Gå til innhold
Lukk
Be om en demo
Logg inn
Logg inn
Be om en demo
Logg inn

Sikkerhetstiltak

itslearning har implementert sikkerhetstiltakene som er beskrevet i dette vedlegget, både organisatoriske og tekniske tiltak, i samsvar med bransjestandarder.

itslearning kan oppdatere eller endre slike sikkerhetstiltak fra tid til annen, forutsatt at slike oppdateringer og endringer ikke fører til en forringelse av tjenestenes generelle sikkerhet.

 

Organisatoriske tiltak

Ledelsen på itslearning har vært aktivt involvert i utviklingen av en informasjonssikkerhetskultur i selskapet gjennom et løpende bevisstgjøringsprogram, og har en ledelsesstruktur på plass for å styre implementeringen av informasjonssikkerhet i tjenestene med klare roller og ansvarsområder i organisasjonen.

 

Driftsledelse

Det finnes flere prosesser og retningslinjer for beste praksis i bransjen for å sikre best mulig konfidensialitet, tilgjengelighet og integritet på plattformen. Disse retningslinjene er basert på strenge krav på en rekke områder, for eksempel

  • Informasjonssikkerhet
  • Sikkerhet i vertsmiljøet
  • Tredjeparts tilgang
  • Kapasitetskontroll
  • Endringsledelse
  • Sikkerhetskopiering og gjenoppretting
  • Tilgangskontroll
  • Dokumentasjon
  • Logging og overvåking
  • Respons på hendelser
  • Håndtering av utgivelser

 

Sikkerhetsteam

itslearning har et team av sikkerhetseksperter som er ansvarlige for organisasjonens overordnede informasjonssikkerhet. Deres rolle omfatter blant annet ansvar for

  • Koordinering av sikkerhetsrelaterte oppgaver
  • Sikre bedriftens miljø, nettverk og enheter
  • Sikkerhet i applikasjonen (intern penetrasjonstesting og applikasjonsrevisjoner)
  • Overvåking og logging
  • Prosess- og policystyring (katastrofegjenoppretting, sti-styring osv.)
  • Opplæring og utdanning av ansatte innen informasjonssikkerhet.
  • Koordinere tredjeparts sikkerhetsrevisjoner og følge opp eventuelle funn.
  • Gjennomgang av kode for å avdekke potensielle sikkerhetsproblemer.

 

Roller og ansvarsområder

Alle ansatte har klare roller i selskapet og får kun tilgang til data som er nødvendige for deres spesifikke rolle. Et begrenset antall ansatte har administrativ tilgang til produksjonsmiljøet vårt, og rettighetene deres er strengt regulert og gjennomgås med faste intervaller. Alle større endringer i applikasjonen, miljøet eller maskinvaren i produksjonsmiljøet verifiseres alltid av minst to personer.

 

Personell sikkerhet

Alle ansatte på itslearning er pålagt å inngå en streng konfidensialitetsavtale. Alle ansatte er pålagt å følge bedriftens retningslinjer for konfidensialitet, forretningsetikk og profesjonelle standarder. Ansatte som er involvert i sikring, håndtering og behandling av kundedata, må gjennomføre opplæring som er tilpasset deres rolle.

 

Tilgangskontroll

Det stilles strenge krav til alle ansatte, innleide konsulenter eller tredjeparter som ber om tilgang til itslearning informasjonssystemer. Tilgangskontrollen styres av et autentiseringssystem. Brukeren er pålagt å:

  • ha ledelsens godkjenning for den forespurte tilgangen
  • Ha sterke passord som er i samsvar med bedriftens passordpolicy.
  • Bytt passord med jevne mellomrom
  • Dokumentere at den forespurte tilgangen er nødvendig for den spesifikke rollen/oppgaven.
  • Sørg for at enheten (PC, nettbrett, mobiltelefon) som brukes, er tilstrekkelig sikret og låst når brukeren ikke er til stede.

 

itslearning bruker automatisk midlertidig sperring av brukerterminalen hvis den ikke brukes.

Interne prosesser og retningslinjer for datatilgang er utformet for å forhindre at uautoriserte personer og/eller systemer får tilgang til systemer som brukes til å behandle personopplysninger. Alle endringer i data logges for å skape et revisjonsspor for etterprøvbarhet.

 

Fysisk sikkerhet

  • Datasentre
    itslearning driver alle sine kundetjenester fra datasentre som er atskilt fra bedriftens kontorlokaler. Tilgangen til datasentrene er strengt kontrollert og beskyttet for å redusere sannsynligheten for uautorisert tilgang, brann, oversvømmelse eller annen skade på det fysiske miljøet. Fysisk tilgang til datasentrene er begrenset til et lite antall ansatte i itslearning og/eller hos leverandørene av hostingsentre. Strenge sikkerhetsklareringer er påkrevd og må godkjennes av sikkerhetsledelsen før man får adgang til et datasenter.

  • Kontorarbeidsplass
    Alle kontorarbeidsplassene på itslearning er beskyttet av adgangskontroll. Kun inviterte besøkende og ansatte har tilgang til itslearnings arbeidsplass. Det er iverksatt flere tiltak for å unngå sikkerhetsproblemer på grunn av tyveri eller tap av datautstyr. Dette omfatter sikkerhetsretningslinjer og retningslinjer for akseptabel bruk, autentiseringssystemer og kryptering av lagringsenheter der det er aktuelt.

 

Tekniske tiltak - Systemtilgjengelighet

itslearning har implementert bransjestandardiserte tiltak for å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap, inkludert:

  • Redundans i infrastrukturen (inkludert full redundans i nettverk, strøm, kjøling, database, server og lagring).
  • sikkerhetskopien lagres på et alternativt sted og er tilgjengelig for gjenoppretting dersom det primære systemet skulle svikte.
  • passende beskyttelse mot tjenestenekt
  • Personell på vakt 365/24/7 for overvåking og feilsøking

 

Personvern

itslearning har implementert en rekke bransjestandardtiltak for å forhindre at personopplysningene leses, kopieres, endres eller slettes av uvedkommende under transport eller i hvile. Dette oppnås ved hjelp av ulike bransjestandardiserte tiltak, inkludert:

  • Bruk av lagdelte brannmurer, VPN-er og krypteringsteknologier for å beskytte gatewayer og rørledninger.
  • HTTPS-kryptering (også kalt SSL- eller TLS-tilkobling) med sikre kryptografiske nøkler.
  • Ekstern tilgang til datasentre er beskyttet med en rekke lag med nettverkssikkerhet.
  • Særskilt sensitive kundedata i ro er beskyttet med kryptering og/eller hashing (pseudonymisering).
  • Hver disk som tas ut av drift, gjennomgår en slettingsprosess i henhold til våre retningslinjer for sletting av disker, og uttaket logges med diskens serienummer.
  • Regelmessige sikkerhetsrevisjoner fra tredjepart (minst én gang i året), inkludert penetrasjonstesting, som gjøres tilgjengelig for kundene.

 

Datasentre

itslearning bruker kun toppmoderne datasentre med sikkerhet og overvåkning på stedet 365/24/7. Datasentrene er plassert i moderne, brannsikre lokaler som krever elektronisk nøkkelkorttilgang, med alarmer som er koblet til sikkerhetsoperasjonen på stedet. Det er kun autoriserte ansatte og leverandører som kan be om elektronisk nøkkelkorttilgang til disse fasilitetene.

 

Systemutvikling

itslearningPlattformen er basert på bransjestandardteknologi fra kjente leverandører, blant annet Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 og Cisco. Systemene oppdateres jevnlig til siste versjon for å sikre at de nyeste sikkerhetsforbedringene tas i bruk. Plattformen oppdateres generelt flere ganger i kvartalet, og feilrettinger frigjøres raskt basert på prioritet og etter strenge kvalitetskontroller.

itslearning har tiltak på plass for å minimere risikoen for å innføre kode i plattformen som kan svekke sikkerheten eller integriteten til kundetjenestene og personopplysningene som behandles. Tiltakene omfatter blant annet

  • Regelmessig opplæring av personalet
  • Kodegjennomgang av sikkerhetsarkitekter
  • QA-prosess for grundig testing av endringer før distribusjon

 

Sikkerhet for underprosessorer

Ved oppstart av underdatabehandlere utfører itslearning en revisjon av underdatabehandlernes sikkerhets- og personvernpraksis for å sikre at underdatabehandlerne tilbyr et sikkerhets- og personvernnivå som er tilpasset deres tilgang til data og omfanget av tjenestene de er engasjert til å levere. itslearning utfører regelmessige sikkerhetsrevisjoner av praksis og leveranse for eksisterende underdatabehandlere.

GDPR og itslearning