Våre SaaS-tjenester er bygget på robuste og motstandsdyktige skyplattformer som tilbyr et høyt nivå av sikkerhet og ytelse. Vi bruker sikkerhetsfunksjonalitet i Microsoft Azure for å forbedre sikkerheten til våre tjenester. Grunnlaget for utvalg av tjenester er sikkerhetsstyringen vår basert på ISO 27001/2 og de grunnleggende prinsippene for IKT-sikkerhet fra Nasjonal sikkerhetsmyndighet (NSM).

Plattformsikkerhet
Vi har tatt i bruk "landing zones" i samsvar med Microsofts cloud adoption framework for design av vår skyplattform i Microsoft Azure. Vår tilnærming er basert på "Zero-Trust"-prinsippene og omfatter en kombinasjon av tekniske og organisatoriske tiltak for å levere robuste og sikre tjenester.

Vi bruker Azure sikkerhetstjenester og verktøy for å utføre datakryptering, nøkkelhåndtering, identitets- og tilgangsstyring, logging og overvåking, samt dataflytkontroll og segmentering ved bruk av brannmurer og sikkerhetsgrupper. Vi bruker Infrastructure as Code (IaC) for å sikre at alle endringer blir kontrollert og at det er samsvar mellom faktisk og planlagt konfigurasjon.

Vi følger modellen for delt ansvar, hvor vi er ansvarlige for data, tilgangskontroll, konfigurasjon og sikker bruk av Azure-tjenester og plattformer, mens vår skyleverandør er ansvarlig for sikkerheten til den underliggende skyinfrastrukturen. I tillegg tilrettelegger vi for at våre kunder kan ta sin del av ansvaret for å hindre misbruk og urettmessig tilgang til informasjon.

Databeskyttelse
Vi bruker kryptering for å beskytte dine data i bevegelse og i ro. Vi bruker TLS-protokoller for å sikre kommunikasjonen mellom dine enheter og våre tjenester, og vi krypterer dine data ved bruk av AES-256 (eller tilsvarende) når vi lagrer dataen i alle våre databaser. Krypteringsnøkler lagres og håndteres sikkert i et digitalt hvelv og roteres regelmessig. Se Microsofts beskrivelse av Azure-kryptering for mer informasjon.

Som en multi-tenant tjeneste er det avgjørende for oss å holde data adskilt mellom kunder og forhindre at informasjon lekker fra en kunde til en annen. For dette formålet bruker vi ulike strategier og metoder, inkludert helt separate instanser, separate databaser, separate tabeller eller separate rader. Valget av metode avhenger av konteksten og arten av applikasjonen, men uansett strategi sikrer vi at kundedata er riktig adskilt fra hverandre.

Tilgangskontroll
Vi bruker ulike tilgangskontrollmekanismer for å sikre at kun autoriserte brukere og enheter kan få tilgang til våre tjenester og data. Vi bruker sterk autentisering og krever multifaktorautentisering (MFA) for å få tilgang til våre privilegerte eller administrative grensesnitt. Autorisasjoner gis i henhold til en rollebasert tilgangskontroll (RBAC) oppsett hvor våre brukere og tjenester gis et så begrenset sett med privilegier som mulig og som kreves for å utføre deres oppgave. Privilegert tilgang må forespørres og godkjennes hver gang det aktiveres, og bruken overvåkes for eventuelle avvik.

Nettverkssikkerhet
Vi har satt opp og vedlikeholder vårt nettverk og systemer spesifikt for å forhindre uautorisert eller ondsinnet trafikk, eller redusere skadepotensialet for den. Vi bruker webapplikasjonsbrannmurer (L7) på all innkommende og utgående trafikk og segmenterer og isolerer nettverk og systemer ved bruk av sikkerhetsgrupper. Administrativ tilgang gis gjennom en VPN-tjeneste og er strengt tilgangskontrollert.

Vi sikre protokoller og kryptering for å beskytte data under overføring, og overvåker og analyserer også nettverkstrafikken og aktiviteten for å oppdage og forhindre eventuelle avvik eller angrep.

Applikasjonssikkerhet
Vi bruker en programvareutviklingsmetodikk som inneholder sikkerhetsaktiviteter som en integrert del av våre applikasjoner. Som en del av dette har vi retningslinjer for sikker koding, gjennomfører kodegjennomganger, bruker kodeanalyserverktøy og avhengighetsverifikasjonsverktøy for å forhindre og eliminere eventuelle sårbarheter i vår kode eller i kode vi er avhengige av for våre produkter.

Vi har separate miljøer for utvikling, testing og produksjon for å sikre at utviklings- og testaktiviteter ikke forstyrrer eller forårsaker avbrudd i vårt produksjonsmiljø. Vi bruker CI/CD-pipelines for å bygge, teste og distribuere applikasjoner på en kontrollert måte i hvert av disse miljøene.

Plassering og redundans
Alle våre kundedata lagres i Microsoft-drevne datasentre innenfor EU/EØS. Kundedata og tjenester replikeres til tre separate datasentre i Oslo-regionen (Norway East) som gjør det mulig å levere tjenester i tilfelle ett av datasentrene svikter.

Sikkerhetskopiering og gjenoppretting
For sikkerhetskopier bruker vi Microsofts automatiserte database-sikkerhetskopier. Dette sikrer at kundedata er fullstendig sikkerhetskopiert hver uke, med differensielle sikkerhetskopier hver 12. time og transaksjonsloggsikkerhetskopier hvert 10. minutt. Sikkerhetskopier replikeres og lagres både i Norway East og Norway West, noe som gir geo-redundans og mulighet til å feile over til en annen region.

I tilfelle en sikkerhetshendelse som korrumperer databasene som inneholder kundedata, vil vi gjenopprette alle berørte databaser og applikasjoner fra sikkerhetskopi som en del av vår prosedyre for hendelseshåndtering.

Hendelsesrespons
Vi har etablerte hendelsesresponsprosedyrer for å minimere påvirkningen og gjenopprette normal drift av våre tjenester og data. Som en del av denne prosedyren varsler og informerer vi våre kunder om eventuelle hendelser som kan påvirke deres tjenester eller data, og vi gir dem nødvendig støtte og veiledning. Vi rapporterer også eventuelle hendelser som kan ha juridiske eller regulatoriske implikasjoner, og vi overholder relevante lover og forskrifter.

Bevissthet og opplæring
Vi fremmer og oppmuntrer en kultur for sikkerhetsbevissthet og kompetanse blant våre ansatte. Vi gir regelmessig opplæring og oppdateringer om sikkerhet, trusler, vanlige sårbarheter, og vi deler beste praksis og tips om hvordan man sikrer tjenester og data. Vi har etablert et Security Champions-initiativ for å fremme og prioritere sikker utvikling. Vi oppfordrer også våre ansatte og kunder til å rapportere eventuelle mistenkelige aktiviteter eller hendelser.