Sikkerhedsforanstaltninger
itslearning har implementeret de sikkerhedsforanstaltninger, der er beskrevet i dette bilag, både organisatoriske og tekniske foranstaltninger, i overensstemmelse med branchestandarder.
itslearning kan opdatere eller ændre sådanne sikkerhedsforanstaltninger fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke resulterer i en forringelse af tjenesternes overordnede sikkerhed.
Organisatoriske foranstaltninger
Ledelsesteamet på itslearning har været aktivt involveret i at udvikle en informationssikkerhedskultur i virksomheden via et løbende bevidstgørelsesprogram og har en ledelsesstruktur på plads til at styre implementeringen af informationssikkerhed i sine tjenester med klare roller og ansvarsområder i organisationen.
Driftsledelse
Der findes flere processer og politikker for bedste praksis i branchen for at sikre den bedst mulige fortrolighed, tilgængelighed og integritet af platformen. Disse politikker er bygget op omkring strenge krav på en række områder, f.eks;
- Informationssikkerhed
- Sikkerhed i hostingmiljøet
- Tredjepartsadgang
- Kontrol af kapacitet
- Ledelse af forandringer
- Backup og gendannelse
- Adgangskontrol
- Dokumentation
- Logning og overvågning
- Reaktion på hændelser
- Håndtering af udgivelser
Sikkerhedsteam
itslearning har et team af sikkerhedseksperter, som er ansvarlige for organisationens overordnede informationssikkerhed. Deres rolle omfatter ansvar for;
- Koordinering af sikkerhedsrelaterede opgaver
- Sikring af virksomhedsmiljø, netværk og enheder
- Sikkerhed i applikationen (in-house penetrationstest og applikationsrevisioner)
- Overvågning og logning
- Proces- og politikstyring (disaster recovery, path management osv.)
- Træning og uddannelse af medarbejdere inden for informationssikkerhed
- Koordinering af tredjeparts sikkerhedsaudits og opfølgning på eventuelle fund
- Gennemgang af kode for potentielle sikkerhedssårbarheder.
Roller og ansvarsområder
Alle medarbejdere har klare roller i virksomheden og får kun adgang til data, der er nødvendige for deres specifikke rolle. Et begrænset antal medarbejdere har administrativ adgang til vores produktionsmiljø, og deres rettigheder er stærkt regulerede og gennemgås med bestemte intervaller. Enhver større ændring af applikationen, miljøet eller hardwaren i produktionsmiljøet verificeres altid af mindst to personer.
Personalets sikkerhed
Alle medarbejdere på itslearning skal indgå en streng fortrolighedsaftale. Alle medarbejdere skal følge virksomhedens politikker vedrørende fortrolighed, forretningsetik og professionelle standarder. Medarbejdere, der er involveret i sikring, håndtering og behandling af kundedata, skal gennemføre uddannelse, der passer til deres rolle.
Adgangskontrol
Der er strenge krav til alle medarbejdere, indlejede konsulenter eller tredjeparter, der anmoder om adgang til itslearning informationssystemer. Adgangskontrollen styres af et autentificeringssystem. Brugeren er forpligtet til at:
- Har ledelsens godkendelse af den ønskede adgang
- Har stærke adgangskoder, der er i overensstemmelse med virksomhedens adgangskodepolitik
- Skift deres adgangskode med jævne mellemrum
- Dokumentér, at den ønskede adgang er nødvendig for deres specifikke rolle/opgave
- Sørg for, at den anvendte enhed (pc, tablet, mobiltelefon) er tilstrækkeligt sikret og låst, når brugeren ikke er til stede.
itslearning anvender automatisk midlertidig spærring af brugerterminalen, hvis den er inaktiv.
Interne dataadgangsprocesser og -politikker er designet til at forhindre uautoriserede personer og/eller systemer i at få adgang til systemer, der bruges til at behandle persondata. Alle ændringer af data logges for at skabe et revisionsspor for ansvarlighed.
Fysisk sikkerhed
- Datacentre
itslearning driver alle sine kundetjenester fra datacentre, der er adskilt fra hovedkontorets arbejdsområde. Adgang til datacentre er strengt kontrolleret og beskyttet for at reducere sandsynligheden for uautoriseret adgang, brand, oversvømmelse eller anden skade på det fysiske miljø. Fysisk adgang til datacentre er begrænset til et lille antal medarbejdere i itslearning og/eller dets hostingcenterudbydere. Der kræves strenge sikkerhedsgodkendelser, og de skal godkendes af sikkerhedsledelsen, før der gives adgang til et datacenter.
- Kontorarbejdsplads
Alle kontorarbejdspladser på itslearning er beskyttet af adgangskontrol. Kun inviterede besøgende og medarbejdere har adgang til itslearning's arbejdsplads. Der er indført flere foranstaltninger for at undgå sikkerhedsproblemer på grund af tyveri eller tab af computerudstyr. Dette omfatter sikkerhedsretningslinjer og politikker for acceptabel brug, autentificeringssystemer og kryptering af lagerenheder, når det er relevant.
Tekniske foranstaltninger - Systemets tilgængelighed
itslearning har implementeret industristandardforanstaltninger for at sikre, at personoplysninger er beskyttet mod utilsigtet ødelæggelse eller tab, herunder:
- infrastrukturredundans (herunder fuld redundans for netværk, strøm, køling, database, server og lager)
- backup opbevares på et alternativt sted og er tilgængelig for gendannelse i tilfælde af fejl i det primære system.
- passende denial-of-service-beskyttelse
- 365/24/7 personale på vagt til at overvåge og fejlfinde
Beskyttelse af data
itslearning har implementeret en række industristandardforanstaltninger for at forhindre, at personoplysningerne læses, kopieres, ændres eller slettes af uautoriserede parter under transport eller i hvile. Dette opnås ved hjælp af forskellige industristandardforanstaltninger, herunder:
- Brug af lagdelte firewalls, VPN'er og krypteringsteknologier til at beskytte gateways og pipelines
- HTTPS-kryptering (også kaldet SSL- eller TLS-forbindelse) med sikre kryptografiske nøgler
- Fjernadgang til datacentre er beskyttet med en række lag af netværkssikkerhed
- Særligt følsomme kundedata i hvile er beskyttet af kryptering og/eller hashing (pseudonymisering).
- Hver disk, der tages ud af drift, underkastes en sletningsproces i henhold til vores "Politik for sletning af diske", og udfasningen logges med diskens serienummer.
- Regelmæssige tredjepartssikkerhedsrevisioner (mindst en gang om året), herunder penetrationstest, som stilles til rådighed for kunderne
Datacentre
itslearning bruger kun topmoderne datacentre med sikkerhed og overvågning på stedet 365/24/7. Datacentrene er placeret i moderne brandsikre faciliteter, der kræver elektronisk adgang med nøglekort og alarmer, der er forbundet med sikkerhedsoperationen på stedet. Kun autoriserede medarbejdere og entreprenører har tilladelse til at anmode om elektronisk adgang med nøglekort til disse faciliteter.
Udvikling af systemer
itslearning's platform er baseret på industristandardteknologier fra velkendte leverandører, herunder Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 og Cisco. Systemerne patches med jævne mellemrum til den nyeste version for at sikre, at de nyeste sikkerhedsforbedringer anvendes. Platformen opdateres generelt flere gange i kvartalet, og fejlrettelser frigives hurtigt baseret på prioritet efter strenge kvalitetskontroller.
itslearning har foranstaltninger på plads for at minimere risikoen for at indføre kode i sin platform, der kan forringe sikkerheden eller integriteten af de kundetjenester og personoplysninger, der behandles. Foranstaltningerne omfatter:
- Regelmæssig træning af personalet
- Kodegennemgang af sikkerhedsarkitekter
- QA-proces til grundig afprøvning af ændringer før udrulning
Subprocessor-sikkerhed
Ved onboarding af underbehandlere udfører itslearning en revision af underbehandlernes sikkerheds- og privatlivspraksis for at sikre, at underbehandlerne leverer et niveau af sikkerhed og privatliv, der passer til deres adgang til data og omfanget af de tjenester, de er engageret til at levere. itslearning udfører regelmæssige sikkerhedsrevisioner af praksis og levering til eksisterende underbehandlere.