Hopp til innhold
Lukk
Be om en demo
Logg inn
Logg inn
Be om en demo
Logg inn

Sikkerhetstiltak

itslearning har implementert de sikkerhetstiltakene som er beskrevet i dette vedlegget, både organisatoriske og tekniske tiltak, i samsvar med bransjestandarder.

itslearning kan oppdatere eller endre slike sikkerhetstiltak fra tid til annen, forutsatt at slike oppdateringer og endringer ikke fører til en forringelse av den generelle sikkerheten til tjenestene.

 

Organisatoriske tiltak

Ledelsen på itslearning har vært aktivt involvert i å utvikle en kultur for informasjonssikkerhet i selskapet gjennom et pågående bevisstgjøringsprogram, og har en ledelsesstruktur på plass for å styre implementeringen av informasjonssikkerhet i tjenestene med klare roller og ansvarsområder i organisasjonen.

 

Driftsledelse

Det finnes flere prosesser og retningslinjer for beste praksis i bransjen for å sikre best mulig konfidensialitet, tilgjengelighet og integritet på plattformen. Disse retningslinjene er bygget opp rundt strenge krav på en rekke områder, for eksempel

  • Informasjonssikkerhet
  • Sikkerhet i vertsmiljøet
  • Tredjeparts tilgang
  • Kapasitetskontroll
  • Endringsledelse
  • Sikkerhetskopiering og gjenoppretting
  • Adgangskontroll
  • Dokumentasjon
  • Logging og overvåking
  • Respons på hendelser
  • Administrasjon av utgivelser

 

Sikkerhetsteam

itslearning har et team av sikkerhetseksperter som er ansvarlige for den overordnede informasjonssikkerheten i organisasjonen. Deres rolle inkluderer ansvar for;

  • Koordinering av sikkerhetsrelaterte oppgaver
  • Sikring av bedriftsmiljø, nettverk og enheter
  • Sikkerhet i applikasjonen (intern penetrasjonstesting og revisjon av applikasjonen)
  • Overvåking og logging
  • Prosess- og policystyring (katastrofegjenoppretting, patch management osv.)
  • Opplæring og utdanning av ansatte innen informasjonssikkerhet
  • Koordinerer tredjeparts sikkerhetsrevisjoner og følger opp eventuelle funn
  • Gjennomgang av kode for å avdekke potensielle sikkerhetshull.

 

Roller og ansvarsområder

Alle ansatte har klare roller i selskapet, og får kun tilgang til data som er nødvendig for deres spesifikke rolle. Et begrenset antall ansatte har administrativ tilgang til produksjonsmiljøet vårt, og rettighetene deres er strengt regulert og gjennomgås med bestemte intervaller. Alle større endringer i applikasjonen, miljøet eller maskinvaren i produksjonsmiljøet blir alltid verifisert av minst to personer.

Personellsikkerhet

Alle ansatte på itslearning må inngå en streng taushetserklæring. Alle ansatte må følge selskapets retningslinjer for konfidensialitet, forretningsetikk og profesjonelle standarder. Ansatte som er involvert i sikring, håndtering og behandling av kundedata, må gjennomføre opplæring som er tilpasset deres rolle.

Adgangskontroll

Det stilles strenge krav til alle ansatte, innleide konsulenter eller tredjeparter som ber om tilgang til itslearning informasjonssystemer. Tilgangskontrollen styres av et autentiseringssystem. Det kreves at brukeren:

  • ha godkjenning fra ledelsen for den forespurte tilgangen
  • Ha sterke passord som er i samsvar med bedriftens passordpolicy
  • Endre passordet sitt med jevne mellomrom
  • Dokumentere at den forespurte tilgangen er nødvendig for deres spesifikke rolle/oppgave
  • Sørg for at enheten (PC, nettbrett, mobiltelefon) som brukes, er tilstrekkelig sikret og låst når brukeren er fraværende

 

itslearning benytter automatisk midlertidig sperring av brukerterminalen hvis den er inaktiv.

Interne prosesser og retningslinjer for datatilgang er utformet for å hindre at uautoriserte personer og/eller systemer får tilgang til systemer som brukes til å behandle personopplysninger. Alle endringer i data logges for å skape et revisjonsspor for ansvarliggjøring.

 

Fysisk sikkerhet

  • Datasentre
    itslearning driver alle sine kundetjenester fra datasentre som er adskilt fra hovedkontorets arbeidsområde. Tilgangen til datasentrene er strengt kontrollert og beskyttet for å redusere sannsynligheten for uautorisert tilgang, brann, oversvømmelse eller annen skade på det fysiske miljøet. Fysisk tilgang til datasentrene er begrenset til et lite antall ansatte i itslearning og/eller leverandørene av hostingsentre. Det kreves strenge sikkerhetsklareringer, og disse må godkjennes av sikkerhetsledelsen før man får adgang til et datasenter.

  • Kontorarbeidsplass
    Alle kontorarbeidsplassenepå itslearning er beskyttet av adgangskontroll. Bare inviterte besøkende og ansatte har tilgang til arbeidsområdet itslearning . Flere tiltak er iverksatt for å unngå sikkerhetsproblemer som følge av tyveri eller tap av datautstyr. Dette omfatter sikkerhetsretningslinjer og retningslinjer for akseptabel bruk, autentiseringssystemer og kryptering av lagringsenheter når det er aktuelt.

 

Tekniske tiltak - Systemtilgjengelighet

itslearning har implementert bransjestandardtiltak for å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap, inkludert:

  • infrastrukturredundans (inkludert full redundans for nettverk, strøm, kjøling, database, server og lagring)
  • sikkerhetskopien lagres på et alternativt sted og er tilgjengelig for gjenoppretting i tilfelle feil i det primære systemet.
  • passende beskyttelse mot tjenestenekt
  • 365/24/7-personell på vakt for å overvåke og feilsøke

 

Beskyttelse av personopplysninger

itslearning har iverksatt en rekke standardtiltak for å hindre at personopplysningene kan leses, kopieres, endres eller slettes av uvedkommende under transport eller i ro.

Dette oppnås ved hjelp av ulike bransjestandardtiltak, blant annet

  • Bruk av lagdelte brannmurer, VPN-er og krypteringsteknologier for å beskytte gatewayer og rørledninger
  • HTTPS-kryptering (også kalt SSL- eller TLS-tilkobling) med sikre kryptografiske nøkler
  • Ekstern tilgang til datasentre er beskyttet med en rekke lag av nettverkssikkerhet
  • Særlig sensitive kundedata i hviletilstand beskyttes ved hjelp av kryptering og/eller hashing (pseudonymisering)
  • Alle disker som tas ut av drift, gjennomgår en sletteprosess i henhold til våre "Retningslinjer for sletting av disker", og utfasingen logges med diskens serienummer
  • Regelmessige sikkerhetsrevisjoner fra tredjepart (minst en gang i året), inkludert penetrasjonstesting, som gjøres tilgjengelig for kundene

 

Datasentre

itslearning bruker kun toppmoderne datasentre, med sikkerhet og overvåking på stedet 365/24/7. Datasentrene er plassert i moderne, brannsikre lokaler som krever elektronisk adgang med nøkkelkort, med alarmer som er koblet til sikkerhetsoperasjonen på stedet. Det er kun autoriserte medarbeidere og underleverandører som kan be om elektronisk nøkkelkorttilgang til disse fasilitetene.

 

Systemutvikling

itslearning -plattformen er basert på bransjestandardteknologier fra velkjente leverandører, inkludert Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 og Cisco. Systemene oppdateres jevnlig til den nyeste versjonen for å sikre at de nyeste sikkerhetsforbedringene blir tatt i bruk. Plattformen oppdateres generelt flere ganger i kvartalet, og feilrettinger lanseres raskt basert på prioritet og etter grundige kvalitetskontroller.

itslearning har tiltak på plass for å minimere risikoen for å introdusere kode i plattformen som kan forringe sikkerheten eller integriteten til kundetjenestene og personopplysningene som behandles.

Tiltakene inkluderer:

  • Regelmessig opplæring av personalet
  • Kodegjennomgang av sikkerhetsarkitekter
  • QA-prosess for grundig testing av endringer før distribusjon

 

Sikkerhet for underprosessorer

Når itslearning tar i bruk underdatabehandlere, gjennomfører en revisjon av underdatabehandlernes sikkerhets- og personvernpraksis for å sikre at underdatabehandlerne tilbyr et sikkerhets- og personvernnivå som er tilpasset deres tilgang til data og omfanget av tjenestene de er engasjert for å levere. itslearning gjennomfører regelmessige sikkerhetsrevisjoner av praksis og leveranser for eksisterende underdatabehandlere.

GDPR og itslearning