Implementerede sikkerhedsforanstaltninger

Her ser du en række af de vitale implementerede sikkerhedsforanstaltninger
 

Implementerede sikkerhedsforanstaltninger

Fra og med Databehandlervilkårenes ikrafttrædelsesdato implementerer og vedligeholder Musskema de herunder konkrete sikkerhedsforanstaltningerne. Musskema kan opdatere eller ændre i de implementerede sikkerhedsforanstaltninger som er angivet i dette dokument fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke medfører forringelse af den samlede implementerede sikkerhed af Musskema Portal og de eventuelt supplerende tjenester, der skal leveres til Kunden.

Musskema har ved fastlæggelsen af sikkerhedsforanstaltninger fulgt standarderne ISO 27001 og ISO 27002. Musskema kan løbende ændre i gennemførte sikkerhedsforanstaltninger, idet ændringer i sikkerhedsforanstaltninger dog aldrig må føre til en forringelse af sikkerhedsniveauet.

Generelle sikkerhedsforanstaltninger

Alle medarbejdere i Databehandlerens Support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 16 karakterer og to-faktorgodkendelse.

Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.

Underleverandører arbejder ikke med data med mindre Dataansvarlige har givet tilladelser hertil.

Datacenter og netværkssikkerhed

Data hostes i tysk datacenter, Hetzner, Online GmbH som er certificeret efter ISO 27001. Se her.

Data sendes ikke til andre end de brugere, der er logget ind.

Ved forsøg på adgang til vores servere, blokeres efter 3 forgæves forsøg.

Autorisation og Adgangskontroller

Musskema.dk er en platform, hvor forskellige brugere har adgang til forskelligt data – en del af denne adgangsstyring påhviler dataansvarlige selv. Og generelt sker adgangstildeling kun efter ønske/pålæg fra kunden, som er dataansvarlig.

Og hvis Dataansvarlige beder os arbejde med det, så kan Databehandler arbejde med det på vegne af Dataansvarlige.

Datasikkerhed

Alle indtastninger og udlæsninger af data foregår via sikker webforbindelse (https) til vores webservere. De servere, der driver selve hjemmesiden, er virtuelle servere. Disse servere opbevarer ikke data. Adgang til disse servere er styret af en firewall, der automatisk åbner for godkendte medarbejdere - andre får slet ikke lov til at forsøge at logge ind.

Data overføres fra disse servere til et sæt virtuelle databaseservere. 2 servere hos Hetzner i Tyskland for at sikre høj oppetid og 1 server hos Hetzner i Finland som backup. 1 gang i døgnet tages backup i Finland på en separat disk. Adgangen til databaserservere er låst ned til udvalgte medarbejdere.

Alle medarbejdere i Databehandlerens Support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 16 karakterer og to-faktorgodkendelse.

Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.

Underleverandører arbejder ikke med data med mindre Dataansvarlige har givet tilladelser hertil.

Autorisation og adgangskontrol

Musskama tilgår kun oplysninger i Kundens system, hvis Kunden anmoder om det, fx i en supportsituation. Adgang sker ved at Kunden aktivt sætter et flueben, og efter endt brug fjerner det igen. Handlingen logges.

Ved forsøg på adgang til vores servere, blokeres efter 3 forgæves forsøg.

Logning af data sker på den måde, at der i dokumentets top står, hvem der har set dokumentet og hvornår.

Sletning

Når en kunde sletter en medarbejder, som ikke længere er ansat, slettes medarbejder efter 14 dage, mens de indtastede data i MUS o.l. opbevares i lederens arkiv i 5 år med bl.a. score og aftaler.

Når et firma ønsker at stoppe hos Musskema.dk slettes firmaet efter 14 dage - og er helt ude af enhver backup inden for 90 dage.

Medarbejder sikkerhed

Leverandør benytter hjemmearbejdspladser. Og alt data opbevares online, og vil normalt kun berøre medarbejderes computere i det omfang hjemmesiden caches på medarbejders PC. 

Data udleveret til behandling på medarbejders PC - efter aftale med Dataansvarlige - behandles fortroligt og slettes umiddelbart efter endt anvendelse.

Transmission af data mellem medarbejdere sker i krypterede e-mails eller krypterede vedhæftede filer.

Inddatamateriale om indeholder personoplysninger

Inddata er hvad den enkelte bruger taster ind i systemet.

Kun hvis Dataansvarlige beder os om det, kan en Support medarbejder evt. tilgå det. Det sker ved at kunden/brugeren/dataansvarlige aktivt sætter et flueben, og efter endt brug fjerner det igen. Handlingen logges.

Uddatamateriale som indeholder personoplysninger

Ikke relevant her. Kun hvis Dataansvarlige eksplicit giver os tilladelse til det i en given situation, kan en Support medarbejder evt. tilgå det.

Engagering af underdatabehandlere

Før engagering af en underdatabehandler gennemfører Musskema en due diligence eller tilsyn med de sikkerhedsforanstaltninger og de principper for databeskyttelse, som underdatabehandleren har implementeret, sådan at det sikres, at den pågældende underdatabehandler har et sikkerhedsniveau, som er passende i forhold til de behandlingsaktiviteter, de skal udføre for Musskema. Når en underdatabehandler er vurderet egnet til varetagelse af behandlingsaktiviteter, indgår Musskema skriftlig aftale med underdatabehandleren i overensstemmelse med Databehandlervilkårenes krav.  

 

Version, december 2020

Lad os tage en snak om mulighederne Lad os ringe dig op, så vi sammen kan finde en løsning