Personvern etter design og som standard
Dette prinsippet er vår produktutvikling ‘nordstjerne’ som styrer alt vi bygger. Her er noen av spørsmålene vi alltid stiller oss selv i hver steg av produktuviklingen:
- Sensitiv informasjon – Avslører koden noen sensitiv informasjon?
- Etabler konteksten – Oppfyller formålet med koden de akseptable risikoparameterne?
- Gjør inntrenging vanskelig – Er alle aspekter av koden og systemet vanskelig å kompromittere. Har den nye koden negativ innvirkning på eksisterende kode?
- Gjør avbrudd vanskelig – Er systemet og koden motstandsdyktig og ikke utsatt for angrep?
- Gjør inntrengningsdeteksjon enklere – Er koden og systemet utformet slik at mistenkelig aktivitet lett kan oppdages, for eksempel er tilstrekkelig logging og overvåking på plass?
- Redusere virkningen av inntrenging – Er systemet utviklet for å minimere virkningen av et innbrudd. Er funksjonalitet strukturert for å hindre unødvendige koblinger til andre deler av systemet?
- Beskyttelse mot vanlige sårbarheter – Er systemer utviklet trygt mot de fleste sårbarheter, f.eks. OWASP Topp 10?
Dine data er vårt ansvar
Oneflow har en omfattende Business Continuity and Disaster Recovery Policy på plass som gjennomgås årlig eller når det gjøres betydelige endringer.
Oneflow er bygget med redundans i hvert lag av infrastrukturen. Plattformen, databasene, lagringen og tilleggstjenestene er vert for flere tilgjengelighetssoner i Irland, EU for å tillate sporadiske feil uten tap av tilgjengelighet, funksjonalitet eller kundedata. Systemlogger og autentiseringslogger lagres i 90 dager (inkludert 30 dager off-site backup). Sikkerhetskopier tas også med jevne mellomrom og lagres i datasentre i Sverige.
Oneflow er en sikker plattform med muligheter for søkbarhet, oppfølging og kontroll. Personopplysninger er trygge på ett sted, i stedet for spredt over e-post, servere og harddisker. Kundedata (inkludert personopplysninger) som behandles og lagres i Oneflow er konfidensielle og kun tilgjengelig for kunden.
Kryptering
Data er kryptert under overføring og hvile; TLS 1.2 brukes til å kryptere data under overføring, fra det offentlige internett til våre CDN edge points, helt inn i vårt interne nettverk før de behandles. Databaser, servere og fillagring krypterer også alle data før de lagres i hvile, ved bruk av toppmoderne kryptering med AES 256-algoritmen.
Retningslinjer
Oneflow er justert til ISO 27001-standarden, NIST-rammeverket og har en rekke interne retningslinjer og prosedyrer. Disse danner vårt styringssystem for informasjonssikkerhet og styrer vår tilnærming til sikkerhet og personvern. Et utvalg av retningslinjene våre vises nedenfor.
• Retningslinjer for Informasjonssikkerhet
• Retningslinjer for akseptabel bruk
• Retningslinjer for endringsadministrasjon
• Retningslinjer for dekommisjonering og destruksjon
• Retningslinjer for risikostyring av informasjonssikkerhet
• Prosedyre for håndtering av hendelser for informasjonssikkerhet
• Retningslinjer for forretningskontinuitet og katastrofegjenoppretting
• Leverandørsikkerhetspolicy
• Sikker utviklingspolitikk
• Retningslinjer for arbeidsplassen
Ta kontakt med oss hvis du ønsker å gå gjennom noen av retningslinjene våre i detalj.
Delt ansvars modell
For at Oneflow skal kunne tilby en sikker plattform, deles sikkerhet og compliance mellom Oneflow og kunden. Målet med modellen for delt ansvar er å la Oneflow fokusere på å tilby en sikker plattform til sine kunder, samtidig som kundene proaktivt kan være engasjert i beskyttelsen av sine eiendeler.
Oneflows ansvar
Oneflow er ansvarlig for sikkerheten til plattformen, infrastrukturen og nettverket som brukes for å levere tjenesten. For å opprettholde konfidensialiteten, integriteten og tilgjengeligheten til data som lagres og behandles av Oneflow, krypteres data under overføring og hvile. Regelmessige oppdateringer påføres applikasjonen for å sikre det høyeste beskyttelsesnivået til enhver tid. I tillegg har Oneflow-plattformen vertsserver på flere geografisk atskilte lokasjoner, noe som resulterer i en overflødig pålitelig tjeneste.
Oneflow er også ansvarlig for å tilby et bredt spekter av sikkerhetsforbedrende funksjoner for ytterligere å tillate beskyttelse av kundenes viktigste eiendeler. Denne funksjonaliteten kan aktiveres for passende risikolandskap, operasjonelle krav og overholdelsesforpliktelser.
Kundeansvar
Kunder er ansvarlige for sikkerheten til Oneflow-applikasjonen i forhold til elementene under deres kontroll. Kunder er for eksempel ansvarlige for å sikre at autentiseringsdetaljer som passord holdes sikre og ikke eksponeres for uautoriserte personer.
Oneflow tilbyr et bredt spekter av sikkerhetsfunksjoner, men det er kundens ansvar å benytte seg av slik funksjonalitet, for eksempel totrinns autentisering, Single Sign-on og retningslinjer for dataoppbevaring. Tilgang til kontrakter kan kontrolleres av kunden gjennom bruk av avanserte rollebaserte tillatelser og som sådan er kunden ansvarlig for å sørge for at tillatelser kun gis til de som trenger tilgang i organisasjonen. I tillegg er det kundens ansvar å sørge for at kontrakten sendes til riktig mottaker.
Kontrakter som har blitt lastet ned eller eksportert utenfor Oneflow-plattformen er kun kundens ansvar; kunder vil fortsatt kunne få tilgang til kontrakten i Oneflow så lenge den ikke er slettet av kunden.
La oss vise deg et triks!
Se hvordan du jobber smartere med digitale kontrakter. Enkelt som bare det!