Frågor och svar om Oneflows säkerhet
Är ni certifierade enligt ISO 27001?
Ja! Du kan läsa mer om Efterlevnad här, eller ladda ner certifikatet.
Kan ni berätta mer om er SoA (Statement of Applicability)?
Ja, du kan ladda ner den här. Varje kontroll i SoA är inkluderad och implementerad, vi har inte uteslutit något.
Kan ni dela certifikatet för det senaste penetrationstest?
Absolut, du kan hitta vårt senaste pentest-certifikat här.
Kan ni berätta mer om resultaten av det senaste pentestet?
Självklart, men efter att ha signerat ett sekretessavtal (Non-Disclosure Agreement, NDA).
Har Oneflow ett “bug-bounty-program”?
Oneflow uppmuntrar till ansvarsfullt offentliggörande. Brister kan rapporteras till security@oneflow.com.
Vi har dock för närvarande inget bug-bounty-program och betalar inte ut belöningar för rapporterade brister.
Hur anmäler jag en säkerhetsbrist?
För att rapportera en säkerhetsbrist, vänligen skicka ett e-postmeddelande med information till security@oneflow.com.
Har Oneflow stöd för Single Sign-On (SSO)? Om ja, hur är det implementerat?
Oneflow stöder för närvarande följande plattformar för användning av SSO:
- Azure
- ADFS
- ForgeRock
- Google Workspace
- Duo
- OneTouch
Om du använder en annan plattform kan du kontakta oss så hjälper vi dig. Du kan läsa om hur du aktiverar SSO här.
Har ni erhållit någon certifiering gällande informationssäkerhet och/eller skydd av personuppgifter?
Ja, vi är ISO 27001-certifierade! Du kan läsa mer på vår sida om Efterlevnad i Security Center eller ladda ner certifikatet.
Hur säkerhetskopieras kunddata? Vad är er policy för säkerhetskopiering?
Oneflow använder flera nivåer av säkerhetskopior både för data och dokument. För databaser har vi dagliga databasdumpar, dagliga databas-snapshots i 7 dagar och punktåterställning upp till 5 minuter tillbaka i tiden. För dokument har vi en spegelsynkronisering i realtid till en separat AWS-region (Stockholm) och varje dokument versionshanteras för att skydda mot raderingar i båda regionerna. Du kan läsa mer om vår pålitlighet här.
Finns det en policy för informationssäkerhet? Utbildas personalen i den?
Oneflow upprätthåller en omfattande informationssäkerhetspolicy. En utbildning i informationssäkerhet och sekretess hålls minst en gång per år, och all ny personal deltar i en utbildning i informationssäkerhet och sekretess.
Vilka är de fysiska säkerhetskontrollerna?
Oneflows kontor ligger i en delad kontorsbyggnad där säkerhetsåtgärder finns på plats. När det gäller datacenter använder Oneflow AWS som värd för Oneflow-plattformen och de fysiska säkerhetskontrollerna hanteras av AWS som har en rad säkerhetsåtgärder på plats. Läs mer om AWS hosting här.
Vilken är er tidslinje för att åtgärda säkerhetsproblem?
Oneflow förbinder sig att följa följande tidslinje:
- Kritisk allvarlighetsgrad: Börja åtgärda omedelbart efter identifiering, implementering inom 1 vecka.
- Hög allvarlighetsgrad: Implementering inom 2-4 veckor.
- Medelhög allvarlighetsgrad: Implementering inom 1-2 månader.
- Låg allvarlighetsgrad: Vi strävar efter att åtgärda dessa inom 6 månader när en konsekvensbedömning visar att sårbarheten påverkar våra system och därför bör prioriteras.
Vad är livscykeln för programvaruutveckling (SDLC), eller processen för kontroll av programvaruändringar?
Oneflow använder Agile-metodik i vår livscykel för programvaruutveckling (SDLC) för att säkerställa flexibilitet och kontinuerlig förbättring. Alla programvaruändringar genomgår noggrann peer review innan de släpps. Vi upprätthåller flera fullt funktionella miljöer för testning och validering utanför produktionsmiljön, vilket underlättar rigorösa QA-processer. Ändringar godkänns för produktion först efter att de har genomgått peer review och godkänts i programvarans automatiska testsvit. Detta agila tillvägagångssätt förbättrar vår förmåga att snabbt reagera på förändringar och effektivt hantera utvecklingsprocessen.
Vilka datakrypteringsstandarder använder Oneflow?
Oneflow använder avancerade krypteringsstandarder för att skydda kunddata. Detta inkluderar AES-256-kryptering för data i vila och TLS 1.2 eller högre för data i transit, vilket säkerställer att all kunddata är säkert krypterad under lagring och överföring.
Har Oneflow en incidenthanteringsplan för säkerhetsöverträdelser?
Oneflow har en omfattande incidenthanteringsplan på plats för att omedelbart hantera eventuella säkerhetsöverträdelser. Denna plan beskriver förfaranden för omedelbar begränsning, utredning och avhjälpande av incidenter, vilket säkerställer minimal påverkan på våra kunder och efterlevnad av alla relevanta lagar om anmälan.
Följer Oneflow branschspecifika regler som är relevanta för digitala avtal?
Oneflow åtar sig att följa branschspecifika regler som gäller för digitala avtal. Detta inkluderar efterlevnad av standarder som eIDAS i EU för elektroniska signaturer och transaktioner, vilket säkerställer att våra tjänster uppfyller de rättsliga kraven för digitala avtal i olika jurisdiktioner.
Vilka användaråtkomst- och autentiseringskontroller finns på plats i Oneflow?
Oneflow använder robusta kontroller för användaråtkomst och autentisering, inklusive multifaktorautentisering (MFA), rollbaserade åtkomstkontroller (RBAC) och regelbundna granskningar av användarbehörigheter. Dessa åtgärder säkerställer att endast behöriga användare kan komma åt känslig information och att användarnas åtkomst begränsas på lämpligt sätt baserat på deras roll inom organisationen.