frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende generelle it-kontroller i tilknytning til TDC Hosting AIS' it-drift og hosting-aktiviteter 15. maj 2009 PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab, CVR-nr. i 6 99 42 94, Gentofte
Indholdsfortegnelse TDC Hosting A/S' erklæring 2 Erklæring fra uafhængig revisor 3 Bilag til erklæring fra uafhængig revisor PRICfWATERHOUSE(aJPERS i 2
Hosting Til vorcs kunder aftde Hosting AJS' it-drift og hosting-aktivitctcr 8. juni 2009 TDC Hosting A/S' beskrivelse og vurdering af generelle it-kontroller i tilknytning til TDC Hosting A/S' it-drift og hosting-aktiviteter Denne beskrivelse vedrører de generelle it-kontroller i tilknytning til standardkontrakter vedrørende it-drift og hosting-aktiviteter. Ydelserne er nærmere defineret i standardkontraktens bilag 1: Leverancedokument, version 3.0. Beskrivelsen vedrører de generelle it-kontroller inden for følgende områder:. Drift af datacentre. Anskaffelse, ændringer og vedligeholdelse af systemsoftare. Adgangssikkerhed. Beskrivelsen omfatter drift og overvågning for perioden 1. januar til 31. december 2008 og er udelukkende beregnet for kunder af ovenstående ydelser og disses revisorer. TDC Hosting A/S varetager drift og overvågning i forbindelse med it-drift og hosting-aktiviteter og er i forbindelse hermed ansvarlig for at sikre implementeringen og funktionen af kontrolsystemer med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af standardkontrakterne. Denne beskrivelse er afgrænset til generelle standarder for administration, som defineret i Leverancedokument, version 3.0. Specifikke forhold, der er relateret til individuelle kundekontrakter, er ikke omfattet. Med baggrund i ovenstående vurderer TDC Hosting A/S, at vi i alle væsentlige forhold har opretholdt effektive kontroller. Ârhus, den 15. maj 2009 TDC Hosting A/S / t: 71~.. Ole Bjørn teknisk direktør TDC Hostlng A/S Olof Palmes Allé 36 8200 Ârtus N Tlf. 70 26 25 27 Fax 70 26 25 28 TDC Hostlng A/S Rosenvængets Allé 9-13 2100 København ø Tlf. 70 26 25 27 Fax 35 52 68 99 Internet: www.tdchostlng.dk E-mali: info(qtdchostlng.dk
frcewtfrhousf(wpers ml Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til TDC Hosting AIS' it-drift og hosting-aktiviteter P ri cewa t e rh ou secoo pers Statsautoriseret Revisionsaktieselskab Nobel parkcn Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 8932 0000 Tclefax 8932 0010 Til ledelsen hos TDC Hosting A/S' kunder af ovenstående ydelser og disses revisorer Indledning Vi har gennemgået den af ledelsen hos TDC Hosting A/S (TDCH) udarbejdede beskrivelse af 15. maj 2009 vedrørende generelle it-kontroller i tilknytning til it-drift og hostingaktiviteter. Det er ledelsens ansvar at sikre opretholdelse af de i standardkontraktens bilag l, Leverancedokument, version 3.0, specificerede kontroller og at udarbejde beskrivelse herom. Vores ansvar er - baseret på vores arbejde - at udtrykke en konklusion om, hvorvidt vi er enige i ledelsens beskrivelse. Nærværende erklæring omfatter drift og overvågning for perioden l. januar til 31. december 2008 og er udelukkende beregnet for TDCH og TDCH's kunder af ovenstående ydelser samt disses revisorer. Det udførte arbejde Vores arbejde er udført i overensstemmelse med den danske revisionsstandard om erklæringer om generelle it-kontroller og applikationskontroller mv. med henblik på at opnå høj grad af sikkerhed for vores konklusion. Arbejdet omfatter forespørgsler, observationer samt vurdering og stikprøvevis efterprøvelse af den information, vi har modtaget. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vores systemrevision. Endvidere vil en anvendelse af vores konklusioner på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændring af system eller kontroller, ændring i kravene til behandling af oplysninger eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vores konklusioner eventuelt ikke længere vil være gældende. PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab, CVR-nr. 16994294. Gentofte
Konklusion Det er vores opfattelse, at ledelsens beskrivelse, jf. " TDC Hosting AIS' beskrivelse og vurdering af generelle it-kontroller i tilknytning til TDC Hosting AIS' it-drift og hostingaktiviteter" af 15. maj 2009, er dækkende, og at de generelle it-kontroller vedrørende ydelserne, i al væsentlighed har været opretholdt på et betryggende niveau i overensstemmelse med Leverancedokument, version 3.0. Vi har i vedlagte bilag 1 identificeret de test af kontroller, der er udført. Det bemærkes, at der for de enkelte kunder kan være specifikke forhold, herunder specifikke opsætninger, som gør, at den generelle konklusion ikke er dækkende. Sådanne forhold vil fremgå af de specifikke erklæringer for de kunder, som ifølge aftale mellem kunden og TDCH modtager en sådan. Århus, den 15. maj 2009 PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab ~cè~ Jess Kjær Mogensen. statsautoriseret revisor / ~ì / ~~(JC t~.. esplm~en tatsautonseret revisor ljicfwatfrhouse(ajpers i 2
Erklæring fra uaflængig revisor vedrørende generelle it-kontroller i tiknytning ti drift og overvågning af TDC Hosting AIS' generelle hosting-aktiviteter Bilag 1: Test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores revision, samt tilknyttede revisionshandlinger. Eventuelle kontrolsvagheder observeret ved testene er beskrevet i selvstændig rapport til TDC Hosting A/S (TDCH), dog fremgår eventuelle svagheder, som selvstændigt er væsentlige, eller som i forening udgør en væsentlig svaghed, af TDCH' s beskrivelse. Driftsafvikling Der er etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Det er kontrolleret, at der foreligger betryggende procedurer for driftsafviklingen samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages tilstrækkelig overvågning og hændelsesstyring, samt at rapportering omkring dette tilgår kunden. Fysisk sikkerhed Der er etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Vi har gennemgået TDCH' s driftsfaciliteter og påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Beredskabsplaner Der foreligger tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner. Det er kontrolleret, at der foreligger betryggende procedurer for sikkerhedskopiering. Det er ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget tilstrækkelig redundans, herunder beredskab, jf. beskrivelserne i standardkontraktens bilag l: Leverancedokument, version 3.0. Systemudvikling og vedligeholdelse af systemsoftware Der er etableret passende forretningsgange og kontroller for systemudvikling og vedligeholdelse vedrørende systemsoftware. (JICfWATERHOUSE(aJPERS i 1
Erklæring fra uaflængig revisor vedrørende generelle it-kontroller i tiknytning ti drift og overvågning af TDC Hosting AIS' generelle hosting-aktiviteter Det er kontrolleret, at der er etableret et ændringshåndteringssystem, samt at dette er understøttet af en teknisk infrastruktur. Det er endvidere stikprøvevis efterprøvet, at procedurer for test og godkendelse af ændringer til driftsmiljøet bliver efterlevet. Adgangsrettigheder Der er etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Det er kontrolleret, at tildeling af adgangsrettigheder sker efter betryggende forretningsgange, og at der foretages periodisk opfølgning på de tildelte administrative adgangsrettigheder. Det er stikprøvevis kontrolleret, at forretningsgangene er overholdt. Fysiske og logiske adgangskontroller Der er etableret fysiske og logiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data. Det er kontrolleret, at der anvendes tilstrækkelig passwordkvalitet. Det er endvidere påset, at det sikres, at der anvendes autentifikation af brugere på alle adgangsveje. Det er kontrolleret, at adgang til systemer placeret hos TDCH's driftsfaciliteter er begrænset til relevante personer, og det er endvidere påset, at der er etableret et elektronisk system for tildeling, overvågning og registrering af adgang til driftsfaciliteter. Organisatorisk funktionsadskillelse Der er etableret passende funktionsadskilelse i og omkring it-funktionerne, herunder mellem drift og øvrige administrative funktioner. Det er kontrolleret, at der opretholdes betryggende funktionsadskilelse i relation til den drift, der udføres af TDCH. Logisk funktionsadskillelse Der er etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskilelse. PRICfWATERHOUSE(aJPERS i 2
Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tiknytning ti drift og overvågning af TDC Hosting A/S' generelle hosting-aktiviteter Det er ved stikprøvevise udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til driftsmiljøerne, således at de enkelte driftsområder er adskilt, samt at driftsfunktionerne er begrænset til relevante driftsfunktioner. Datakommunikation Datakommunikation er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed. Det er ved gennemgang af systemopsætning kontrolleret, at der så vidt muligt kun anvendes sikre krypterede protokoller, herunder at administration af teknisk udstyr vedrørende standardhosting foregår i tilstrækkeligt sikre miljøer. PRICfWATERHOUSE(aJPERS i 3