Trust Center

Question 1

Vilka certifieringar har Elastx?

Accepted Answer

Vi är certifierade enligt ISO/IEC 27001:2022 för informationssäkerhet och tillämpar samtliga kontroller i standarden på hela vår verksamhet. Vi innehar även ISO/IEC 27017 (molnsäkerhet) och ISO/IEC 27018 (skydd av personuppgifter i molnet) samt ISO 14001:2015 (miljöledning). Certifikaten finns tillgängliga för nedladdning.

Question 2

Genomför ni en oberoende revision av typen SOC 2?

Accepted Answer

ISO/IEC 27001 är vårt primära ramverk för informationssäkerhet. Vi genomför också en oberoende revision av typen ISAE 3000 Type II, som är den internationella motsvarigheten till SOC 2 Type II.

Question 3

Hur ofta granskas Elastx externt, och kan vi ta del av rapporterna?

Accepted Answer

Vi genomför externrevision av vårt ISO/IEC 27001- och ISO 14001-ledningssystem en gång per år, och säkerhetsgranskningar och penetrationstester genomförs återkommande under året. Det senaste året har detta omfattat en externrevision av ISO/IEC 27001:2022 samt säkerhetsgranskningar av vår Cloud Console med tillhörande API:er. Våra certifikat finns för nedladdning, och sammanfattningar kan delas med kunder på begäran.

Question 4

Genomför ni internrevisioner?

Accepted Answer

Ja. Vi genomför internrevision en gång per år enligt en revisionsplan. Ledningen utser två medarbetare som granskar evidens och intervjuar ägarna till kontrollerna. Utfallet rapporteras till ledningen och eventuella avvikelser registreras för åtgärd. Oberoende säkring av vårt ledningssystem kommer dessutom från vår externa ISAE 3000-revision och våra ISO-certifieringar.

Question 5

Genomför ni tekniska efterlevnadsgranskningar?

Accepted Answer

Ja. Informationssystem granskas regelbundet mot våra informationssäkerhetspolicyer och standarder, både genom automatiserad kontroll av konfiguration och säkra baslinjer och genom återkommande tekniska revisioner, till exempel sårbarhetsanalyser och penetrationstester. Avvikelser dokumenteras och följs till åtgärd.

Question 6

Vad innebär digital suveränitet hos Elastx?

Accepted Answer

Vår grund är helsvensk digital infrastruktur under uteslutande svensk och europeisk jurisdiktion. Elastx är ett svenskt bolag med svenska ägare och bakgrundskontrollerad personal som är EU-medborgare, och er data på plattformen stannar inom Sveriges gränser. Vi äger och driftar vår egen hårdvara, och endast Elastx personal administrerar plattformen. Vi bygger på öppna standarder och öppen källkod. Eftersom vi inte har koncernkoppling utanför Sverige är vi inte föremål för tredjelands lagstiftning, som amerikansk CLOUD Act och FISA eller motsvarande lagstiftning i andra länder. Det ger er kontroll över var er data lagras, vem som kan komma åt den och möjligheten att flytta den när ni vill.

Question 7

Är era tjänster fria från utländsk lagstiftning som CLOUD Act?

Accepted Answer

Ja. Som svenskt bolag utan koncernkoppling utanför Sverige omfattas vi inte av tredjelands lagstiftning, varken amerikansk CLOUD Act och FISA eller motsvarande lagstiftning i andra länder. Er data är därmed inte föremål för utländska tvångsutlämnanden. Enligt GDPR artikel 48 får dessutom en dom eller ett myndighetsbeslut från ett tredjeland inte erkännas som grund för att lämna ut personuppgifter annat än med stöd av ett internationellt avtal.

Question 8

Hur ser er exitstrategi ut om vi vill flytta?

Accepted Answer

Målet är att ni aldrig ska känna er inlåsta. Vi bygger på öppna standarder och öppen källkod (bland annat OpenStack och Kubernetes), vilket gör att ni kan flytta era applikationer och data till en annan miljö. Ni kan exportera er data inför ett avslut, och vi tillämpar inga tvingande bindningstider, i linje med EU:s Data Act.

Question 9

Hur arbetar Elastx löpande med efterlevnad?

Accepted Answer

Vi har ett Compliance-team som träffas varannan vecka och där ledningen är representerad. Arbetet sker strukturerat och spårbart, från krav via policy och instruktion till hur kontrollen fungerar i praktiken. Varje kontroll har en utsedd ägare som ansvarar för hela kedjan och som intervjuas vid interna och externa granskningar.

Question 10

Hur involveras ledningen i informationssäkerheten?

Accepted Answer

Ledningen går igenom vårt ledningssystem kvartalsvis för att utvärdera att det är relevant och fungerande. Genomgången utgår från eventuella händelser sedan föregående tillfälle, inklusive risker, avvikelser och incidenter. Det säkerhetsarbete vi bedriver och våra väsentliga risker rapporteras dessutom på styrelsenivå.

Question 11

Vilka lagar och regelverk följer ni?

Accepted Answer

Utöver ISO-standarderna följer vi svenska och europeiska lagar och regler, bland annat Cybersäkerhetslagen (NIS2), GDPR, Data Act och AI Act.

Question 12

Hur hanterar ni avvikelser?

Accepted Answer

Avvikelser fångas upp systematiskt genom interna och externa revisioner, tekniska efterlevnadsgranskningar och löpande i det dagliga arbetet. Varje avvikelse registreras centralt för spårbarhet och utvärderas för att fastställa grundorsaken. Den tilldelas en kontroll- eller processägare som ansvarar för att ta fram och genomföra en åtgärd, och framdriften följs upp regelbundet och rapporteras till ledningen vid de kvartalsvisa genomgångarna.

Question 13

Hur säkerställer ni säkerhetsmedvetenhet hos personalen?

Accepted Answer

All personal, inklusive ledning, genomgår obligatorisk och återkommande utbildning i informationssäkerhet, dataskydd och ansvarsfull användning av AI, och ny personal utbildas innan systembehörighet tilldelas. Vi förstärker säkerhetskulturen löpande, bland annat med återkommande nätfiskesimuleringar, externa penetrationstester och löpande intern delning av sårbarhetsinformation. Vi kräver i avtal att underleverantörer upprätthåller strikt säkerhetsmedvetenhet hos sin egen personal och följer relevanta regelverk och säkerhetskrav.

Question 14

Hur styr ni IT-strategin?

Accepted Answer

Styrelse och ledning fastställer IT-strategin utifrån verksamhetens mål, säkerhetskrav och branschstandarder, och följer upp och omprövar den regelbundet så att tjänsterna levereras säkert både nu och framåt. Kunder kan påverka prioriteringen av nya tjänster och funktioner genom dialog med oss.

Question 15

Hur fördelas säkerhetsansvaret mellan er och oss (delat ansvar)?

Accepted Answer

Vi tillämpar en delad ansvarsmodell. Elastx ansvarar för säkerheten i den underliggande infrastrukturen - fysisk säkerhet i datacentren, hypervisor- och nätverksisolering, plattformens tillgänglighet och grundläggande härdning. Ni ansvarar för säkerheten i det ni bygger ovanpå plattformen: era applikationer, data, identiteter, konfigurationer och säkerhetskopiering av er data. Modellen gäller både för infrastrukturtjänster (IaaS) och containertjänster (CaaS), och en detaljerad ansvarsmatris finns i vår molnsäkerhetspolicy (ISO/IEC 27017) och kan delas på begäran.

Question 16

Organisationsschema och ansvarsmodell

Accepted Answer

Vi har ett tydligt definierat och dokumenterat organisationsschema med avgränsade ansvarsområden som är väl kommunicerade och förstådda i organisationen.

Question 17

Hur delar ni upp arbetsuppgifter och ansvar?

Accepted Answer

Arbetsuppgifter och ansvarsområden som är oförenliga, det vill säga som inte bör utföras av en och samma person, hålls åtskilda. Ett exempel är att den som utför en känslig åtgärd inte också ensam ska kunna godkänna den. Det minskar risken för obehöriga eller oavsiktliga ändringar och för missbruk av tillgångar.

Question 18

Dokumenterad struktur för policyer, processer och rutiner

Accepted Answer

Policyer definieras, dokumenteras och kommuniceras för att möta verksamhetens krav och tydliggöra ansvar för arbetssätt, processer och rutiner. Vi använder ett GRC-verktyg för att dokumentera, strukturera, kommunicera och följa upp ramverket.

Question 19

Hur är roller och ansvar för informationssäkerhet fördelade?

Accepted Answer

Säkerhetsarbetet är systematiskt organiserat med tydligt definierade och dokumenterade roller och ansvar. Varje kontroll och säkerhetsområde har en utsedd ägare, arbetet samordnas av vår Compliance-grupp, och det yttersta ansvaret ligger hos VD. Det gör att uppgifter inte faller mellan stolarna och att det alltid är tydligt vem som svarar för en viss fråga.

Question 20

Vilka informationssäkerhetspolicyer har ni?

Accepted Answer

Vi har ett sammanhängande ramverk av policyer som godkänns av ledningen och kommuniceras till medarbetare och relevanta externa parter. Det omfattar bland annat en övergripande informationssäkerhetspolicy, molnsäkerhetspolicy (ISO/IEC 27017), åtkomststyrningspolicy, policy för sårbarhetshantering, backup- och kontinuitetspolicy, policy för säker utveckling samt policy för AI-etik och AI-styrning. Den publika versionen av informationssäkerhetspolicyn finns för nedladdning.

Question 21

Hur ofta granskas era informationssäkerhetspolicyer?

Accepted Answer

Policyerna granskas minst en gång per år och dessutom vid väsentliga förändringar, till exempel nya hot, ny lagstiftning eller större förändringar i verksamheten. Varje policy har en ägare som ansvarar för översynen, och ändringar godkänns av ledningen innan de publiceras.

Question 22

Vad omfattar era dokumenterade driftrutiner?

Accepted Answer

Återkommande driftmoment dokumenteras som rutiner och görs tillgängliga för dem som behöver dem. Det gäller till exempel drift och övervakning av plattformen, säkerhetskopiering och återställning, patchning och förändringshantering samt hantering av incidenter. Dokumentationen gör att arbetet utförs likformigt och säkert oberoende av enskilda personer.

Question 23

Efterlevnad av säkerhetspolicyer och standarder

Accepted Answer

Chefer utvärderar regelbundet att informationsbehandling och rutiner inom sina ansvarsområden efterlever relevanta säkerhetspolicyer och standarder.

Question 24

Ledningens ansvar

Accepted Answer

Ledningen tydliggör kraven på uppförandekod (Code of Conduct), integritet och informationssäkerhet genom tydlig kommunikation, och medarbetare och konsulter bekräftar återkommande att de läst och förstått gällande policyer och rutiner. All personal är bakgrundskontrollerad, och kontrollen upprepas årligen för roller med åtkomst till kunddata.

Question 25

Omfattas ni av Cybersäkerhetslagen?

Accepted Answer

Ja. Vi omfattas av Cybersäkerhetslagen (2025:1506), som genomför NIS2-direktivet och trädde i kraft den 15 januari 2026. Vi omfattas som leverantör av samhällsviktig och kritisk infrastruktur, bland annat genom införlivandet av CER-direktivet, och som leverantör av molntjänster, datacentertjänster och CDN. PTS är tillsynsmyndighet för digital infrastruktur, och Myndigheten för Civilt Försvar (MCF) är nationell samordningsmyndighet och mottagare av incidentrapporter. Vi uppfyller lagens krav på säkerhetsåtgärder, ledningens ansvar, utbildning och incidentrapportering. Kontroll av underleverantörer och leverantörskedjan är en central del av kraven.

Question 26

Kan ni teckna säkerhetsskyddsavtal (SUA)?

Accepted Answer

För säkerhetskänsliga kunder, till exempel inom offentlig sektor, kan vi vid behov ingå säkerhetsskyddsavtal (SUA) enligt säkerhetsskyddslagen (2018:585). Ett sådant avtal anmäls till Säkerhetspolisen.

Question 27

Efterlevnadsprocess

Accepted Answer

Vi har organisation och bevakning för att ha kontroll på nya eller förändrade regelverk, lagar och standarder som är relevanta för tjänsterna. Vi för ett legalt register som spårar efterlevnadskrav, bland annat GDPR, svenska säkerhetslagar, NIS2, DORA och avtalskrav, och håller våra rutiner och kontroller uppdaterade mot det.

Question 28

Hur upprätthåller ni kontakt med myndigheter?

Accepted Answer

Vi har dokumenterade och upprätthållna kontaktvägar till de myndigheter som är relevanta för vår verksamhet, bland annat PTS som tillsynsmyndighet och Myndigheten för Civilt Försvar (MCF) som mottagare av incidentrapporter. Kontakterna gör att vi snabbt kan rapportera incidenter, ta emot vägledning och hålla oss uppdaterade om förändrade krav.

Question 29

Uppfyller ni kraven på tillgänglighet (WCAG och EN 301 549)?

Accepted Answer

Vi följer tillgänglighetskraven enligt tillgänglighetsdirektivet (i Sverige lagen om vissa produkters och tjänsters tillgänglighet, 2023:254) för de av våra digitala gränssnitt som omfattas, i första hand våra publika webbplatser och självbetjäningsgränssnitt. Vi arbetar mot riktlinjerna i WCAG och den europeiska standarden EN 301 549.

Question 30

IKT-riskhantering

Accepted Answer

Vi säkerställer och upprätthåller en adekvat nivå av digital operativ resiliens, och risker inom informations- och kommunikationsteknik (IKT) hanteras inom vår riskhanteringsprocess.

Question 31

Hur rapporterar ni allvarliga IKT-incidenter?

Accepted Answer

Vi har en dokumenterad, kommunicerad och testad process för att rapportera allvarliga IKT-incidenter och cyberhot till kunder och behöriga myndigheter. Rapporteringen följer gällande regler, bland annat Cybersäkerhetslagen (som genomför NIS2) och, för incidenter som rör finansiella entiteter vi levererar till, DORA. Vid en betydande incident tillämpar vi NIS2-modellen: tidig förvarning inom 24 timmar, incidentrapport inom 72 timmar och slutrapport senast en månad därefter.

Question 32

Test av digital operativ resiliens

Accepted Answer

Vi genomför återkommande tester av vår resiliens. Penetrationstester utförs av oberoende extern part, medan kontinuitetsövningar genomförs internt. Tester dokumenteras och följs av en plan för åtgärder och kommande tester.

Question 33

Hur delar ni information om hot och sårbarheter?

Accepted Answer

Vi bevakar och identifierar löpande cyberhot och sårbarheter via etablerade källor och har en rutin för att dela relevant hotinformation, både internt och med berörda kunder och samverkanspartners där det är lämpligt. Syftet är att snabbt kunna agera på nya hot och bidra till en starkare gemensam motståndskraft.

Question 34

Hantering av IKT-tredjepartsrisk

Accepted Answer

Lämpliga kontroller genomförs vid upphandling och löpande under avtalstiden för att minska risker kopplade till kritiska underleverantörer.

Question 35

Exitstrategi och migreringsplan

Accepted Answer

Avtal med kritiska underleverantörer innehåller exitklausuler och en dokumenterad process som säkrar fortsatt leverans under en migrering. Vi validerar att processen fungerar genom återkommande genomgångar och scenariobaserade tester av exit- och migreringsplanen, så att den går att genomföra i praktiken om en leverantör behöver bytas ut.

Question 36

Riskanalys och systemsäkerhet

Accepted Answer

Riskbaserade analyser och riskreducerande åtgärder genomförs i enlighet med tillämplig lag och erkända standarder, i första hand ISO/IEC 27001 och ISO 31000.

Question 37

Incidenthantering

Accepted Answer

För säkerhets- och personuppgiftsincidenter har vi en dokumenterad incidenthanteringsrutin för att upptäcka, hantera och rapportera incidenter enligt tillämplig lag, däribland Cybersäkerhetslagen (NIS2) och, vid personuppgiftsincidenter, GDPR.

Question 38

Kontinuitet och krishantering

Accepted Answer

Vi har planer för bland annat backup, katastrofåterställning och krishantering för att säkra oavbruten leverans enligt lagar och avtal.

Question 39

Leverantörskedjans säkerhet

Accepted Answer

Vi har kontroller för våra direkta leverantörer och tjänsteleverantörer, det vill säga de vi har ett avtalsförhållande med, för att säkerställa att deras tjänster möter våra säkerhetskrav. Kraven anpassas efter hur kritisk leverantören är för vår leverans.

Question 40

Säkerhet vid anskaffning, utveckling och underhåll av nätverk och IT-system

Accepted Answer

Säkerhet är integrerad i anskaffning, utveckling och underhåll av nätverk och informationssystem, inklusive hantering och rapportering av sårbarheter.

Question 41

Hur utvärderar ni att säkerhetsåtgärderna fungerar?

Accepted Answer

Vi har dokumenterade policyer och rutiner för att regelbundet utvärdera effektiviteten i åtgärderna för cybersäkerhetsrisk, med kriterier, ansvar, evidens, rapportering och åtgärder.

Question 42

Cyberhygien och utbildning

Accepted Answer

Plan för medvetenhet och utbildning säkerställer att personal och relevanta intressenter har de säkerhetskunskaper deras roll kräver.

Question 43

Personalsäkerhet

Accepted Answer

Vi säkerställer att personal som hanterar känslig information och kritiska system uppfyller höga säkerhetskrav. Personal bakgrundskontrolleras före anställning, och behörigheter tilldelas, granskas och återkallas under hela anställningen enligt principen om minsta behörighet och zero trust, med multifaktorautentisering och tydligt definierade roller och ansvar.

Question 44

Åtkomsthantering

Accepted Answer

Vi har en dokumenterad plan och styrning för bland annat multifaktor- eller kontinuerlig autentisering och säkra kommunikationsvägar, där det är lämpligt.

Question 45

Har ni cyberförsäkring?

Accepted Answer

Ja. Vi har cyberförsäkring som bland annat täcker skadeståndsansvar, avbrott, återställning av data och kostnader i samband med en cyber- eller informationsincident, inklusive forensisk utredning, hantering av personuppgiftsincidenter och tillgång till incidenthantering dygnet runt. Skyddet gäller globalt och kompletterar våra tekniska och organisatoriska säkerhetsåtgärder.

Question 46

Rapportering av svagheter

Accepted Answer

Vår riskpolicy och rutin gör att vem som helst kan rapportera in risker och svagheter till riskhanteringen, exempelvis via ärende eller direkt till W&C. Rapportering uppmuntras, ärendena fångas upp och åtgärdas där det är relevant.

Question 47

Styrning av riskkontroll

Accepted Answer

Riskbedömningsprocessen identifierar, bedömer och hanterar risker som påverkar organisationens förmåga att nå sina mål. I praktiken innebär det att vi gör kontextuella riskbedömningar av tekniska sårbarheter utifrån vår unika miljö och tillämpar ett ramverk enligt ISO 31000 för att proaktivt utvärdera och styra risker i vår leverantörskedja.

Question 48

Riskmedvetenhet och lärande

Accepted Answer

Styrelse, ledning och relevant personal har kunskap om risker och hur de hanteras, löses eller reduceras till en acceptabel nivå. Det säkerställs genom återkommande riskgenomgångar, utbildning och att risker och åtgärder följs upp i ledningens genomgångar.

Question 49

Bedömning av risker för informationssäkerhet

Accepted Answer

Informationssäkerhetsrisker ges automatiskt högre prioritet i processen så att lösning eller reducering hanteras skyndsamt. I vår operativa verksamhet innebär det att upptäckta sårbarheter omedelbart riskvärderas utifrån systemexponering och påverkan på kritiska tjänster, vilket aktiverar tidsramar för patchning och mitigerande åtgärder.

Question 50

Respons på risker för informationssäkerhet

Accepted Answer

Risker som rör informationssäkerhet och integritet rapporteras enligt ordinarie process. Särskilt känsliga risker rapporteras till ett fåtal utsedda personer. I praktiken innebär det att standardrisker spåras genom våra interna ärendesystem, medan kritiska eller konfidentiella ärenden eskaleras direkt till ledningsgruppen eller hanteras via vår skyddade visselblåsarkanal för att säkerställa sekretess och omedelbar åtgärd.

Question 51

Hur styr ni åtkomst och behörigheter?

Accepted Answer

Vi tillämpar principen om minsta behörighet (least privilege), så att varje medarbetare endast får de rättigheter som krävs för rollen, och administratörer har unika, personliga konton. Åtkomst skyddas i flera lager, bland annat med multifaktorautentisering och hårdvarubaserade säkerhetsnycklar för känslig åtkomst. Behörigheter granskas regelbundet och justeras eller tas bort vid förändrad eller avslutad anställning.

Question 52

Krävs multifaktorautentisering för administrativ åtkomst till produktionsmiljön?

Accepted Answer

Ja. All administrativ åtkomst till produktionsmiljön sker via säkrade vägar och kräver multifaktorautentisering. För administrativa konton krävs hårdvarubaserad MFA enligt FIDO2/WebAuthn och administratörer är utrustade med en fysisk hårdvarutoken som primär faktor. Vi stödjer även tidsbaserade engångslösenord (TOTP).

Question 53

Bakgrundskontrollerar ni er personal?

Accepted Answer

Ja. Bakgrundskontroll genomförs på samtliga slutkandidater innan anställningsbeslut fattas, och kontrollen upprepas årligen för alla roller med åtkomst till kunddata. Kontrollerna utförs i samarbete med en extern certifierad partner och omfattar bland annat verifiering av identitet, brottmål och rättsliga domar samt ekonomisk situation, hämtat från offentliga register eller från auktoriserade leverantörer.

Question 54

Hur skyddas era medarbetares datorer och enheter?

Accepted Answer

Företagets enheter omfattas av kryptering, central enhetshantering och säkerhetsövervakning på slutpunktsnivå (EDR), med en lokal brandvägg som blockerar inkommande trafik och automatiska uppdateringar. Vi tillämpar regler för clean desk och clean screen samt obligatorisk automatisk skärmlåsning. Enheter som kan användas för att administrera kundmiljöer eller komma åt kunddata omfattas av strängare krav än övriga enheter. Medarbetare ges endast åtkomst till de system de uttryckligen behörigats för.

Question 55

Policy för mobila enheter

Accepted Answer

Policy och stödjande säkerhetsåtgärder hanterar de risker som användning av mobila enheter medför, till exempel kryptering, skärmlås och möjligheten att radera en enhet på distans om den tappas bort eller blir stulen. Enheter skyddas dessutom med utökat slutpunktsskydd (XDR) som löpande övervakar och larmar vid misstänkt aktivitet och beteende.

Question 56

Hur fungerar distansarbete och åtkomst till produktionsmiljön?

Accepted Answer

All åtkomst till produktionsmiljön sker via säkrade vägar och kräver multifaktorautentisering. Det finns tre vägar in: en företagsproxy (Corporate Proxy) som är den generella vägen för daglig åtkomst för merparten av medarbetarna, en VPN-väg för underhåll som kräver åtkomst till flera system eller till system som inte nås via proxyn, och en separat out-of-band-VPN (OOB VPN) som används vid katastrofåterställning. Information som hanteras och lagras vid distansarbete skyddas dessutom av policy och tekniska säkerhetsåtgärder.

Question 57

Begränsning av programvaruinstallation

Accepted Answer

Regler för vilken programvara användare får installera är fastställda och tillämpas, så att endast godkänd och säker programvara körs i miljön och risken för skadlig eller osäker kod minskar.

Question 58

Ansvar vid avslutad eller ändrad anställning

Accepted Answer

Informationssäkerhetsansvar som gäller efter avslutad eller ändrad anställning definieras, kommuniceras och upprätthålls. Det innebär bland annat att tystnadsplikt och sekretessåtaganden kvarstår, att tillgångar återlämnas och att åtkomst återkallas, så att skyddet av information upprätthålls även efter att rollen förändrats eller avslutats.

Question 59

Hur tilldelas och återkallas användarbehörigheter?

Accepted Answer

Vi har en formell process för hela livscykeln för användarkonton. När en person börjar registreras kontot och tilldelas de behörigheter rollen kräver enligt principen om minsta behörighet. Vid förändrad roll justeras behörigheterna, och när en anställning eller ett avtal upphör avregistreras kontot och åtkomsten återkallas omedelbart, inklusive SSH-nycklar och VPN-uppgifter, medan sekretessåtaganden kvarstår. Processen omfattar alla användartyper och alla system och tjänster, och behörigheter granskas regelbundet.

Question 60

Hur hanterar ni privilegierade (administrativa) behörigheter?

Accepted Answer

Privilegierade åtkomsträttigheter, det vill säga förhöjda administrativa behörigheter, hanteras striktare än vanlig användaråtkomst. De tilldelas restriktivt och endast till namngivna, personliga konton, begränsas till det som rollen kräver och följs upp särskilt. Administrativ åtkomst till produktionsmiljön kräver alltid multifaktorautentisering.

Question 61

Hur hanteras hemlig autentiseringsinformation (till exempel lösenord och nycklar)?

Accepted Answer

Tilldelning och hantering av hemlig autentiseringsinformation, som lösenord, API-nycklar och certifikat, styrs av en formell process. Sådan information distribueras säkert, lagras skyddat och byts vid behov, och hemligheter lagras aldrig i klartext i källkod. Vi använder system för lösenordshantering som upprätthåller god kvalitet på lösenord.

Question 62

Vad förväntas av användarna när det gäller hemlig autentiseringsinformation?

Accepted Answer

Användare följer organisationens rutiner för att skydda lösenord och annan hemlig autentiseringsinformation, bland annat att inte dela inloggningsuppgifter och att hantera dem säkert.

Question 63

Övervakas miljön dygnet runt?

Accepted Answer

Ja. Vi övervakar plattformens drift och nätverkstrafik dygnet runt, året runt (24/7/365), med automatiska larm direkt till våra tekniker. Realtidsövervakningen följer plattformshälsa, säkerhetsmått och nätverkstrafik och larmar vid avvikelser, och centrala dashboards bevakar bland annat obehöriga åtkomstförsök och onormala trafikmönster. Drift- och säkerhetsloggar samlas in centralt, och vi arbetar kontinuerligt med att stärka vår förmåga att upptäcka säkerhetshändelser.

Question 64

Loggas privilegierad åtkomst till infrastrukturen?

Accepted Answer

Ja. Vi för revisionsloggar för all infrastruktur, vilket inkluderar inloggningar och privilegierad åtkomst till underliggande system. Loggarna samlas in centralt och bevaras under en längre period, och relevanta utdrag kan tillhandahållas på begäran - exempelvis i samband med en säkerhets- eller personuppgiftsincident.

Trust Center

Därför litar organisationer på Elastx

Digital suveränitet

Data stannar i Sverige

Certifierad säkerhet

Hög tillgänglighet

Ingen inlåsning