alarm, når der ikke er medarbejdere på kontoret. Vi har inspiceret nøgleoversigt samt templates for udlevering og inddragelse af nøgle. 8

11 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af adgang til hostingcenter ( 8). Vi har udført forespørgsler hos passende personale samt indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren. Endvidere har vi inspiceret tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S fysiske lokationer. Vi har udført forespørgsler hos passende personale samt templates for udlevering og inddragelse af nøgler og nøglekort. Begrænsning af fjernadgang til produktionsserver. Vi har udført forespørgsler hos passende personale samt observeret adgangssikkerheden for fjernadgang til produktionsserveren. Vi har inspiceret udtræk af brugere, grupper og tildelte rettigheder fra Active Directory. Begrænsning af hostingpartners adgang til produktionsserver ( 8). Vi har udført forespørgsel hos passende personale samt observeret adgangssikkerheden til produktionsserveren. 9

12 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Begrænsning af personkreds med adgang til personfølsomme oplysninger i databasen ( 8). Vi har udført forespørgsel hos passende personale for begrænsning af adgang til personfølsomme oplysninger i databasen samt observeret, at personfølsomme data er krypterede. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Produktionsserveren skal beskyttes bag en firewall, så ingen udefrakommende kan tilgå den ( 8). Vi har udført forespørgsel hos passende personale og inspiceret indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S it-systemer. Vi har udført forespørgsel hos passende personale for nedlæggelse af adgange for fratrådte medarbejdere. 10

13 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af uvedkommende adgang til oprettede fjernadgangsforbindelser. Vi har udført forespørgsel hos passende personale. Vi har observeret adgangsbegrænsning og sikkerheden i forbindelse med fjernadgang. Det skal tilsikres, at et eventuelt fjendtligt angreb ikke vil kunne udnytte kendte sikkerhedsbrister på produktionsserveren. Vi har udført forespørgsel af passende personale. Vi har observeret, at produktionsserveren løbende opdateres og er sikret med henholdsvis password og faste IP-adresser. Der skal udføres penetrationstests, der dokumenterer, at der ikke er nogen kendte sikkerhedsbrister. Vi har udført forespørgsel hos passende personale. Vi har tillige inspiceret penetrationstestrapporter. Det skal sikres, at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab ved reparation/destruktion af serveren ( 9). Vi har udført forespørgsel hos passende personale. Vi har endvidere inspiceret den indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikater fra Bureau Veritas. 11

14 4.2 Inddatamateriale som indeholder personoplysninger - 10 Kontrolmål 7 Sikre at inddata ikke kommer til uvedkommendes kendskab. Det skal sikres, at inddata, som opbevares hos Human Time A/S, ikke kommer til uvedkommendes kendskab ( 10). samt indgåede aftaler. Vi har observeret, at alle personfølsomme data er sikret med kryptering. Vi har inspiceret procedurebeskrivelser for anvendelse af tolke, som sikrer, at informationer behandles fortroligt, og at medier bliver destrueret behørigt efter endt brug. Det skal sikres, at data ikke kan "opsnappes" i forbindelse med indtastningen i systemet ( 10).. Vi har ved logon til whistleblowersystemet observeret, at forbindelsen er krypteret med et Secure Socket Layer (SSL) certifikat. 12

15 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal være retningslinjer for, hvilke medarbejdere der er autoriseret til at tilgå personfølsomme data, lagret i kundernes systemer ( 11 og 16).. Vi har via Walk Through og stikprøvekontrol observeret, at ingen af serviceleverandørens medarbejdere har adgang til kunders personfølsomme data. Der skal være etableret retningslinjer for brug af login-oplysninger ( 11 og 16).. Vi har observeret opsætning og begrænsninger for de forskellige medarbejdere hos serviceleverandøren. Det skal sikres, at Human Time A/S fratrædende medarbejderes systemadgange inddrages.. Der skal etableres adgangskontrol, så administratorer/sagsbehandlere kun kan logge ind ved brug af personlige login/password ( 12). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret standardopsætningen i whistleblowersystemet og observeret login og passwordopsætning. 13

16 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal etableres retningslinjer for password-politik ( 12). samt serviceleverandørens standard Softwareserviceaftale Systemadgange skal kunne begrænses, så der kun er adgang til de nødvendige funktionaliteter ( 12). samt serviceleverandørens standard Softwareserviceaftale Det skal sikres, at kundernes fratrædende medarbejderes systemadgange inddrages ( 12). samt serviceleverandørens standard Softwareserviceaftale 14

17 4.4 Uddatamateriale som indeholder personoplysninger - 13 Kontrolmål 10 Uddata. Begrænsning af adgang til uddata - Human Time A/S medarbejdere ( 13, stk.1). samt serviceleverandørens standard Softwareserviceaftale Begrænsning af adgang til uddata underleverandører ( 13, stk.1). samt kontroller for begrænsning af adgang til uddata. Begrænsning af adgang til uddata kunder ( 13, stk.2). samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret. Det skal sikres, at personoplysninger slettes i systemet, når der ikke længere er behov, for at have dem registreret ( 13, stk.4). samt serviceleverandørens standard Softwareserviceaftale 15

18 4.5 Eksterne kommunikationsforbindelser - 14 Kontrolmål 11 Eksterne kommunikationsforbindelser. Det skal sikres, at Human Time A/S opkobling til produktionsserveren sker via en krypteret linje ( 14). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at opkobling til produktionsserveren sker via en SSL krypteret forbindelse. Det skal sikres, at der ikke afsendes personfølsomme oplysninger via ( 14).. Vi har observeret, at fremsendte til de berørte administratorer ikke indeholder personfølsomme oplysninger. Det skal sikres, at der ikke transmitteres personfølsomme oplysninger ukrypteret over det åbne internet ( 14).. Vi har observeret, at al kommunikation i administrationsportalen sker via SSL krypteret forbindelse. Det skal sikres, at uvedkommende ikke kan hacke produktionsserveren ( 14). samt indgået aftale mellem Aimes Grid Services og serviceleverandøren, herunder tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. 16

19 4.6 Kontrol med afviste adgangsforsøg - 18 Kontrolmål 12 Kontrol med afviste adgangsforsøg. Det skal sikres, at ingen uvedkommende kan få adgang til personfølsomme oplysninger i whistleblowersystemet ved bruteforce-hacking ( 18). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret standardopsætningen for login-forsøg. Ingen afgivelser konstateret 17

20 4.7 Logning - 19 Kontrolmål 13 Logning. Det skal sikres, at alle væsentlige handlinger logges ( 19). samt opsætning af Auditlog. Ingen afgivelser konstateret Det skal sikres, at kun særligt autoriserede personer kan se audit-loggen ( 19). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at Audit loggen er krypteret. Ingen afgivelser konstateret Det skal sikres, at audit-loggen slettes efter 6 måneder. samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret 18

21 4.8 Almindelige bestemmelser - 3 Kontrolmål 14 Sikre at produktionsdata ikke fortabes. Der skal implementeres backup-procedurer, der tilsikrer effektiv backup af produktionsdata ( 3). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Vi har inspiceret indgåede aftale for remotebackup, konfiguration af backup og revisorerklæring om underleverandørens efterlevelse af egen itsikkerhedspolitik. Ingen afgivelser konstateret Det skal dokumenteres, hvorvidt de enkelte backups er blevet udført korrekt.. Vi har observeret rapporter for daglig sikkerhedskopiering og inspiceret dokumentation herfor. Ingen afgivelser konstateret Det skal sikres, at backup-proceduren for kundeportaler på produktionsserveren fungerer korrekt, og at backup-sæt kan retableres korrekt. samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at der har været foretaget retablering af produktionsdata med efterfølgende test af, om indlæste data var fuldt funktionsdygtige, og at der forefindes dokumentation herfor. Ingen afgivelser konstateret 19

22 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres en backupprocedure, der tilsikrer effektiv backup af kildekoden. Backupprocedure og kontroller er beskrevet under punkt 4.8. Det skal sikres, at de enkelte kildekode-backups bliver udført korrekt. Procedure for verificering af backup er beskrevet under punkt 4.8. Det skal sikres, at backup-proceduren for kildekoden fungerer korrekt, og at backup sæt kan retableres korrekt. Procedure for restoretest af backup er beskrevet under punkt 4.8. Det skal sikres, at uvedkommende ikke kan få adgang til kildekoden på udviklingsmaskinerne.. Vi har ved udtræk af brugerrettigheder fra Active Directory observeret begrænsning for adgang til kildekoden. Det skal tilsikres, at uvedkommende ikke kan få fysisk adgang til udviklingsserveren.. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Ingen afgivelser konstateret 20

23 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal være en beredskabsplan, der foreskriver, hvordan kundeportalerne hurtigt kan retableres i tilfælde af hardwarefejl/systemnedbrud. og inspiceret beredskabsplanen. Vi har tillige inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Ingen afgivelser konstateret Det skal sikres, at det registreres, hvilke systemændringer der implementeres i hver versionsopdatering. Alle systemændringer skal testes på betryggende vis, inden de lægges i produktion.. Vi har i udviklingsværktøjet observeret, at samtlige ændringer registreres heri. i forbindelse med håndtering af systemændringer, herunder bestilling af ændringer, test og godkendelse heraf, før den endelige version overføres til produktionsmiljøet. Der skal implementeres versionsstyring for de enkelte kildekodefiler. Versionsstyring af kildekodefiler er medtaget under kontrollen for registrering af, hvilke systemændringer der implementeres i hver versionsopdatering. 21

24 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres et overvågningssystem, der registrerer nedetid.. Vi har observeret overvågningssystemet og registrering af nedetid for hver enkelt kunde. Overvågning af øvrigt produktionsudstyr varetages af hostingcentret Aimes Grid Services. 22