Hur identifieras användare vid inloggning?

Användare identifieras och autentiseras via identitetsleverantör för Single-Sign-On, innan åtkomst medges. Vi använder BankID eller motsvarande nationellt ID som passar din organisation. Har din organisation en egen SSO integrerar vi självklart mot den och automatiserar rättighetstilldelning. Har din organisation inte en färdig struktur för rättigheter kan en användare begära åtkomst till den grupp som de ska tillhöra, som sedan kan godkännas eller redigeras av en Ringledare.

Hur styrs åtkomstkontroll?

Åtkomst till applikationen samt data och skriv- och läsrättigheter till sådan, styrs med hjälp av ett anpassningsbart rollbaserat behörighetskontrollsystem. Appen använder parametriserad rollbaserad behörighetskontroll (PRBAC). Läs och redigeringsrättigheter sätts på objektnivå. Då vi använder Event Sourcing för alla objekt styrs rättighet till för redigering på kommando-nivå som är rättighetsstyrda per roll.

Går det att spåra händelser i applikationen?

Alla händelser om ett objekt, oavsett om det är skapande, ändring och borttag av information loggas med användarens identitet, tidpunkt, och aktivitet. Eftersom själva händelseloggen är grund till dataprojektionen är det inte möjligt att manipulera dataloggningen utan att även projektionen påverkas.

Har appen en logg på läsningar av persondata?

Ja, alla hämtningar av data loggas i 30 dagar.

Hur kan ni hålla koll på appens funktionalitet och driftsäkerhet?

Med avancerade verktyg för felsökning på användarnas klienter samt larm kopplade till mätvärden från applikationsloggen kan vi jobba proaktivt för att identifiera och avhjälpa problem, såväl i appen som hos användare. Appens loggar aggregeras centralt även om appen körs på utlokaliserade noder. Detta skyddar mot manipulering av loggar som kan behövas vid analyser efter en incident.

Är datan krypterad?

Ja, all data krypteras med AES256 i vila Kommunikationen mellan appen och dess användare är krypterad med TLS. Kommunikation mellan applikationens noder och databas är krypterad med TLS. All TLS använder både modernt schiffersystem både för nyckelutbyte samt dataöverföring.

Är datan säkerhetskopierad?

Ja, utöver att alla Event Sourcing innebär en inbyggd backup i datan där ändringar kan spolas tillbaka så tas en backup på hela systemet nattetid. Tack vare detta kan vi selektivt spola tillbaka destruktiva ändringar med liten arbetsinsats, även borttagningar. Funktion av återställning av backup testas och verifieras av utvecklingsteamet på månadsbasis i syntetisk miljö.

Hur säkerställer ni den registrerades rättigheter till sin data?

En registrerad persons uppgifter sparas i ett unikt dokument för den personen. På begäran kan detta objekt hämtas ut, uppdateras eller raderas. Utanför den registrerades egna dokument finns endast personuppgifter som behövs för att uppfylla en specifik funktion i systemet.

Hur säkerställer ni att er applikation är säker?

Våra utvecklare håller sig löpande uppdaterade med god säkerhetspraxis. All implementation är kontrollerad på kodnivå av minst en annan utvecklare innan driftsättning. Säkerhet och drift utvärderas kontinuerligt i enlighet med senaste branschstandard. Vi tillhandahåller utbildning av både utvecklare och medarbetare i projektstyrande roller både löpande och i särskilda insatser. Sådana särskilda insatser kan t.ex. vara gemensamma workshops, eller föreläsningar av och med medarbetare. Alla anställda har en utbildningsfond öronmärkt för vidareutbildning, t.ex. säkerhetskonferenser eller utbildningar.

Hur garanterar ni sekretess av min data?

Alla anställda omfattas av sekretessavtal gentemot arbetsgivare och dess kunders data. Tillgång till kunddata är segmenterad från övrig verksamhet, tillgång till sådan kräver koppling till relevant arbetsuppgift.

Hur håller ni era system uppdaterade?

Vi använder Bahnhof AB som leverantör av driftmiljö. Deras kunniga personal underhåller systemen vår appar kör på, och deras underliggande system. Med automatiska verktyg som upptäcker nya säkerhetspatchar för de bibliotek vi använder får vi regelbundna uppdateringar.

Hur testar ni appen innan ändringar genomförs?

Med en separat stage-miljö med syntetisk data. Där går våra utvecklare och produktspecialister igenom ändringar innan de förs ut till kund. Med epostlistor kan vi uppmärksamma kunden på större förändringar som kan påverka drift under vissa timmar.

Hur testar ni appen innan ändringar genomförs?

Med en separat stage-miljö med syntetisk data. Där går våra utvecklare och produktspecialister igenom ändringar innan de förs ut till kund. Med epostlistor kan vi uppmärksamma kunden på större förändringar som kan påverka drift under vissa timmar.

Hur hanterar ni incidenter, vare sig det gäller säkerhetsrelaterade eller personuppgiftsrelaterade sådana?

Supportteamet kan vid misstanke om incident begära in expertutlåtande från utvecklingskontoret. Utvecklingskontoret agerar enligt dokumenterat flöde kontrollorgan och bedömer, hanterar och vid behov eskalerar inrapporterade incidenter till ledningskontor. Ledning står i kontakt med kundkontakt för att ta emot incidentrapporter.