Sikkerhedsforanstaltninger
itslearning har implementeret de sikkerhedsforanstaltninger, der er beskrevet i dette bilag, både organisatoriske og tekniske foranstaltninger, i overensstemmelse med branchestandarder.
itslearning kan opdatere eller ændre sådanne sikkerhedsforanstaltninger fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke resulterer i en forringelse af tjenesternes overordnede sikkerhed.
Organisatoriske foranstaltninger
Ledelsen på itslearning har været aktivt involveret i at udvikle en informationssikkerhedskultur i virksomheden via et løbende awareness-program og har en ledelsesstruktur på plads til at styre implementeringen af informationssikkerhed i sine tjenester med klare roller og ansvarsområder i organisationen.
Driftsledelse
Der findes flere best-practice-processer og -politikker i branchen for at sikre den bedst mulige fortrolighed, tilgængelighed og integritet af platformen. Disse politikker er bygget op omkring strenge krav på en række områder, som f.eks;
- Informationssikkerhed
- Sikkerhed i hosting-miljøet
- Tredjepartsadgang
- Kapacitetskontrol
- Forandringsledelse
- Backup og gendannelse
- Adgangskontrol
- Dokumentation
- Logning og overvågning
- Reaktion på hændelser
- Udgivelsesstyring
Sikkerhedsteam
itslearning har et team af sikkerhedseksperter, der er ansvarlige for organisationens overordnede informationssikkerhed. Deres rolle omfatter ansvar for;
- Koordinering af sikkerhedsrelaterede opgaver
- Sikring af virksomhedens miljø, netværk og enheder
- Sikkerhed i applikationen (in-house penetrationstest og applikationsrevisioner)
- Overvågning og logning
- Proces- og politikstyring (disaster recovery, path management osv.)
- Træning og uddannelse af medarbejdere inden for informationssikkerhed
- Koordinering af tredjeparts sikkerhedsrevisioner og opfølgning på eventuelle resultater
- Gennemgang af kode for potentielle sikkerhedssårbarheder.
Roller og ansvarsområder
Alle medarbejdere har klare roller i virksomheden og får kun adgang til data, der er nødvendige for deres specifikke rolle. Et begrænset antal medarbejdere har administrativ adgang til vores produktionsmiljø, og deres rettigheder er stærkt regulerede og gennemgås med faste intervaller. Enhver større ændring af applikationen, miljøet eller hardwaren i produktionsmiljøet bliver altid verificeret af mindst to personer.
Personalets sikkerhed
Alt personale på itslearning er forpligtet til at indgå en streng fortrolighedsaftale. Alle medarbejdere er forpligtet til at følge virksomhedens politikker vedrørende fortrolighed, forretningsetik og professionelle standarder. Personale, der er involveret i sikring, håndtering og behandling af kundedata, skal gennemføre uddannelse, der passer til deres rolle.
Adgangskontrol
Der er strenge krav til alle medarbejdere, indlejede konsulenter eller tredjeparter, der anmoder om adgang til itslearning informationssystemer. Adgangskontrol styres af et autentificeringssystem. Brugeren er forpligtet til at:
- Har ledelsens godkendelse til den ønskede adgang
- Har stærke adgangskoder, der er i overensstemmelse med virksomhedens adgangskodepolitik.
- Skift deres password med jævne mellemrum
- Dokumentere, at den ønskede adgang er nødvendig for deres specifikke rolle/opgave.
- Sørg for, at den anvendte enhed (pc, tablet, mobiltelefon) er tilstrækkeligt sikret og låst, når brugeren ikke er til stede.
itslearning anvender automatisk midlertidig låsning af brugerterminalen, hvis den er inaktiv.
Interne dataadgangsprocesser og -politikker er designet til at forhindre uautoriserede personer og/eller systemer i at få adgang til systemer, der bruges til at behandle personlige data. Alle ændringer af data logges for at skabe et revisionsspor for ansvarlighed.
Fysisk sikkerhed
- Datacentre
itslearning driver alle sine kundetjenester fra datacentre, der er adskilt fra virksomhedens kontorarbejdsplads. Adgang til datacentre er strengt kontrolleret og beskyttet for at reducere sandsynligheden for uautoriseret adgang, brand, oversvømmelse eller anden skade på det fysiske miljø. Fysisk adgang til datacentre er begrænset til et lille antal medarbejdere på itslearning og/eller hostingcenterudbydere. Strenge sikkerhedsgodkendelser er påkrævet og skal godkendes af sikkerhedsledelsen, før man må gå ind i et datacenter.
- Kontorarbejdsplads
Alle kontorarbejdspladser på itslearning er beskyttet af adgangskontrol. Kun inviterede besøgende og medarbejdere har adgang til itslearning's arbejdsområde. Flere foranstaltninger er på plads for at undgå sikkerhedsproblemer på grund af tyveri eller tab af computerudstyr. Dette omfatter sikkerhedsretningslinjer og politikker for acceptabel brug, autentificeringssystemer og kryptering af lagerenheder, når det er relevant.
Tekniske foranstaltninger - Systemtilgængelighed
itslearning har implementeret industristandardforanstaltninger for at sikre, at personoplysninger er beskyttet mod utilsigtet ødelæggelse eller tab, herunder:
- infrastrukturredundans (herunder fuld redundans for netværk, strøm, køling, database, server og lagring)
- backup gemmes på et alternativt sted og er tilgængelig til gendannelse i tilfælde af fejl i det primære system.
- passende denial-of-service-beskyttelse
- 365/24/7 personale på vagt til overvågning og fejlfinding
Beskyttelse af data
itslearning har implementeret en række industristandardforanstaltninger for at forhindre, at personlige data læses, kopieres, ændres eller slettes af uautoriserede parter under transport eller i hvile. Dette opnås ved hjælp af forskellige industristandardforanstaltninger, herunder:
- Brug af lagdelte firewalls, VPN'er og krypteringsteknologier til at beskytte gateways og pipelines.
- HTTPS-kryptering (også kaldet SSL- eller TLS-forbindelse) med sikre kryptografiske nøgler
- Fjernadgang til datacentre er beskyttet med en række lag af netværkssikkerhed
- Særligt følsomme kundedata i hvile er beskyttet af kryptering og/eller hashing (pseudonymisering).
- Hver disk, der tages ud af drift, underkastes en disk-sletningsproces i henhold til vores "Disk-sletningspolitik", og udfasningen logges med diskens serienummer.
- Regelmæssige sikkerhedsaudits fra tredjepart (mindst en gang om året), herunder penetrationstest, som stilles til rådighed for kunderne.
Datacentre
itslearning bruger kun state-of-the-art datacentre med 365/24/7 on-site sikkerhed og overvågning. Datacentrene er placeret i moderne brandsikre faciliteter, der kræver elektronisk adgang med nøglekort og alarmer, der er forbundet med sikkerhedsoperationen på stedet. Kun autoriserede medarbejdere og entreprenører har tilladelse til at anmode om elektronisk nøglekortadgang til disse faciliteter.
Udvikling af systemet
itslearningplatform er baseret på industristandardteknologier fra velkendte leverandører, herunder Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 og Cisco. Systemerne patches jævnligt til den nyeste version for at sikre, at de seneste sikkerhedsforbedringer anvendes. Platformen opdateres generelt flere gange i kvartalet, og fejlrettelser frigives hurtigt baseret på prioritet og efter strenge kvalitetskontroller.
itslearning har foranstaltninger på plads for at minimere risikoen for at introducere kode i sin platform, der kan forringe sikkerheden eller integriteten af de kundetjenester og personlige data, der behandles. Foranstaltningerne omfatter:
- Regelmæssig uddannelse af personale
- Kodegennemgang af sikkerhedsarkitekter
- QA-proces til grundig afprøvning af ændringer før implementering
Subprocessor-sikkerhed
Ved onboarding af underdatabehandlere udfører itslearning en revision af underdatabehandlernes sikkerheds- og privatlivspraksis for at sikre, at underdatabehandlerne leverer et niveau af sikkerhed og privatliv, der passer til deres adgang til data og omfanget af de tjenester, de er ansat til at levere. itslearning udfører regelmæssige sikkerhedsrevisioner af praksis og levering for eksisterende underdatabehandlere.