Sotea ApS CVR-nr. 10 08 52 25



Relaterede dokumenter
Sotea ApS. Indholdsfortegnelse

Lector ApS CVR-nr.:

Fonden Center for Autisme CVR-nr.:

GML-HR A/S CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.:

Plan og Handling CVR-nr.:

GML-HR A/S CVR-nr.:

WWI A/S. Indholdsfortegnelse

DFF-EDB a.m.b.a CVR nr.:

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

IDQ A/S CVR-nr.:

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Zentura IT A/S CVR-nr

frcewtfrhousf(wpers ml

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Databehandleraftale 2013

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

1. Ledelsens udtalelse

Front-data Danmark A/S

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

Vejledning til brug af Offentlig RA Revisionsinstruks

K e n d el s e : Den 13. juli 2009 blev i sag nr. 46/2007-R. Revisortilsynet. mod

Sotea A/S. CVR nr.: Marts 2016

DFF EDB a.m.b.a. CVR-nr.:

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Vejledning til brug af Bank RA Revisionsinstruks

any.cloud A/S CVR nr.: DK

Procedure for tilsyn af databehandleraftale

Sikkerhedspolitik Version d. 3. oktober 2013

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Tlf: HUMAN TIME A/S

Complea A/S CVR-nr.:

Sikkerhedspolitik Version d. 6. maj 2014

IST DANMARK APS ISAE 3000 ERKLÆRING

Bilag 1 Databehandlerinstruks

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Timengo DPG A/S CVR-nr

WWI A/S Indholdsfortegnelse

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

ISAE 3402 TYPE 2 ERKLÆRING

Sikkerhedspolitik Version: 2.4 Dokument startet:

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

K e n d e l s e : Den 5. november 2008 blev i sag nr. 29/2008-R. Revisortilsynet. mod

1. Ledelsens udtalelse

Sotea ApS CVR nr.: DK

Wannafind. ISAE 3402 Type 2

EG Cloud & Hosting

Præsentation af Curanets sikringsmiljø

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

K e n d e l s e: Ved skrivelse af 25. august 2008 har Revisortilsynet klaget over J. Revision v/ Jan Rasmussen og registreret revisor Jan Rasmussen.

K e n d e l s e : Den 21. december 2009 blev i sag nr. 59/2008-R. Revisortilsynet. mod

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

TechBiz ApS CVR-nr.:

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Complea A/S CVR-nr

Registreret revisor B er tidligere ved Revisornævnets kendelse af [dato] tildelt en advarsel for mangler ved erklæringsarbejde.

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

K e n d e l s e: Erhvervs- og Selskabsstyrelsen har oplyst, at Ole Wanting blev beskikket som registreret revisor den 29. august 1986.

FYSISK SIKKERHED. Bilag 10-1

Sikker adgang til personfølsomme data i Aula

SYSTEMHOSTING A/S CVR nr.:

ISAE 3402-ERKLÆRING PR. 1

Manual KlimaC SMS Box. Dioder for fjernbetjening skal pege mod varmepumpen (afstand 6 m.)

RA-revisionsinstruks for offentlige myndigheder

NaviPartner København ApS CVR-nr.:

Notat om Privacy Impact Analyze, Persondata analyse eller blot PIA

WWI A/S CVR-nr.:

A/S it-drift og hostingaktiviteter

Front-data Danmark A/S

k e n d e l s e: Ved skrivelse af 14. februar 2013 har Revisortilsynet klaget over registreret revisor A, jf. revisorlovens 43, stk. 3.

Revisionsvirksomheden Revisoren.nu v/charlotte V. Bjerre, CVR-nr K e n d e l s e:

G4S ACADEMY FORHOLDSORDRER TIL KONTROLCENTRALER

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

Revisionsrapport Revision af vederlag for 2018

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Komplementarselskabet Motala II ApS Revisionsprotokollat til årsregnskabet for 2013

FRONT-DATA DANMARK A/S

IT-Forsyningen I/S. Revisionsprotokollat til årsregnskab regnskabsår

1. Ledelsens udtalelse

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

NOVAX One. Overlad ansvaret til os

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)

SYSTEMHOSTING A/S CVR nr.:

K E N D E L S E: Erhvervs- og Selskabsstyrelsen har oplyst, at indklagede B har været registreret som revisor fra den 11. januar 1973.

ISAE 3402 type 2-erklæring om generelle it-kontroller relateret til drifts- og hostingydelser.

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

Når compliance bliver kultur

Miracle Hosting A/S. ISAE 3402 Type 2

Transkript:

Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj 2015. ISAE 3000 DK Sotea ApS CVR-nr. 10 08 52 25 REVI-IT A/S

Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 1 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt interne kontroller... 2 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 3 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf... 4 REVI-IT A/S

Afsnit 1: Sotea ApS ledelseserklæring Denne erklæring vedrører Sotea ApS efterlevelse af vores politikker og procedurer i forbindelse med varetagelse af den fysiske sikkerhed i Sotea ApS datacenter for perioden 1. juni 2014 til 31. maj 2015.. Erklæringen er udelukkende beregnet for Sotea ApS kunder og deres revisorer. Sotea ApS stiller fysisk plads til rådighed for kunder, som ønsker at placere egne servere i Sotea ApS datacenter. Erklæringen afgrænses af de forhold, som fremgår af afsnit 3. Pr. dags dato bekræfter vi, at revisor har haft adgang til alle dokumenter og har modtaget alle oplysninger, som har været nødvendige for erklæringsarbejdet. Med baggrund i ovenstående vurderer vi, at vi i alle væsentlige forhold har opretholdt effektive kontroller, der sikrer overholdelsen af vores aftale med kunderne vedr. sikring af deres udstyr. Silkeborg, 13. juli 2015 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 1 af 5

Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt kontroller Sikre områder Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset, og for at få adgang skal der dels bruges dør-kode samt en chipbaseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagtimerne 07:00-19:00; dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder, herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen, og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne serviceteknikere vil efter aftale blive låst ind af Sotea, der også sørger for, at der bliver aflåst igen. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale, og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm; i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea-medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, køleanlæg og temperatur, hvor der ved fejl sendes SMS til den tekniske chef, direktøren, driftschefen og vagttelefonen, samt mail til support@sotea.dk, hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af Sotea support. Til sikring af driftsfaciliteterne anvender vi køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet, og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, hvor der er etableret aftale om placering af udstyr hos os, og andet udstyr, er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og dieselgenerator. Dette setup er anslået til at kunne køre i 6 timer på en fuld tank. En gang om måneden tester vi UPS og generator, og en gang årligt udføres der service af ekstern service tekniker. REVI-IT A/S Side 2 af 5

Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Sotea ApS, Sotea ApS kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Sotea ApS efterlevelse af de implementerede kontroller i forbindelse med varetagelse af den fysiske sikkerhed i Sotea ApS datacenter for perioden 1. juni 2014 til 31. maj 2015. Ledelsen har ansvaret for udformningen, implementeringen og effektiviteten af de etablerede kontroller. Vores ansvar er, på grundlag af vores udførte arbejde, at udtrykke en konklusion om, hvorvidt Sotea ApS efterlever førnævnte forhold. Det udførte arbejde Vi har udført vores arbejde i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed (ISAE 3000 DK) og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi tilrettelægger og udfører vores arbejde med henblik på at opnå høj grad af sikkerhed for, at de implementerede kontroller har været fungerende i perioden. Vores arbejde har omfattet en gennemgang af virksomhedens etablerede kontroller i forbindelse med varetagelsen af den fysiske sikkerhed i virksomhedens datacenter. Virksomheden har etableret kontroller med reference til ISO 27002:2013 s afsnit omkring fysiske forhold. Vores arbejde har i den forbindelse bestået af en gennemgang efter denne standard. Vi har udført vores arbejde ved interview, besigtigelse og stikprøvevis undersøgelse af information. I medfølgende afsnit 4 har vi beskrevet etablerede kontroller, vores test og resultatet heraf. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, som vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 2. Det er vores vurdering, at virksomhedens efterlevelse af de etablerede kontroller i de væsentligste henseender har været opfyldt for perioden 1. juni 2014 til 31. maj 2015. København, 13. juli 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 3 af 5

Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Sotea ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 1. juni 2014 til 31. maj 2015. Vi har således ikke nødvendigvis testet alle de kontroller, som Sotea ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller udført hos Sotea ApS kunder er herudover ikke omfattet af vores erklæring, idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Sotea ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller. Observation af, hvordan kontroller udføres. Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 4 af 5

Fysiske og miljømæssige sikringer Sikre områder Nr. Kontrolmål REVI-IT s test Resultat af test 11.1 Formålet er at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Vi har forespurgt på beskrivelse af den fysiske skalsikring, og har inspiceret beskrivelsen. Vi har yderligere inspiceret de fysiske rammer for betryggende sikring, herunder sikring af adgang til driftsfaciliteter og kontorområder. Vi har forespurgt til procedure for oprettelse og nedlæggelse af adgang til datacenteret, samt oprettelse af nøglekort hertil. Vi har dertil stikprøvevist inspiceret dokumentation for, at procedurer er fulgt. Yderligere har vi forespurgt til evaluering af adgang til datacenteret, og inspiceret kontrollen for gennemgang af loggen. Vi har forespurgt på oversigt over alarmer i revisionsperioden, og stikprøvevis inspiceret, hvorledes der er fulgt op på disse alarmer. Yderligere har vi forespurgt til muligheden for sletning af automatisk generede tickets på alarmer, samt logning og evaluering af dette. Vi har forespurgt på vedligeholdelse af understøttende forsyninger til beskyttelse mod miljømæssige trusler, og har inspiceret at der er egenkontrol samt årlig service på forsyningerne. Vi har fået oplyst, at det er muligt at slette de automatisk genererede tickets ved alarmer. Vi har ydermere fået oplyst, at det logges, hvis tickets på alarmer slettes, og at loggen ikke kan slettes. Dog har vi ikke modtaget dokumentation for, at logning og beskyttelse af loggen er implementeret. Udstyr 11.2 Formålet er at undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen Vi har inspiceret de fysiske forhold for betryggende sikring af driftssystemerne samt kritisk udstyr. Vi har forespurgt til periodisk service af UPS, dieselgenerator, køleanlæg og brandsikring i datacenteret, og har inspiceret den årlige kontrol til sikring af service samt de tilhørende servicerapporter. Vi har forespurgt til kabelføring på datacenteret og backup, og har inspiceret løsningen på betryggende vis. Vi har forespurgt til procedurer for fjernelse og bortskaffelse af udstyr og data fra datacenteret, samt har inspiceret at det behandles på betryggende vis. Vi har forespurgt til procedurer for og politikker til beskyttelse af udstyr uden opsyn, og har inspiceret virksomhedens politikker for ryddeligt skrivebord og skærm, samt politik for påtvungen automatisk lås på inaktivt brugerudstyr. Ingen væsentlige afvigelser konstateret. REVI-IT A/S Side 5 af 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback