HeroBase A/S CVR-nr
|
|
- Charlotte Bendtsen
- 5 år siden
- Visninger:
Transkript
1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med udvikling og drift af softwaren Hero Outbound pr. 1. september 2018 ISAE 3402, type I HeroBase A/S CVR-nr September 2018 REVI-IT A/S statsautoriseret revisionsaktieselskab Jens Kofods Gade København K Tlf info@revi-it.dk revi-it.dk CVR-nr
2 Indholdsfortegnelse Afsnit 1: HeroBase A/S udtalelse... 1 Afsnit 2: Afsnit 3: HeroBase A/S beskrivelse af udvikling og drift af softwaren Hero Outbound samt interne kontroller... 2 Uafhængig revisors erklæring om beskrivelsen af kontroller og deres udformning REVI-IT A/S
3 Afsnit 1: HeroBase A/S udtalelse Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt HeroBase A/S driftsydelser i forhold til ydelsen Hero Outbound, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. HeroBase A/S bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af HeroBase A/S udvikling og drift af softwaren Hero Outbound til kunder pr. 1. september Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) Redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: De typer af ydelser, der er leveret, når det er relevant De processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder Relevante kontrolmål og kontroller, udformet til at nå disse mål Kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificerede i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. (ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold. (b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformede og fungerede effektivt pr. 1. september Kriterierne for denne udtalelse var, at: (i) (ii) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificerede De identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål. REVI-IT A/S Side 1 af 15
4 Afsnit 2: HeroBase A/S beskrivelse af udvikling og drift af softwaren Hero Outbound samt interne kontroller Introduktion Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give information om vores informationssikkerhedsregelsæt, procedurer og kontroller, som er gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder. Beskrivelsen omfatter de kontrolmål og kontroller vedrørende Hero Outbound, som omfatter størstedelen af vores kunder og er baseret på vores standardleverance. Individuelle kundeforhold er ikke medtaget i denne beskrivelse. HeroBase og vores software Hero Outbound HeroBase er en dansk IT-virksomhed med base i Søborg. Vi udvikler, hoster og leverer software til kontaktcentre som en SaaS-løsning. Vores kerneprodukt er leverance af softwaren Hero Outbound, der leveres som SaaS-løsning, dvs. er hostet i egne datacentre og bygget op omkring en fleksibel og skalérbar abonnementsbaseret model. Hero Outbound, som denne erklæring går på, er i øjeblikket det største produkt i vores palette af løsninger samlet under Hero-brandet. Andre løsninger indbefatter bl.a. marketing automation platformen Hero Flows, og rådgivnings- og salgstræningsorganet Hero Academy. Hero er valgt som paraplybetegnelse, fordi vi med vores løsninger gerne vil appellere direkte til slutbrugerne af vores software; for Hero Outbounds vedkommende betyder det mestendels brugerne og medarbejderne også kaldet agenterne i kontaktcentre også kaldet callcentre. Vi vil ved at levere en hurtig, intuitiv, effektiv og personlig platform være det foretrukne valg blandt hverdagens helte, som agenterne i kontaktcentrene omtales som internt i HeroBase. Vi skaber fundamentet for det mest effektive kontaktcenter Navnet Hero Outbound er valgt til den løsning, som i øjeblikket er den bærende, fordi den først og fremmest fokuserer på opsøgende salg/rådgivningsarbejde, også kaldet outbound telemarketing. Telemarketing er, om end termen til tider behæftes med en negativ association, fortsat en uhyre effektiv kontaktkanal, fordi den giver mulighed for at dyrke den personlige kontakt mellem agent og personen i den anden ende af røret. Salgs- og kundekontakter, som starter med opsøgende salg, er dog ingenlunde afgrænset til outbound telemarketing alene. s og SMS er ligger i naturlig forlængelse af den telefoniske dialog enten i forbindelse med digital ordreaccept, udsendelse af opfølgende information, koordinationsarbejde o. lign. Hero Outbound muliggør tillige at indgående telefonopkald besvares blandet med de udgående telefonopkald typisk når der ringes tilbage fra personer, som har et ubesvaret opkald på deres telefon, eller i forbindelse med indgående salgshenvendelser affødt af kampagner o. lign. Hero Outbound kan således, selv uden produkter fra den øvrige palette af Hero-løsninger, for mange kontaktcentre udgøre den eneste nødvendige software, centret skal bruge til at udføre sine aktiviteter blandt agenterne (salg, mødebooking, fundraising, meningsmålinger o.m.a.) og blandt ledere og administratorer, som tilrettelægger og monitorerer agenternes arbejde. REVI-IT A/S Side 2 af 15
5 Disse aktiviteter indbefatter også selve handlingen at ringe ud eller besvare telefonen. Som webapplikation betjenes Hero Outbound fra en browser, og med et headset tilsluttet til computeren kan telefonopkald udføres og besvares via den indbyggede samtaleteknologi Hero Phone, som er baseret på WebRTCframeworket. Hermed er ingen eksterne telefoner eller tredjepartsløsninger nødvendige for at gennemføre kontaktaktiviteterne. Ønskes det at ringe via en eksisterende telefon som findes på arbejdsstationen f.eks. en SIP-telefon eller fastnettelefon installeret af virksomheden kan denne også bruges sammen med Hero Outbound, idet applikation kan forbinde til en ekstern telefon og holde linjen åben, hvormed der forbindes og tales via den eksterne telefon. Et centralt system blandt andre forretningssystemer På integrationssiden tilbyder Hero Outbound en række muligheder for at integrere med andre løsninger for så vidt angår data ind og ud af platformen; brugeroprettelse; dokumentation af telefonopkald o.m.a. Hero Outbound har et veludbygget API, som kunder kan benytte uden meromkostning. Dette REST-API tillader adgang til kundens Hero Outbound-data ud fra rettigheder på funktions- og projektniveau, som defineres af kunden selv, og muliggør at hente, opdatere og slette logiske entiteter. Hvis kunden i højere grad ønsker data pushet fra Hero Outbound til eksterne systemer, i stedet for at pulle data fra vores REST-API, har platformen indbyggede triggers en slags webhooks hvor regler kan opsættes til at udføre bestemte handlinger når bestemte ting er forekommende i systemet. Handlinger omfatter blandt andet kald til eksterne SOAP- eller REST-API er, hvormed man kan integrere Hero Outbound med alle andre systemer uden at skrive en eneste linje kode så længe man har et API, som kan kaldes fra Heros web-servere (et afgrænset IP-range) med enten XML eller JSON-objekter. Ovenstående er en overordnet beskrivelse af Hero Outbound og en kort beskrivelse af nogle af de værktøjer, platformen stiller til rådighed. HeroBase ønsker med kunderne på Hero Outbound en langvarig kunderelation, hvor kunden over tid sammen med sin customer experience manager får taget større og større dele af platformen i brug, og hvor Hero Outbound integreres til andre nøglesystemer i kundens forretning. Dette tror vi muliggør sig gennem en teknisk stærk og stabil platform, hvor sikkerhed og performance er i højsædet, med et engageret teknisk og kundefokuseret team omkring sig. Teknisk opbygning og placering Hero Outbound er en webapplikation baseret på.net (primært sprog er C#), med frontend baseret på bl.a. JavaScript, Angular og REACT. Databaseteknologi er MySQL, og hosting sker i de danske datacentre Global Connect (Taastrup) og InterXion (Ballerup). I skrivende stund er større dele af AWS (Amazon Web Services) løsninger ved at blive taget i brug. I første omgang med opbevaring af filer i S3 i stedet for på virtuelle servere i Danmark. Senere også med henblik på at have databaser i AWS Aurora. De eneste AWS-lokationer, vi har valgt services i og som data dermed forefindes i, er AWS Dublin-site i Irland samt AWS site i Frankfurt, og der er således intet data i Hero Outbound, som forlader EU. På telefoni-siden er ringning drevet af fysiske Linux-servere med Freeswitch som teleoperativsystem ovenpå. Vores infrastruktur og arkitektur er designet således at der findes redundant failover-udstyr til alt fra firewalls og switche til database- og teleservere. Det meste udstyr forefindes også i begge datacentre, således at en lokation kan tage over, hvis en anden lokation lider under nedsat fremkommelighed eller andre problematiske forhold, interne såvel som eksterne. REVI-IT A/S Side 3 af 15
6 Fig. 1: Hero Outbound platformen, overordnet infrastruktur pr. medio Vi tror på at appellere til hverdagens helte ved at designe komplette løsninger til deres arbejdspladser, og levere løsninger som gør kontaktcentre til konkurrencedygtige og effektive virksomheder ved at optimere arbejdstiden og rentabiliteten på centrenes opgaver, samtidig med at vi tilpasser platformen til nye eksterne krav såsom nye krav til betalingsløsninger, aftaledokumentation, GDPR o. lign. Vi tror på, at vi har Nordeuropas bedste software til branchen, og har internationale vækstmål baseret på et sundt og solidt hjemmemarked, hvor den gode daglige kontakt og langvarige kunderelation er i fokus! Organisation og ansvar HeroBase beskæftiger 30 medarbejdere i Danmark, Sverige, Ukraine, Spanien og Litauen. Godt halvdelen af medarbejderne er placeret i Danmark, og har daglig arbejdsplads på kontoret i Søborg. Ledelsen består af en øverst ansvarlig CEO, og under ham en CTO med al teknisk ansvar samt en CXO med ansvar for kundekontakt, kunderelationer og support. Hertil en stabsfunktion med CFO samt administration og HR. IT-afdelingen, som ledes af HeroBases CTO, består primært af udviklere i en devops -konstellation, hvor to mand er dedikeret til drift, optimering af servere og infrastruktur, overvågning og håndtering af operationelle issues, men hvor alle har drift som førsteprioritet i tilfælde af tekniske problemer på platformen. Det er en målsætning at egentlig udvikling, forstået som forbedring af eksisterende features og udvikling af nye, udgør 80% af afdelingens tid. Udviklerne er organiseret i frontend- og backend-ekspertiser, med en chefarkitekt som tager de overordnede beslutninger om sprog, teknologi og nye frameworks efter grundig analyse og i samarbejde med HeroBases CTO. Herudover er en netværksadministrator ansvarlig for netværk og telefoni, mens en projektleder og tester har et tæt samarbejde med HeroBases øvrige afdelinger. REVI-IT A/S Side 4 af 15
7 Ledelsen er overordnet ansvarlig for IT-sikkerhed, og for at virksomhedens overordnede IT-sikkerhedspolitik overholdes. Ved siden af den daglige funktionsopdelte organisation er der organiseret en sikkerhedsorganisation, med et informationssikkerhedsudvalg bestående af nøglemedarbejdere fra forskellige dele af HeroBase inkl. ledelsen, samt en informationssikkerhedskoordinator som har det daglige, operationelle ansvar for en række opgaver defineret i HeroBases informationssikkerhedsregelsæt. Informationssikkerhedskoordinatoren er desuden ansvarlig for at alle medarbejdere kender til informationssikkerhedshåndbogen, herunder regler og procedurer, hjælper dem med at tilgå og forstå den samt udleve og overholde reglerne. Slutteligt er ansvar for en række forhold omhandlende de forretningssystemer, som understøtter det daglige arbejde med at levere produktet og ydelsen Hero Outbound, uddelt til systemejerne. Risikostyring i HeroBase A/S Risikostyring i HeroBase A/S udføres inden for alle de områder, som har med leverancen af produktet og ydelsen Hero Outbound at gøre, og som dermed kan have en økonomisk konsekvens for vores kunder. Risikoanalyse, -vurdering og -styring er baseret på ISO27005, og tager udgangspunkt i konsekvensanalyser og sårbarhedsanalyser på serviceniveau. Service forstås som forretningssystemer som understøtter leverancen af Hero Outbound, samt selve Hero Outbound som kundesystem. Forretningen i HeroBase svarer på konsekvensanalysens spørgsmål, mens IT-afdelingen i HeroBase gennemfører sårbarhedsanalyser. Sårbarhedsanalyser afrapporteres på serviceniveau, men tager udgangspunkt i aktiver, som er de fysiske og virtuelle delementer, som tilsammen udgør platformene eller forretningssystemerne. Eksempelvis er til servicen Hero Outbound en række afhængende aktiver som firewalls; switche; teleroutere; webapplikationsservere; databaseservere; telefoniservere m.v. Når afrapportering sker på serviceniveau, er det også klart at det er laveste fællesnævner som definerer f.eks. maksimalt mulige nedetid. Hvis en databaseserver altid vil kunne overtages af en failover-makker efter boot og DNS-skifte på 5 minutter, men det i yderste teori kan tage 15 minutter før en fysisk firewall vil være udskiftet med en bootet og konfigurationsindlæst redundant makker, er det klart at det er de 15 minutter, som vil definere den mulige nedetid. Risikoanalyser gennemføres som konsekvens- og sårbarhedsanalyser mindst årligt, hvorefter det samlede sikkerhedsbillede bringes op for informationssikkerhedsudvalget og slutteligt HeroBases ledelse, til definition af nærmere handlinger. Generelt om vores kontrolmål, herunder regler og procedurer, og implementerede kontroller Det væsentligste i leverancen af produktet og ydelsen Hero Outbound er en stabil og sikker platform. Det er et erklæret og ledelsesforankret løfte at vi hellere vil bruge dobbelt så lang tid på at løse en udviklingsopgave eller anden teknisk opgave, end den kunne være løst på, for at sikre sikkerhed og stabilitet, når vi frigiver opdateringer til vores kunder. For at leverancekæden kan fungere, og HeroBase samtidig kan fungere som konkurrencedygtig forretning herunder at opnå skalerbarhed over tid, er arbejdsgange og processer forbundet med levering af produktet og ydelsen Hero Outbound bygget op omkring vores informationssikkerhedsregelsæt, på toppen af hvilket der er defineret procedurer og kontroller med tilhørende beredskabsplaner m.m. Aller øverst står vores top level information security policy, som er underskrevet af HeroBases CEO og sætter rammerne for arbejdet med informationssikkerhed. Denne gælder alle medarbejdere og nærtstående samarbejdspartnere (f.eks. konsulenter). REVI-IT A/S Side 5 af 15
8 Referencerammen for informationssikkerhedsregelsættet er ISO27001, og regelsættet er derfor overordnet inddelt i følgende kontrolområder: Styring af informationssikkerhed og sikkerhedspolitik Organisering af informationssikkerhed Personalesikkerhed Styring af aktiver Adgangsstyring Kryptografi Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Anskaffelse, udvikling og vedligeholdelse af systemer Leverandørforhold Styring af informationssikkerhedsbrud og -hændelser Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Overensstemmelse Vi har desuden tilvalgt en række procedurer og politikker inden for rammerne af datasikkerhed og GDPR, og tager vores ansvar som databehandler for nogle af landets største virksomheder ekstremt seriøst. Op til effektueringen af GDPR har vi udvidet vores platform med en række features, som gør det nemmere for vores kunder som dataansvarlige at leve op til de krav, de bliver stillet af bl.a. GDPR. Vi vil gerne anses som datamedansvarlige i højere grad end som databehandler, og udtaler os gerne om dette i forskellige sammenhænge. Som databehandler har vi desuden sikret at vi har en databehandleraftale med alle vores kunder på Hero Outbound, som i denne konstellation er dataansvarlige. Styring af informationssikkerhed og sikkerhedspolitik HeroBases overordnede informationssikkerhedspolitik er udarbejdet med det formål at sikre en løbende forankring af arbejdsmetodikker, principper og rutiner, som lever op til det fastlagte sikkerhedsniveau. Ledelsen godkender politikken som underskrives af vores CEO, og ledelsen er ansvarlig for at politikken overholdes. Informationssikkerhedspolitikken skal overholdes i alle henseender og har til formål at sikre en sikker og stabil leverance af produktet og ydelsen Hero Outbound, herunder at relevant lovgivning overholdes, at alle væsentlige risici for driftsafbrydelser og datatyveri og -læk reduceres. Politikken revideres og godkendes hvert år. Informationssikkerhedskoordinatoren er ledelsens og informationssikkerhedsudvalgets forlængede arm i den daglige forankring af politikken, og denne sikrer den løbende kommunikation til alle relevante parter. Alle medarbejdere underskriver desuden årligt at de har læst og efterlever politikken og den tilhørende informationssikkerhedshåndbog. REVI-IT A/S Side 6 af 15
9 Organisering af informationssikkerhed Funktionsadskillelse Vi har en klar og veldefineret organisation, med funktionsadskillelse som gør at afhængighed af nøglepersoner er reduceret mest muligt. Der er desuden indført funktionsadskillelse på områder, hvor der er risiko for at der kan forekomme misbrug af virksomhedens data og informationer. Kontakt med myndigheder Vi har defineret ansvar for kontakt til offentlige myndigheder vedrørende emner inden for informationssikkerhedsområdet. Projektstyring Vi har defineret ansvar for, at HeroBases projektledelsesmodel på tilstrækkelig vis håndterer informationssikkerhed i alle faser, således at projekter ikke påvirker HeroBases risikobillede i negativ grad. Der tages stilling til informationssikkerhed i alle projekter, uanset deres størrelse. Udstyr og fjernarbejdspladser Vi har en procedure for anvendelse af mobilt udstyr og hjemmearbejdspladser/fjernarbejdspladser. Der er defineret minimumskrav for alle enheders beskyttelse, samt adgang til forretningssystemer og data. Alle enheder skal være beskyttet af antivirus og firewall. En række systemadgange til HeroBases forretningssystemer kræver VPN-adgang. Disse udstedes og installeres af HeroBases IT-afdeling (godkendelse af HeroBases CTO, udstedelse og opsætning af en medarbejder i IT-afdelingen). VPN kan installeres på PC'er udleveret og ejet af HeroBase, men aldrig på privat ejede PC'er. Personalesikkerhed Vi har defineret en række procedurer som sikrer sikkerhed før, under og evt. efter ansættelsen. Procedurer som omhandler processer før en evt. ansættelse sikrer, at potentielle medarbejdere screenes og at relevante forhold kontrolleres inden for rammerne af gældende lovgivning. Alle medarbejdere skal leve op til en række vilkår om fortrolighed om egne, HeroBases og kunders forhold. Dette er beskrevet i ansættelseskontrakten for hver medarbejder. Under ansættelsen sikres det sammen med medarbejderen, nærmeste leder og informationssikkerhedskoordinatoren, at medarbejderen holdes ajour indenfor og efterleverer aspekter vedrørende informationssikkerhed. Vi har procedurer som sikrer at medarbejdere ved ansættelsesophør ikke kan forvolde HeroBase eller systemet Hero Outbound skade, ved øjeblikkeligt at fjerne rettigheder til forretningssystemer og kontrollere dette. Der er desuden defineret en række sanktioner såfremt informationssikkerheden overtrædes eller tilsidesættes. Styring af aktiver Alle aktiver er defineret med ejerskab, kritikalitet og tekniske afhængigheder som services, der afhænger af enkelte aktiver. Servere, systemer, netværk mv. er dokumenteret og til rådighed for relevant teknisk personale. Ved introduktion af nyt udstyr og nye systemer, eller ved ændringer i arkitekturen og infrastrukturen, opdateres relevant dokumentation således at denne altid er ajourført. REVI-IT A/S Side 7 af 15
10 Der er defineret acceptabel brug af systemer for medarbejderne, hvilket bl.a. indebærer retningslinjer for at tilgå, bruge og eksportere data. Data anskues kategoriseret efter GDPR s kategorier hertil, og særlige procedurer gælder for visse datatyper. Vi har procedurer som omhandler styring af bærbare medier, bortskaffelse af medier samt transport af bærbare, databærende medier, samt for klassifikation og mærkning af data. Dette betyder blandt andet (men er ikke afgrænset til) at data udelukkende må forefindes i systemer og på fysiske og virtuelle servere mærket og angivet til formålet. Kundedata må som udgangspunkt ikke forefindes andre steder, herunder lokalt, på USB-nøgler, på andre diske (flash drives) o. lign. En undtagelse herfor er hvis en kunde skriftligt har anmodet om at få udleveret data, eller hvis det er nødvendigt at flytte data mellem to servere, og transporten ikke kan ske via netværk. Lagres data midlertidigt på sådanne USB-nøgler, drev o. lign., skal data i videst mulig udstrækning anonymiseres eller pseudonymiseres, og den fysiske enhed (herunder mapper på den) skal beskyttes af password. Disse medier må som udgangspunkt aldrig postforsendes til kunder, men skal transporteres af HeroBases medarbejdere, eller afhentes af kunden. Når fysiske servere tages ud af drift, og data på harddiske ikke længere har behov for at forefindes på pgl. diske, skal diskene enten a) formateres således at genskabelse af data ikke længere er mulig, b) fysisk ødelægges og diskene bortskaffes af medarbejdere i HeroBases IT-afdeling, eller c) begge dele. Adgangsstyring Vi har en række procedurer som sikrer at adgangskontrol og rettighedstildeling sker i overensstemmelse med det fastlagte sikkerhedsniveau. Kun medarbejdere, som har et arbejdsrelateret behov for at have adgang til systemer og data, får adgang til pågældende forretningssystemer med tilhørende data. Afdelingslederne er ansvarlige for at adgangsrettigheder tildeles ud fra et arbejdsbetinget behov samt under hensyntagen til lovgivningsmæssige og kontraktlige forpligtigelser. Vi har en række kontroller som kontrollerer at dette sker løbende, og at alle adgange modsvarer de arbejdsrelaterede behov i de enkelte funktioner og hos de enkelte medarbejdere. Vi har defineret en række krav til alle enheders beskyttelse (PC er, mobiltelefoner, tablets) samt passwords i alle forretningssystemer. Medarbejdere uddannes og kontrolleres løbende inden for disse områder. Vi har en række procedurer som sikrer at kun en gruppe privilegeret personale har adgang til systemadministratorværktøjer, centrale servere (f.eks. domain controller), kildekode mv. Produktionsservere og øvrige servere med produktionsdata og kundedata forefindes kun i HeroBases datacentre, og ikke på nogle kontorlokationer. Kun særligt betroede medarbejdere med et arbejdsrelateret behov har adgang til datacentrene. Disse adgange revalueres og efterses løbende. Kryptografi Vi har procedurer for anvendelse af kryptografi, herunder generering og håndtering af krypteringsnøgler og certifikater. Dette betyder bl.a. at Hero Outbound skal have et gyldigt SSL-certifikat, HeroBase selv kontrollerer, således at dataudveksling kun sker sikkert og krypteret (gennem HTTPS). SSL-certifikater styres udelukkende af IT- REVI-IT A/S Side 8 af 15
11 afdelingen, hvor applikationsarkitekten og netværksadministratoren har ansvaret for SSL-certifikater. Ingen certifikater må købes eller udstedes uden om disse. Dette krav omfatter både adgang til Hero Outbound gennem brugergrænsefladen og gennem API. Fysisk sikring og miljøsikring Servere forefindes kun i datacentre udbudt af leverandører som har fået afgivet, og årligt kan fremvise, erklæringer på niveau med ISAE3402. HeroBases kontorlokation er underlagt en række procedurer som sikrer kontoret samt materiale og enheder opbevaret på kontoret, upåagtet at servere kun forefindes i datacentre. Dette betyder bl.a. procedurer rettet mod medarbejderne, der beskriver sikringstiltag for kontorer, fællesområder og lign. områder. Driftssikkerhed Driftsprocedurer og overvågning Vi har driftsprocedurer for IT-afdelingens væsentligste arbejdsopgaver, og disse procedurer er omfattet af versionering og ændringsstyring. Vi har defineret ansvar for at sikre, at der løbende bliver foretaget en vurdering af kapacitetsbehovet for kritiske it-systemer. Pga. vores størrelse kan vi ikke have fuldstændigt overlap på samtlige funktioner, men jf. tidligere beskrivelse tilstræber vi qua funktionsadskillelse og grundig og løbende dokumentation og vidensdeling at undgå personafhængighed. IT-afdelingen, som ledes af HeroBases CTO, består primært af udviklere i en devops - konstellation, hvor to mand er dedikeret til drift, optimering af servere og infrastruktur, overvågning og håndtering af operationelle issues, men hvor alle har drift som førsteprioritet i tilfælde af tekniske problemer på platformen eller informationssikkerhedsissues. Alle instanser af Hero Outbound overvåges via monitoreringsværktøjer. Hermed overvåges blandt meget andet serveres fremkommelighed, CPU/memory/disk I&O forbrug, tilsvarende for databaseservere, lag (i millisekunder) mellem master- og slavedatabaser, tunge SQL queries foretaget af applikation eller direkte af en klient, o.m.a. Der er for alle disse overvågningsområder defineret kritiske niveauer og værdier. Alarmer skal trigges når disse værdier nås, og sendes til nøglemedarbejdere på enten (for mindre kritiske opmærksomheder) og SMS (kritiske opmærksomheder). Historiske logs og hændelser gennemgås løbende og struktureret med henblik på forbedringer og optimeringer. Vi har procedurer for backups foruden løbende datareplikering, og backups brugbarhed til restore efterprøves løbende ved kontroller. Udvikling af Hero Outbound, styring og kvalitetssikring Udvikling af Hero Outbound, herunder release af ændringer, foregår efter HeroBases formaliserede og forankrede udviklingsmodel. REVI-IT A/S Side 9 af 15
12 Udviklingsprocessen er HeroBases egen metode udledt af en agil tilgang til udvikling, SCRUM og RUP. Udvikling foregår i sprints men ikke af en eviggyldig specificeret varighed, idet sprints defineres ud fra prioriterede opgaver i backlog. Med udgangspunkt i den klassiske projekttrekant bestående af tid, scope og ressourcer, er tid er den faktor, som definerer målsætningen for masterreleases, med en release mindst hver 4. uge, mens det tilstræbes at lave en masterrelease hver 3. uge. Kvalitet og færdigmeldte tests er dog altid at tilgodese over ønsket om at lave hyppigere releases, idet en nul-bug tolerance når ny kode deployes til produktion er altoverskyggende i forhold til ønske om at få nye funktioner/features hurtigt frigivet til kunderne. Ved siden af masterreleases foretages hot fix releases med rettelse af decidere fejl og store uhensigtsmæssigheder. Væsentlige fejl og fundne sikkerhedssvagheder med prioritet 1 eller 2 (jf. HeroBases driftsprocedure) skal altid deployes hurtigst muligt og senest inden for 3 arbejdsdage. Udvikling finder sted i udviklingsmiljøer, hvor kode branches ud fra hovedbranch/"default". Disse udviklingsbranches er forbundet til staging databasen, hvor testdata forefindes. Testdata og produktionsdata er således komplet adskilt, og kunders data må ikke kopieres fra master til staging uden godkendelse fra Hero- Bases CTO. Hvis denne tilladelse gives kan og vil det kun omfatte konfigurationsdata med henblik på at teste og udvikle op imod retvisende kompleks data for at sikre kvalitet af udvikling, men det må og kan aldrig omfatte data på kundens emner, medarbejdere eller andet som er personhenførbart og kategoriserbart i henhold til GDPR's artikler 6, 9 og 10. Der funktionstestes i udviklingsbranches (også benævnt feature branches), hvorefter kode merges til præproduktion, videre til CX branch, videre til pre-release branch, videre til release branch hvorfra kode endegyldigt deployes til produktion. Integrationstest med dertilhørende regressionstests og happy flow testing finder sted fra CX branch, prerelease branch og/eller release branch, hvor der testes på master databasen men på egne testdata. Kunders personhenførbare data indgår således ikke i tests og tilgås eller ses ikke af HeroBases medarbejdere i nogle af disse testfaser. Data i master databasen på egne konti er produceret så det strukturelt ligner produktionsdata, kunder arbejder med, hvormed datasikkerhed, fortrolighedsbehandling og samtidig kvalitetssikring sikres og balanceres. Nedenfor ses i detaljer og kronologisk hvorledes alle cases behandles fra oprettelse, prioritering og godkendelse op gennem HeroBases udviklingsflow. Fig. 2: Proces- og udviklingsmodel for Hero Outbound REVI-IT A/S Side 10 af 15
13 HeroBases releasemanager er den dagligt ansvarlige for processen, og processen evalueres fast hver anden uge på et møde mellem release manager og HeroBases CTO. Logning Vi har procedurer som omhandler omfanget, behandling, beskyttelse og kontrol af logning på forskellige systemtyper. Alle logins og væsentlige brugerhandlinger i Hero Outbound overvåges og logges. Logningen af væsentlige brugerhandlinger omhandler bl.a. dataeksport, således at kundeadministratorer har overblik over hvilke brugere, der tilgår og eksporterer data. Alle ændringer på data registreres. Alle væsentlige ændringer i konfigurationer registreres. Disse registreringer er også tilgængelige for kundeadministratorer gennem synlige logs i brugergrænsefladen. Logningsniveauet omfatter også medarbejdere hos HeroBase, hvormed det kontrolleres at disse ikke tilgår kundedata uden der er et arbejdsrelateret behov for det. Dette kontrolleres og efterprøves detaljeret på stikprøvebasis. Kommunikationssikkerhed Vi har procedurer for netværksstyring og overvågning, herunder vedligeholdelse af netværk og netværksudstyr. Trafik på alle forbindelser og interfaces overvåges i forhold til datavolumen over perioder. Der er opsat alarmer som udløses og sendes til teknisk personale i tilfælde af anormaliteter (trafik spikes, væsentlige delays mellem master databaser og slave databaser, o.m.a.). På teleforbindelser bliver bl.a. antal provider kanaler, antal serverkanaler (Freeswitch kanaler) og antal igangværende opkald overvåget, og max-værdier for perioder logges. Dette sikrer løbende korrekt kapacitetsstyring samt gardering mod misbrug. Vi har desuden samarbejde med fraud-detekteringsafdelinger hos alle teleoperatører, vi benytter som underleverandører, som et ekstra lag af sikkerhed i forhold til misbrug. Informationsudveksling sker kun via sikre forbindelser. Går dette via det offentlige internet bliver data krypteret (som udgangspunkt via HTTPS). Systemer som har mulighed for at kommunikere på interne forbindelser (på intern IP-adresse bag firewall - og mellem datacentre ad fiberforbindelse hvorigennem servere på forskellige lokationer også kan nå hinanden på intern IP-adresse) benytter denne metode til dataudveksling via LAN. Anskaffelse, udvikling og vedligeholdelse af systemer Vi har procedurer som sikrer en sikker styring af ændringer i forretningsunderstøttende systemer. Procedurerne foreskriver bl.a. at ændringslogs indhentes og evalueres, og at ændringer testes inden de frigives. Idet alle væsentlige interne arbejdsprocesser er dokumenteret, bliver procesdokumentationen opdateret hvor nødvendigt, i forbindelse med ændringer. Bemærk at dette afsnit og de procedurer, der henvises til, omhandler vedligeholdelse af og ændringer i forretningsunderstøttende systemer, ikke selve løsningen Hero Outbound. Procedurer og principper for ændringer i Hero Outbound er beskrevet i særskilt afsnit tidligere. REVI-IT A/S Side 11 af 15
14 Leverandørforhold Vi har i alle samarbejdsaftaler med leverandører defineret sikkerhedskrav og minimumskrav til ydelserne, vi modtager fra leverandøren. Vi har sikret at de forhold, vi baserer vores aftale om brug af produktet og ydelsen Hero Outbound på over for vores kunder, er overensstemmende med de krav vi stiller til vores leverandører. Vi gennemgår løbende og mindst årligt samarbejdsaftalerne, ligesom vi indhenter revisionserklæringer for de indgåede aftaler. Vi har defineret ansvar for kvartalsvist at gennemgå rapporter fra de eksterne serviceleverandører på operationelt udstyr, omhandlende hændelser, problemer, fejl, nedbrud og logning. Styring af informationssikkerhedsbrud og -hændelser Informationssikkerhedsudvalget har defineret procedurer for informationssikkerhedsbrud og -hændelser, som er forankret i HeroBase og som ledelsen har ansvaret for overholdelsen af. Vi definerer informationssikkerhedsbrud som: Detektering af succesfuld udefrakommende og uønsket indtrængen i systemer Fund af kundedata (hostet i masterdatabase for Hero Outbound) online, hvor der er åbenlys eller kraftig mistænke om at offentliggørelse af data ikke er sket med kundens godkendelse og forsæt Fund af data på nuværende eller tidligere medarbejdere i HeroBase online, hvor offentliggørelse af data er sket uden HeroBases medvirkende eller forsæt Fund af andre fortrolige forretningsdata online (efter samme forskrifter) defineret som kundekontrakter, omsætning eller informationer som er klassificeret som hemmelige efter nærmere definition af informationssikkerhedsudvalget Vi definerer informationssikkerhedshændelser som: Hændelser som, hvis de ikke var blevet opdaget, kunne have ført til sikkerhedsbrud Situationer hvor utilsigtet data eller information ved et uheld (ved menneskelig fejl) er blevet sendt til andre modtagere end de tilsigtede, og det vurderes at dette kan medføre skade eller alvorlige konsekvenser for HeroBase Der er defineret procedurer for begge, som beskriver for medarbejdere og ledere, hvordan de skal forholde sig ved brud og hændelser, inkl. (men ikke afgrænset til) indsamling af bevismateriale og kontakt til myndigheder, hvis nødvendigt. Alle medarbejdere er bekendte med instrukserne og trænet heri. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Vi har defineret ansvar for udarbejdelse af nødplaner, beredskabsplaner og reetableringsplaner. Vi har etableret tilstrækkelig redundans for at imødegå kravene til tilgængelighed og de garantier for oppetid, vi har kontrakt med vores kunder på. Alle tekniske medarbejdere er trænet i planerne. REVI-IT A/S Side 12 af 15
15 Planer og procedurer evalueres løbende og efter hvert operationelt issue, hvor menneskelig handling har været nødvendigt for at reetablere drift på dele af platformen. Overensstemmelse Vi kontrollerer løbende at regler og procedurer bliver efterlevet, fulgt og dokumenteret. Vi sikrer at vi handler inden for gældende lovgivning og i øvrigt efterlever krav som stilles til dokumentation af national lovgivning. Vi sikrer at persondata beskyttes og behandles i overensstemmelse med Persondataloven og GDPR. ISO27001 har i årevis været brugt som referenceramme for informationssikkerhed i HeroBase og omkring udvikling og drift af Hero Outbound. Dette er vores første ISAE3402-erklæring på leverance af produktet og ydelsen Hero Outbound, hvorfor der er tale om en type I-erklæring. Det er forankret i ledelsen at efterlevelsen af regler og procedurer i vores informationssikkerhedsregelsæt, herunder kontroller som knytter sig til regler og procedurer, skal formaliseres, dokumenteres og underlægges årlig revision af en ekstern IT-revisor, hvorfor vi også for fremtiden vil få udarbejdet ISAE3402 (type II) erklæringer. Komplementerende kontroller HeroBase er over for vores kunder ansvarlige for at levere de ydelser og den drift, som er beskrevet i kontrakten omhandlende Hero Outbound mellem kunden og HeroBase. Forhold, som ikke er omfattet af kontrakten, er kundens eget ansvar. Oprettelse af brugere, beskyttelse af brugerinformationer og sikre login-procedurer er kundens ansvar. Kunden kan ved skriftlig henvendelse til HeroBase anmode om at få etableret ip-lås på kundens Hero Outbound-konto, hvormed login kun vil være muligt fra eksplicit definerede whitelistede ip-adresser. HeroBase anbefaler vores kunder at gøre dette i den udstrækning, det er muligt for kunden, for at beskytte kundens data og aktiviteter i Hero Outbound. For så vidt angår data uploadet til Hero Outbound af kunden, er det en væsentlig ansvarsdeling at kunden er dataansvarlig og HeroBase er databehandler. HeroBase handler således alene ud fra instruks fra kunden. Kunden giver i kontrakten eller i databehandleraftalen HeroBase tilkendegivelse af, hvilke typer/kategorier af data, kunden har intentioner om at uploade til og behandle i Hero Outbound. Der skal forefindes en databehandleraftale mellem HeroBase og kunden. For så vidt angår GDPR stiller HeroBase en række funktioner til rådighed på platformen Hero Outbound, som gør det muligt for kunden at leve op til GDPR s krav til dataansvarlige. Disse funktioner indbefatter (men er ikke afgrænset til) mulighed for at fremsøge data samt log over alle interaktioner mellem agent og emner, mulighed for at berigtige data, mulighed for at slette data o.m.a. Det er kundens ansvar at have defineret og forankret en procedure hos kunden, som sikrer efterlevelse af GDPR ved bl.a. at leve op til kravene om svartider ved henvendelser fra privatpersoner/datasubjekter. Hero- Base stiller funktioner til rådighed gennem værktøjet Hero Outbound, men kan ikke holdes ansvarlig for kundens definition, forankring og efterlevelse af procedurer som skal sikre kundens overholdelse. REVI-IT A/S Side 13 af 15
16 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller og deres udformning Til ledelsen hos HeroBase A/S, HeroBase A/S kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om HeroBase A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af HeroBase A/S ledelse, dækker virksomhedens behandling af kunders transaktioner i virksomhedens softwareløsning Hero Outbound pr. 1. september 2018 samt udformningen af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Vi har ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Vores konklusion udtrykkes med høj grad af sikkerhed. HeroBase A/S ansvar HeroBase A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udtalelse (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelse er præsenteret. HeroBase A/S er herudover ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål, og for udformningen, implementeringen og effektiviteten af kontrollerne for at nå de anførte kontrolmål. REVI-IT A/S uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Firmaet anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om HeroBase A/S beskrivelse (afsnit 2) og om udformningen af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformede. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformede. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden REVI-IT A/S Side 14 af 15
17 af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Som nævnt ovenfor har vi ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør HeroBase A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i HeroBase A/S beskrivelse i afsnit 2, og det er på den baggrund vores vurdering, (a) (b) at beskrivelsen, således som det var udformet og implementeret per 1. september 2018, i alle væsentlige henseender er retvisende at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformede per 1. september Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt HeroBase A/S udvikling og drift af softwaren Hero Outbound, og deres revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 1. september 2018 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, CIPP/E, CRISC, adm. direktør REVI-IT A/S Side 15 af 15
Timengo DPG A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG
Læs mereHeroBase A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 17. december 2018 ISAE 3000 CVR-nr.: 31 07 31 03 December 2018 REVI-IT A/S
Læs mereIMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Læs mereDFF EDB a.m.b.a. CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereDER ER GÅET SPORT I INFORMATIONSSIKKERHED
DER ER GÅET SPORT I INFORMATIONSSIKKERHED SISCON KONFERENCE SEPTEMBER 2018 KENNY ANDREASEN CTO HEROBASE A/S V. 1.2 Fortællingen Kooooooort om HeroBase A/S Hvad betyder sport? Hvorfor er sport godt (og
Læs mereNår compliance bliver kultur
Når compliance bliver kultur Multidimensional compliance i teori og praksis Siscon & HeroBase 1. maj 2019 info@siscon.dk Kort om Siscon & HeroBase Multidimensional compliance Krav, standarder og lovgivning
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs mereFonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereNår Compliance Bliver Kultur
Når Compliance Bliver Kultur ISO27001, ISAE 3402/3000 & EU GDPR i teori og praksis Siscon & HeroBase 17. Januar 2019 AGENDA KORT OM SISCON & HEROBASE KRAV, STANDARDER OG LOVGIVNING ET SAMSPIL HEROBASE
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereComplea A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med hosting-ydelsen pr. 24. maj 2018 ISAE 3402, type I Complea A/S CVR-nr. 33 15 37 16 Maj 2018
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereDFF-EDB a.m.b.a CVR nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereMedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereDatabehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereZentura IT A/S CVR-nr. 32 89 08 06
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereSotea ApS CVR-nr. 10 08 52 25
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereMedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereProduktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7
Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereSotea ApS. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereVejledning til brug af Bank RA Revisionsinstruks
Vejledning til brug af Bank RA Revisionsinstruks 1-7 Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs merePolitik for informationssikkerhed i Plandent IT
9. maj 2018 Version 0.8. Politik for informationssikkerhed i Plandent IT Indhold Formål med politik for informationssikkerhed... 3 Roller og ansvar... 3 Politik for manuel håndtering af følsomme kundedata...
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereDriftsudkast. OS2faktor
Driftsudkast OS2faktor 1 Terminologi I dette aftaledokument har nedenstående ord følgende betydning. Leverandøren Kunden Løsningen betegner Digital Identity betegner OS2 fællesskabet omkring OS2faktor
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.
Læs mereComplea A/S CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelser i perioden 25-05-2018 til 30-04-2019 ISAE 3402-II CVR-nr.:
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereDigitaliseringsstyrelsens konference 1. marts 2018
www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning. Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2 3
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereDANMARKS NATIONALBANK REVISION AF CYBERARK. Sikkerhed og Revision 2019
DANMARKS NATIONALBANK REVISION AF CYBERARK Sikkerhed og Revision 2019 Formål med denne session Få et kort overblik over CA Få inspiration til revision af CA Få inspiration til kontrolmål i CA i forhold
Læs mereStruktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?
Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået? Introduktion Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereBOARD OFFICE white paper
white paper Bestyrelsesportal med sikker administration af alt arbejdsmateriale. Indhold 1. Introduktion... s.3 2. Hosting... s.4 3. Kryptering... s.4 4. Certifikater... s.5 5. Backup... s.5 6. Udvikling...
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereIT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S
IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S 1. INDLEDNING Sikkerhedspolitikken skal til enhver tid understøtte virksomhedens værdigrundlag og vision samt demonstrere, at virksomheden har en seriøs holdning
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereJ U H L - S Ø R E N S E N
Persondatapolitik Juhl-Sørensen A/S Et af Juhl-Sørensen A/S overordnede mål er, at opretholde det højeste niveau af sikkerhed for kunder, medarbejdere og samarbejdspartnere. Dette gør sig også gældende,
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereHvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål
Hvad er persondata? Persondata kan være mange ting. Det kan være navn, adresse og telefonnummer. Det kan også være et billede eller en IP-adresse. Persondata er alle former for information, som kan bruges
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereKontraktudkastets afsnit udgår: Kontrakten kan ikke opsiges inden for de første 12 måneder fra Kontraktens indgåelse.
RETTELSESBLAD, 23. J UNI 2017 1. Ændringer af kontraktudkastet Kontraktudkastets afsnit 30.3.1 udgår: Kontrakten kan ikke opsiges inden for de første 12 måneder fra Kontraktens indgåelse. Nyt afsnit 30.3.1
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereGenerel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS
Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS I forbindelse med de nationale databeskyttelsesregler for personoplysninger samt Europa- Parlamentets og Europarådets
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs merePunkter som ikke synes relevante for det givne projekt besvares med: ikke relevant
Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er
Læs mereStaten og Kommunernes Indkøbsservice
Staten og Kommunernes Indkøbsservice ISAE 3000-erklæring fra uafhængig revisor vedrørende procedurer og kontroller etableret til beskyttelse af pr. 31. december 2018 Indhold 1 Serviceleverandørens udtalelse
Læs mere