SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Relaterede dokumenter
Præsentation af Curanets sikringsmiljø

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

PageDesign ApS Databehandleraftale Version:

Sikkerhedspolitik Version d. 3. oktober 2013

Sikkerhedspolitik Version d. 6. maj 2014

NOVAX One. Overlad ansvaret til os

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Tilsynserklæring vedrørende vejman.dk/tilladelser og Vinterman til erstatning for fysisk eller andet. 1. maj 2019

It-sikkerhedspolitik for Farsø Varmeværk

Sikkerhedspolitik Version: 2.4 Dokument startet:

Konkrete anvisninger på en sikker og ansvarlig cloudinfrastruktur. v/jørgen Smed og Erik Borch Olsen, Komplex it

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

DATABEHANDLERAFTALE. indgået mellem. Pahm ApS CVR-nr.: Åstvej 10B 7190 Billund (den Dataansvarlige )

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

1 Informationssikkerhedspolitik

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Informationssikkerhedspolitik for Odder Gymnasium

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

3 Omfattede typer af personoplysninger og kategorier af registrerede

Front-data Danmark A/S

Tabulex ApS. Februar erklæringsår. R, s

Procedure for tilsyn af databehandleraftale

Service Level Agreement

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Leverandørstyring: Stil krav du kan måle på

Bilag 1 Databehandlerinstruks

Tabulex ApS. Februar erklæringsår. R, s

A/S SCANNET Service Level Agreement

Produktspecifikationer BaaS Version 2.0. Backup as a Service. Side 1 af 8

Adgangskontrolanlæg (ADK) Kravspecifikation. Forsikring & Pension September Certificering af ADK-virksomheder

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Kl Indledning v. Lone Strøm, Rigsrevisor

Service Level Agreement Version 2.0 d. 1. april 2014

DATABEHANDLERAFTALE Bilag til Aftale om Danløn

Kontraktbilag 8. It-sikkerhed og compliance

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

frcewtfrhousf(wpers ml

Bilag 4- Ydelsesbeskrivelse

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

persondataforordningen

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

Bestilling af online backup

DATABEHANDLERAFTALE MELLEM «NAVN» DANSKLÆRERFORENINGENS FORLAG A/S CVR-NR

INTRODUKTION INDHOLDSFORTEGNELSE

Cloud Computing De juridiske aspekter

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Service Level Agreement (SLA)

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Bestilling af remote backup

FYSISK SIKKERHED. Bilag 10-1

TV-overvågning (TVO) Kravspecifikation. Forsikring & Pension. september Certificering af TVO-virksomheder

origo Databehandleraftale

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

3 Omfattede typer af personoplysninger og kategorier af registrerede

Produktspecifikationer BaaS Version 1.8. Backup as a Service. Side 1 af 7

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Driftsudkast. OS2faktor

Privatlivspolitik og sikkerhed i Green Volcano

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Rammeaftalebilag 5 - Databehandleraftale

MedComs informationssikkerhedspolitik. Version 2.2

Beredskabsplan for it-systemer

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Bilag X Databehandleraftale

CYBERFORSIKRING OFFENTLIG KONFERENCE

Comendo Remote Backup. Service Level Agreement

Sotea A/S 19. april 2016 version 1.0 1

Databehandleraftale 2013

Famly Sikkerhedsbilag

BOARD OFFICE white paper

Service Level Agreement

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

EG Cloud & Hosting

Politik for informationssikkerhed i Plandent IT

DOES NOT COMPUTE IT-SIKKERHED ER VENDT PÅ HOVEDET. BESKYT DINE DATA MED VEEAM CLOUD CONNECT

Bilag 7. Drift. Til Kontrakt. Den Nationale Henvisningsformidling

SLA Service Level Agreement

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

It-beredskabsstrategi for Horsens Kommune

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

Indbrudsalarmanlæg (AIA) Kravspecifikation. Forsikring & Pension. maj Certificering af AIA-virksomheder

NOVAX REMOTE BACKUP AFTALEVILKÅR OG LEVERINGSBETINGELSER. Selskaberne NOVAX A/S og NOVAX Vet ApS fremstår samlet som NOVAX A/S i nedenstående.

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Transkript:

SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1

Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering... 3 Underleverandører... 3 Beredskab... 3 Kundens ansvar... 4 1

Fysisk sikkerhed Surftowns data og infrastruktur er placeret i flere datacentre beliggende i Danmark. Du kan derfor være sikker på, at dine data bliver inden for Danmarks grænser. Vores datacenterleverandør er ansvarlig for de fysiske rammer som f.eks. strøm, køl, brandslukning og adgangskontrol, og vi fører skarp kontrol med, at vores underleverandører til enhver tid efterlever de gældende sikkerhedsregler på området. Fysisk adgang til serverne er kun tildelt medarbejdere med arbejdsbetinget behov. Der anvendes elektronisk adgangskort ved indgange til datacentrene, og disse adgange logges. Der er ligeledes kameraovervågning af alle indgange. Logiske adgange Vi tildeler rettigheder til medarbejderne ud fra arbejdsbetinget behov, og kun særligt udvalgte kan få privilegeret adgang til systemerne. Vi kontrollerer periodisk om adgang til systemerne er tildelt korrekt. Netværk Vi anvender høj grad af segmentering i vores netværk, så risikoen for at et angreb kan sprede sig, minimeres. Firewalls inspicerer trafik mod kundernes miljøer, og DDoS-beskyttelse begrænser den påvirkning, som eventuelle angreb måtte have på serverne. Avanceret netværksinspektion opfanger mønstre og angrebsforsøg fra kendte, ondsindede ip-adresser og alarmerer vores driftsafdeling ved behov. Logning Vi logger alle adgange til management- og kundemiljøer og bruger bl.a. logningen til fejlfinding og efterforskning af eventuelle hændelser. Sårbarhedsstyring For de systemer, vi driver, er vi ansvarlige for løbende at overvåge, om nye sårbarheder skulle opstå. Vi har en proces for at vurdere og håndtere nye sårbarheder, samt vi installerer patches hurtigst muligt, efter de er offentliggjort. For den software/kode du selv ligger på vores servere, er du selv ansvarlig for at udføre sårbarhedsstyring dvs. du selv skal holde den opdateret. Overvågning Vi overvåger vores infrastruktur og relevante services døgnet rundt. Alle afvigelser registreres i vores incident management-system. Som 2

supplement til overvågningen har vi tilknyttet en 24/7-vagtordning. Backup Vi udfører backup af vores egne interne systemer - for backup af kundedata, se nedenfor. Backupdata spejles mellem to fysisk uafhængige lokationer i Danmark, så der altid er en tilgængelig kopi i tilfælde af et kritisk nedbrud. Backup af webhoteller inkl. e-mail Der tages daglig backup, og denne opbevares som udgangspunkt i 30 dage. Backup af cloud servere Der tages som udgangspunkt ikke backup af cloud servere. Backup kan dog tilkøbes. Kryptering Adgang til administrative systemer/kontrolpaneler sker via krypterede TLS-forbindelser. Kryptering på webhoteller Hvis data under transport (HTTPS) ønskes krypteret, skal du selv opsætte dette via dit Kontrolpanel. Overførsel af filer til webhotellet kan ske krypteret, såfremt du vælger dette i dit klient-program. Kryptering af e-mail Du skal aktivt tilvælge at anvende en krypteret protokol, da e-mail systemerne, for at understøtte gamle email programmer, også giver mulighed for at anvende ikke-krypterede forbindelser. Kryptering på cloud servere Du skal selv opsætte kryptering, hvor det ønskes. Kryptering af data Hvis data (filer, databaser, osv.) skal opbevares krypteret, skal du selv gøre dette igennem applikationen. Data bliver som udgangspunkt ikke opbevaret i krypteret form fra vores side. Underleverandører Hvis underleverandørerne kan have påvirkning på vores sikringsmiljø, sørger vi for, at de efterlever samme strenge krav, som vi gør. Det gør vi via kontrakter, databehandleraftaler, revisionserklæringer, egenkontrol og fortrolighedsaftaler. Vi kontrollerer løbende, at vores underleverandører efterlever kravene. Leverandøren, som driver Surftown miljø, er ISO 27001 certificeret og leverer årligt en ISAE 3402 erklæring, som sikrer Surftown indsigt i, hvorvidt leverandøren efterlever de aftalte krav. Beredskab Beredskab handler om at være forberedt på 3

hændelser, som kan have kritisk eller katastrofal påvirkning på driften. Vi har derfor beredskabsplaner, som fastlægger vores procedurer, rutiner og roller i tilfælde af en katastrofe. Medarbejdere trænes i beredskabet flere gange årligt. En del af vores beredskab er også, at vi er forberedte, hvis der skulle ske et databrud. I den forbindelse har vi procedurer for advisering af vores kunder og relevante myndigheder, som det kræves efter den nye Persondataforordning. Kundens ansvar Surftown sørger for sikkerheden i sin del af leverancen, dvs. de it-systemer, som står bag ydelserne webhotel og e-mail. Du har som kunde selv ansvar for, hvordan du opsætter disse systemer, samt at den software og kode du ligger på systemerne er sikker. Hvis de data, som transmitteres til/fra dit website kræver fortrolighed, bør du sørge for HTTPS-beskyttelse. Håndterer du følsomme data på e-mail, bør du som minimum sikre dig, at du anvender en krypteret forbindelse, når du tilgår e-mailsystemerne. 4

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback