EnglishSupportDocsStatusSign upLogga in
EN

Tekniska samt organisatoriska åtgärder

Detta dokument beskriver Elastx åtgärder för att skydda personuppgifter, inklusive åtkomsträttigheter, autentisering, säkerhetskopiering och överföringsprotokoll för data, åtgärder för företagskontinuitet, utbildning för anställda och regelefterlevnad av dataskyddslagar och -förordningar. Dessa åtgärder är implementerade för att skydda mot olika typer av obehörig behandling av personuppgifter. Versionsdatum: 2022-12-28

Syfte, omfattning och användare

Det här övergripande policydokumentet beskriver de tekniska samt organisatoriska åtgärder som Elastx tagit för att skydda behandling av personuppgifter i dess roll som personuppgiftsbiträde, inklusive men inte begränsat till att skydda den mot förstörelse, ändring, oegentlig spridning, obehörig åtkomst och andra typer av obehörig bearbetning.

Denna beskrivning består av följande ISMS-dokument som är en del av Elastxs ISO 27001, 27017 & 27018 (endast intern användning):

  • Informationssäkerhetspolicy
  • Riskbedömnings- och riskbehandlingsmetodik
  • Tillämpliga kontroller (Statement of Applicability)
  • Plan för att mitigera risker
  • Policy för mobilenheter
  • Policy för bring your own device (BYOD)
  • Sekretessavtal
  • Användarpolicy
  • Rättighetspolicy
  • Instruktioner för förvaltning samt underhåll
  • Policy för säker utveckling
  • Säkerhetsklausuler för leverantörer samt partners
  • Instruktioner för hantering av incidenter
  • Instruktioner för företagskontinuitet (BCMS)
  • Plan för företagskontinuitet (BCP)
  • Plan för utbildning av anställda inom säkerhet
  • Instruktioner för hantering av avvikelser
  • Policy för integritet i molnet
  • Policy för säkerhet i molnet
  • Disciplinär policy för anställda
  • Instruktioner för nyanställa, ändring av tjänst samt avslutning anställning.

Säkerhetsåtgärder

Åtgärderna ska anpassas till en lämplig nivå, med beaktande av personuppgifternas känslighetsgrad, de specifika risker som finns, existerande tekniska möjligheter och kostnaderna för att genomföra åtgärderna. Elastx, nedan Personuppgiftbiträdet ska som minimum upprätthålla följande åtgärder:

  1. Säkerställa korrekta åtkomsträttigheter för sina anställda, inklusive väl definierade onboarding- och offboarding-processer för att säkerställa aktuella rättigheter;
  2. Att lämpliga och effektiva autentiseringsprocesser är implementerade och används för att skydda personuppgifter;
  3. Möjliggöra för den personuppgiftansvarige att kunna säkerhetskopiera personuppgifter regelbundet via tjänsterna och att all säkerhetskopierad data är föremål för noggranna säkerhetsåtgärder enligt behov för att skydda tillgängligheten, integriteten och sekretessen av datat;
  4. Att robusta och testade åtgärder för företagskontinuitet finns på plats för att skydda tillgängligheten, integriteten och sekretessen av personuppgiftsansvariges personuppgifter;
  5. Möjliggöra för personuppgiftsansvarige att via tjänsterna säkerställa att personuppgifter överförs säkert där det är nödvändigt att göra det och säkerställa att data som överförs elektroniskt är krypterat enligt branschpraxis;
  6. Personuppgiftsbiträdets anställda ska inte kunna få åtkomst till personuppgifter på distans, till exempel hemifrån eller via sin egen enhet, annat än via en säker elektronisk nätverksanslutning och i enlighet med dess användarpolicy samt rättighetspolicy för åtkomstkontroll. Inga data ska lagras på sådana enheter; och
  7. När personuppgiftsansvarige har gett personuppgiftsbiträdet instruktioner att ta bort data, tas denna bort säkert och med sekretess i enlighet med branschpraxis.
  8. Personuppgiftsbiträdet ska endast tillåta åtkomst till personuppgifterna för sina anställda när den uttryckligen har fått skriftligt instruktion (Personuppgiftsavtal) att göra det av personuppgiftsansvarige och då endast på behov-att-veta-basis. Personuppgiftsbiträdet ska säkerställa att alla anställda som har åtkomst till personuppgifterna har fått adekvat utbildning och riktlinjer för användning av personuppgifter samt även skrivit på personliga sekretessförpliktelser, vilka ska överleva anställningens upphörande och uppsägningen av huvudavtalet.
  9. Med beaktande av behandlingens art ska personuppgiftsbiträdet bistå personuppgfitsansvarige med lämpliga tekniska och organisatoriska åtgärder. Detta för att uppfylla personuppgiftsansvariges förpliktelse gentemot privatperson’s rättigheter enligt tillämplig lag.
  10. Personuppgiftsbiträdet ska följa eventuella beslut från en behörig myndighet som har tolkningsföreträde över personuppgiftsbiträde eller personuppgiftsansvarige. Personuppgiftsbiträdet ska också tillåta att behörig myndighet genomför inspektion av behandlingen enligt Personuppgiftsbiträdesavtal.