Styring, risiko og samsvar

SuperOffice er svært opptatt av personvern, sikkerhet og åpenhet. Denne delen beskriver SuperOffices styringsmodell samt retningslinjene og prosedyrene som bidrar til å sikre at alle ansatte samarbeider for å oppnå målene for personvern, sikkerhet og åpenhet.

Styring i SuperOffice

SuperOffice Quality Management System (SQS) er utviklet med utgangspunkt i ISO-standarder og GRC-prinsippet – styring + risikostyring + samsvar (governance + risk management + compliance).

Prosessene som er etablert og som gjennomføres av styret i SuperOffice, gjenspeiles i organisasjonens struktur og i måten den ledes på på veien mot målene.

For øyeblikket omfatter SuperOffice SQS styringssystemet for informasjonssikkerhet for alle interne systemer og for de skybaserte SuperOffice CRM Online-tjenestene som tilbys kundene. Videre dekker SQS alle personvernrelaterte prosesser som er påbudt av personvernforordningen (GDPR).

Etiske retningslinjer for SuperOffice

I SuperOffice er vi svært opptatt av å etterleve, praktisere og opprettholde en høy moralsk standard. Vi tror på styrken i relasjoner og på hvordan vi som selskap kan samarbeide med alle relevante interessenter for å skape et sunt miljø for våre medarbeidere, kunder, partnere, eiere, leverandører og alle andre relevante forretningsforbindelser. Som en del av dette arbeidet har vi utarbeidet to separate dokumenter som ikke bare beskriver våre forventninger, men også våre krav til hvordan enkeltpersoner, bedrifter og andre skal opptre når de gjør forretninger med SuperOffice. Dette inkluderer selvfølgelig oss selv og alle ansatte i selskapet vårt. De etiske retningslinjene er utarbeidet av selskapets bærekraftskomité i samarbeid med konsernledelsen og er verifisert av vår revisjonspartner PWC.

Klikk her for å laste ned og lese de etiske retningslinjene.

Risikostyring

Vi har implementert en generell risikovurdering av informasjonsobjekter, og denne risikovurderingen oppdateres en gang i året.  Tilnærmingen til sikkerhet er basert på risikovurderinger i henhold til artikkel 24 i EUs personvernforordning (GDPR) og IKT-regelverket § 3.

Risikostyring er et sett med prosesser som SuperOffice-ledelsen bruker til å identifisere, analysere og reagere på risiko som kan ha en negativ effekt på realiseringen av organisasjonens forretningsmål.  Reaksjonen på risiko avhenger typisk av risikoens antatte alvorlighetsgrad og går ut på å kontrollere, unngå, godta eller overføre den til en tredjepart.

Vi håndterer en rekke former for risiko: teknologisk risiko, risiko knyttet til informasjonssikkerhet, kommersiell/økonomisk risiko og selvsagt ekstern risiko knyttet til etterlevelse av lover og regler.

Klassifisering og kontroll av informasjon

Det er viktig at det ikke oppstår konfidensialitetsbrudd, eller at integriteten til informasjonen er mangelfull. Dermed er det viktig at vi beskytter informasjonen med utgangspunkt i hvor kritisk den er, og all den viktigste informasjonen registreres og tildeles en utpekt eier.

Informasjonen klassifiseres også for å gjøre det mulig å ta i bruk nødvendige og hensiktsmessige sikkerhetskontroller. Informasjonseieren er ansvarlig for vedlikehold og kontinuerlig gjennomføring av godkjente og hensiktsmessige kontroller og forbedringer.

Tredjeparts tilgang til data

All informasjon som lagres i SuperOffice CRM Online, behandles som konfidensiell og blir ikke offentliggjort eller solgt til noen tredjepart. Informasjonen lagres på en sikker måte og er bare tilgjengelig for kundene og for klarert SuperOffice-personell i forbindelse med administrasjon av området.

Samsvar

SuperOffice følger de lovfestede kravene som EU vedtok i Europaparlaments- og rådsforordning (2016/679) av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning). Alle SuperOffice-data lagres i EU/EØS. I tilfelle SuperOffice velger å bruke underleverandører utenfor EU /EØS, må slik tilhørende databehandling- være i samsvar med EU’s til enhver tids gjeldende lovverk for overføring av personopplysninger til tredjeland.

Avtaler om databehandling

En databehandleravtale inngås mellom SuperOffice og kunden når SuperOffice CRM Online-avtalen signeres. Formålet med denne avtalen er å regulere SuperOffices behandling av personopplysninger på vegne av kunden som bruker SuperOffice CRM Online. Delavtaler om databehandling inngås mellom SuperOffice og underdatabehandlere samt App Store-partnere.

Sikker lagring (ISO 27001)

Data som lagres i SuperOffice CRM Online, beskyttes av et ISO 27001-sertifisert styringssystem for informasjonssikkerhet. Disse ISO-standardene er beste praksis internasjonalt når det gjelder informasjonssikkerhet. Det er grunnen til at GDPR anbefaler ISO 27001-sertifisering – en slik sertifisering viser at informasjonssikkerheten tas på alvor på alle nivåer i organisasjonen.

SuperOffices eksterne sikkerhetskonsulenter kontrollerer sikkerhetsretningslinjene og tester forsvars- og sikkerhetskontrollene med jevne mellomrom. Sammen med driftspartnerne våre er vi svært opptatt av å beskytte all informasjonen i SuperOffice CRM Online.

Revisjoner og ISAE 3402

Kunden har rett til å utføre regelmessige sikkerhetsrevisjoner, -kontroller og -inspeksjoner. Revisjonene kan innebære en gjennomgang av de viktigste rutinene, stikkprøvetaking, omfattende kontroller på stedet og andre hensiktsmessige kontroller. Partene må dekke sine egne kostnader tilknyttet slike revisjoner, kontroller og inspeksjoner. Kunden må engasjere en berettiget og sertifisert tredjepart til å utføre slike revisjoner.

SuperOffice/Visma ITC som underleverandør, utfører tredjeparts sikkerhetsrevisjoner årlig. Formålet med slike revisjoner er å vise at de tekniske og organisatoriske sikkerhetstiltakene som SuperOffice bruker, er tilstrekkelige. Rapporter om den årlige revisjonen som er basert på ISAE 3402 og utføres av Ernst & Young (EY), er tilgjengelige for kundene på forespørsel.

SuperOffice som behandlingsansvarlig (eng. Controller) utfører løpende revisjoner, kontroller og inspeksjoner utført av en sertifisert, nøytral tredjepart. Rapporter om halvårlig revisjoner gjøres tilgjengelig for kundene på forespørsel.

Sikker produktutvikling

SuperOffice utvikler programvare med utgangspunkt i prinsippene for innebygd sikkerhet og innebygd personvern. Alle programkoder utvikles med et ende-til-ende-fokus på sikkerhet og personvern. Nye versjoner testes av dedikert testpersonell og er også gjenstand for omfattende ekstern testing (beta-/pilottesting).

SuperOffice utfører ulike tester, som funksjons-, integrasjons-, ytelses- og belastnings-/stresstester. Både automatisert og manuell testing benyttes.

Alle systemene som utvikles for SuperOffice, har klare sikkerhetskrav, inkludert valideringen av data, ivaretakelse av kodens sikkerhet før produksjonssetting og bruk av kryptografi. Strukturerte metoder som agile og scrum osv. brukes for å kontrollere alle deler av utviklingsprosessen.

Alle endringer i produksjonsmiljøet følger rådende prosedyrer. Alle endringer, som feilrettinger og nye lanseringer, testes i dedikerte test- og utviklingsmiljøer før de settes i produksjon. Uavhengig testpersonell tester regelmessig ny funksjonalitet.

I tillegg blir all programvare testet og formelt godkjent av en intern eier og operatør før den overføres til produksjonsmiljøet.

Før nye endringer settes i produksjon, blir en trussel- og risikovurdering, en sikkerhetsgjennomgang av koden og penetreringstester systematisk utført og dokumentert. Hvis det ikke blir oppdaget noen sikkerhetsproblemer, implementeres de nye funksjonene i den eksisterende SuperOffice-applikasjonen.

SuperOffice AS har inngått samarbeid med en uavhengig sikkerhetsrådgiver, Watchcom AS, med det formål å utvikle sikre applikasjoner og tjenester.

Watchcom bistår SuperOffice med sikkerhetsvurderinger, sikkerhetstesting av applikasjoner, penetreringstesting og konsulenttjenester. Watchcom jobber med utgangspunkt i internasjonale sikkerhetsstandarder som ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP og WASC. Disse standardene er grunnlaget for alt arbeid og alle rapporter som leveres til SuperOffice.

Exitplan

Når kundens abonnement på SuperOffice CRM Online-tjenestene sies opp eller utløper, vil kontoen bli deaktivert og ikke lenger være tilgjengelig. Når avtalen sies opp, vil de av kundens brukere som har administratortilgang, og som prøver å logge på, videresendes til en side der de kan laste ned alle dataene som tilhører kunden. Disse dataene vil være i et generelt filformat. Dataene vil være tilgjengelig for nedlasting i 30 dager fra avtalen sies opp. Etter 30 dager vil alle data som tilhører kunden, bli fjernet fra SuperOffices servere og datasentre. Sikkerhetskopier vil være tilgjengelige i henhold til sikkerhetskopieringsprosedyrene.

Har du et spørsmål?

Hvis du har spørsmål som du ikke finner svar på her, er du velkommen til å kontakte oss.