Drift och databashantering 

Private Identity Control driftas i Microsoft molnlösning Azure. Migrering håller idag på att ske till ett svenskt moln och flytten beräknas vara klar inom de närmsta veckorna. 

Azure uppfyller en rad internationella och branschspecifika efterlevnadsstandarder, till exempel den allmänna dataskyddsförordningen (GDPR), ISO 27001, HIPAA, FedRAMP, SOC 1 och SOC 2.  All data sparas också inom EU:s gränser. Vill ni diskutera andra molnlösningar ta då kontakt här.

Säkerhet i Microsoft Azure 

Azure är en molnlösning som levereras av Microsoft. I Azure finns en rad olika säkerhetsfunktioner på plats för att ge företag en så bra lösning som möjligt. Bland annat används Advanced Data Security på databasen för automatisk klassificering av känslig information, övervakning av misstänkt aktivitet etc.   

Mer information om säkerhet i Azure finns på följande länk:  

https://docs.microsoft.com/en-us/azure/security/ 

BankID 

Genom att mottagaren alltid måste logga in med BankID så säkerställs identiteten och risken för att informationen ska hamna i felaktiga händer begränsas. BankID lösningen levereras av Nexus Group. 

SSL-certifikat 

PIC innehar ett SSL-certifikat som kallas EV (Extended Validation), och innebär att uppgifterna för organisationen eller företaget som beställer SSL-certifikatet kontrolleras och verifieras extra noggrant. 

Lösenord 

Lösenorden sätts enligt IBM Domino säkerhetsnivå 13 och lagras hashade och saltade. All lösenordshantering sker internt inom PIC.  Det finns möjlighet att använda sig av tvåfaktors autentisering samt inloggning med Azure Active Directory (Office 365) för att underlätta användning av tjänsten. Ta gärna kontakt för att veta mer.

Gallring 

All data som lagras i portalen har vi som bolag rätt att radera efter 365 dagar om inte gallring skett av parterna innan denna tidpunkt. Vi rekommenderar alla organisationer att själva inrätta de gallringsrutiner som är lämpliga utifrån er verksamhet. Syftet med systemet är att agera kommunikationslänk och inte för att lagra information. All data finns sen tidigare lagrade i era försystem. 

Kryptering 

All trafik till, från och inom Private Identity Control krypteras med modern kryptografi. Vi följer de senaste rekommendationerna från säkerhetsbranschen. Dock så är inte alltid mottagaren krypterad vilket kan försämra säkerhetsnivån. 

Notifiering 

All notifiering görs till de angivna e-postadresserna. Någon känslig information skickas inte med i notifieringen utan all kommunikation mellan företag och användare sker istället i den säkra miljö som vårt system utgör. Notifieringar via e-post sker i samband med registrering samt när det finns nya uppgifter i portalen för användaren att ta del av.

Delad information/data 

PIC har ingen möjlighet att själv ta del av informationen som delats mellan aktörerna. För tekniska samarbetspartners har särskilda avtal upprättats för att tydliggöra aktörernas uppgifter och ansvar  vilket bland annat utgörs av personuppgiftsbiträdesavtal med våra leverantörer. 

Skydd mot kodinjektioner 

I många system finns risken för skadliga kodinjektioner som kan användas av obehöriga för att ta del av eller ändra lagrad data.  Alla bakomliggande processer i PIC är byggda enligt Microsoft Best Practices och kommunikation med databasen sker via Entity framework som bland annat skyddar mot sådana potentiella kodinjektioner.