Efterlevnad
Hur vi väver in efterlevnad i allt vi bygger.
Integritetsskydd och efterlevnad genom design och som standard
Denna princip är vår produktutvecklings ledstjärna som vägleder allt vi bygger. Här är några av de frågor som vi alltid ställer oss när vi fattar beslut om produktutveckling:
- Känslig information – Avslöjar koden någon känslig information?
- Fastställa sammanhang – Uppfyller syftet med koden de acceptabla riskparametrarna?
- Försvåra intrång – Är alla aspekter av koden och systemet svåra att kompromettera? Har den nya koden en negativ inverkan på befintlig kod?
- Försvåra avbrott – Är systemet och koden motståndskraftiga och inte känsliga för överbelastningsattacker och användningstoppar?
- Lättare upptäcka intrång – Är koden och systemet utformade så att misstänkt aktivitet lätt kan upptäckas, t.ex. finns det tillräcklig loggning och övervakning på plats?
- Minska effekterna av intrång – Är systemet utvecklat för att minimera effekterna av ett intrång. Är funktionaliteten strukturerad för att förhindra onödiga anslutningar till andra delar av systemet?
- Skydda mot vanliga sårbarheter – Är systemen utvecklade på ett säkert sätt mot de flesta sårbarheter, t.ex. OWASP Top 10?
Din information är vårt ansvar
Oneflow har en omfattande policy för verksamhetskontinuitet och katastrofåterhämtning som granskas årligen eller närhelst betydande förändringar görs.
Oneflow är byggt med redundans i varje lager av sin infrastruktur. Plattformen, databaserna, lagrings- och hjälptjänsterna finns i flera tillgänglighetszoner i Irland, EU för att möjliggöra sporadiska fel utan förlust av tillgänglighet, funktionalitet eller kunddata. Systemloggar och autentiseringsloggar lagras i 90 dagar (inklusive 30 dagars säkerhetskopiering utanför anläggningen). Säkerhetskopior tas också med jämna mellanrum och lagras i datacenter i Sverige.
Oneflow är en säker plattform med möjligheter till sökbarhet, uppföljning och kontroll. Personuppgifter är säkra på ett ställe, snarare än spridda över e-post, servrar och hårddiskar. Kunddata (inklusive personuppgifter) som behandlas och lagras i Oneflow är konfidentiell och endast åtkomlig för kunden.
Kryptering
Data krypteras i transit och i vila; TLS 1.2 används för att kryptera data i transit, från det publika internet till våra CDN edge points, hela vägen in i vårt interna nätverk innan de bearbetas. Databaser, servrar och fillagring krypterar också alla data innan de lagras i vila, med hjälp av toppmodern kryptering med AES 256-algoritmen.
Policys
Oneflow följer ISO 27001-standarden och NIST-ramverket och har en rad interna policys, rutiner och riktlinjer. Dessa utgör vårt ledningssystem för informationssäkerhet och styr vår inställning till efterlevnad, säkerhet och integritet. Ett urval av våra policys visas nedan. Kontakta oss om du vill gå igenom någon av våra policys i detalj.
• Policy för informationssäkerhet
• Policy för acceptabel användning
• Policy för hantering av ändringar
• Policy för avveckling och destruktion
• Policy för riskhantering i samband med informationssäkerhet
• Rutin för hantering av incidenter som rör informationssäkerhet
• Policy för verksamhetskontinuitet och katastrofåterhämtning
• Säkerhetspolicy för leverantörer
• Policy för säker utveckling
• Policy för arbetsplatsen
Kontakta oss om du vill gå igenom någon av våra policys i detalj.
Modell för delat ansvar
För att Oneflow ska kunna tillhandahålla en säker plattform delas ansvaret för säkerhet och regelefterlevnad mellan Oneflow och kunden. Målet med modellen med delat ansvar är att Oneflow ska kunna fokusera på att tillhandahålla en säker plattform till sina kunder, samtidigt som kunderna proaktivt kan engagera sig i skyddet av sina tillgångar.
Oneflows ansvar
Oneflow ansvarar för säkerheten på den plattform, den infrastruktur och det nätverk som används för att tillhandahålla tjänsten. För att upprätthålla sekretessen, integriteten och tillgängligheten för data som lagras och behandlas av Oneflow krypteras data under transport och i vila. Applikationen uppdateras regelbundet för att alltid säkerställa högsta möjliga skyddsnivå. Oneflows plattform finns dessutom på flera geografiskt åtskilda platser, vilket resulterar i en redundant och tillförlitlig tjänst.
Oneflow ansvarar också för att erbjuda ett brett utbud av säkerhetshöjande funktioner för att ytterligare skydda kundernas viktigaste tillgångar. Funktionerna kan aktiveras för lämpliga riskbilder, operativa krav och efterlevnadskrav.
Kundens ansvar
Kunderna är ansvariga för säkerheten i Oneflow-applikationen i förhållande till de element som står under deras kontroll. Kunderna ansvarar till exempel för att autentiseringsuppgifter som lösenord förvaras säkert och inte exponeras för obehöriga personer.
Oneflow tillhandahåller ett brett utbud av säkerhetsfunktioner, men det är kundens ansvar att använda sig av sådana funktioner, t.ex. tvåstegsautentisering, Single Sign-on och datalagringspolicyer. Åtkomst till avtal kan kontrolleras av kunden genom användning av avancerade rollbaserade behörigheter och kunden är därmed ansvarig för att säkerställa att behörigheter endast ges till dem som behöver åtkomst inom organisationen. Dessutom är det kundens ansvar att se till att avtalet skickas till rätt mottagare.
Avtal som har laddats ned eller exporterats utanför Oneflow-plattformen är helt och hållet kundens ansvar; kunder kommer fortfarande att kunna komma åt avtalet i Oneflow så länge det inte har raderats av kunden.
Missa inga trick
Skicka, spåra och signera avtal gratis för resten av livet. Inget fuffens.