Gagnaöryggi
Við leggjum ríka áherslu á að tryggja öryggi þeirra gagna sem við vinnum með. Hér má sjá yfirlit yfir þær ráðstafanir sem við höfum gert í þeim tilgangi.
Persónuvernd
Elvo fylgir ákvæðum GDPR og lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga í allri sinni starfsemi. Elvo vinnur einungis með persónuupplýsingar á grundvelli skjalfestra fyrirmæla ábyrgðaraðila.
Skyldur Elvo þegar kemur að því að tryggja persónuvernd eru útlistaðar í vinnslusamningi sem undirritaður er áður en til vinnslu persónuupplýsinga kemur fyrir hönd ábyrgðaraðila. Nánari upplýsingar um persónuvernd hjá Elvo má lesa hér: persónuvernd
Dulkóðun
Öll gögn sem Elvo vinnur með fyrir hönd ábyrgðaraðila eru vistuð dulkóðuð með AES-staðlinum (e. Advanced Encryption Standard). Þá eru öll samskipti inn og út af vefþjónum Elvo dulkóðuð með TLS v1.3 staðlinum.
Vefþjónar Elvo eru búnir eldveggjum sem tryggja að einungis dulkóðuð samskipti geti átt sér stað.
Lykilorð notenda Elvo eru vistuð á tættu (e. hashed) formi og eru þannig aldrei aðgengileg viðskiptavinii.
Öryggisafrit
Gagnagrunnar Elvo eru afritaðir daglega og afritin vistuð á dulkóðuðu formi til að minnka hættu á að gögn tapist. Öryggisafrit eru vistuð á aðskildum vefþjónum sem eru einungis aðgengilegir viðskiptavinii Elvo í gegnum SSH-samskipti sem eru dulkóðuð með lykilorði og öryggislykli útbúnum samkvæmt SHA-256 staðlinum.
Öryggisafritum er eytt eftir 30 daga til að persónuupplýsingar séu ekki geymdar lengur en ákvæði gagnavinnslusamninga leyfa.
Álagsvarnir
Elvo notar nafnaþjóna og sérstaka vefþjóna sem útbúnir eru vörnum gegn álagsárásum (e. Distributed Denial-of-Service / DDoS attacks). Öll samskipti notenda og gesta við vefþjóna Elvo fara fyrst í gegnum þessa nafna- og vefþjóna til að koma í veg fyrir að álagsárásir geti ógnað öryggi þeirra gagna sem vistuð eru í gagnagrunnum Elvo.
Samskipti í gegnum þá vefþjóna sem verja gagnagrunna Elvo gegn álagsárásum eru dulkóðuð, rétt eins og samskipti við aðra vefþjóna Elvo.
Gagnaver
Vefþjónar og gagnagrunnar Elvo eru hýstir í gagnaverum sem eru hönnuð, byggð og undir eftirliti allan sólarhringinn til að tryggja öryggi gagnvart óheimilum aðgangi og náttúruhamförum.
Gagnaverin eru umlukin girðingum með aðgangsstýrðum hliðum. Öryggismyndavélar eru notaðar til að fylgjast með því hverjir fá aðgang að byggingunum og öryggisstýrðum svæðum innan þeirra.
Elvo notast einungis við gagnaver sem staðsett eru innan Evrópusambandsins og undirritar gagnavinnslusamning við rekstraraðila þeirra til að tryggja að ákvæðum GDPR sé framfylgt.
Aðgangur viðskiptavina
Allir starfsmenn Elvo undirrita trúnaðaryfirlýsingu áður en þeir fá aðgang að gagnagrunnum og vefþjónum fyrirtækisins. Aðgangur að gögnum er veittur á grundvelli þess leiðarljóss um að viðskiptavini hafi einungis aðgang að þeim gögnum sem nauðsynleg eru til að það geti sinnt verkefnum sínum.
Aðgangsheimildir viðskiptavina eru endurskoðaðar með reglubundnum hætti í því skyni að loka aftur fyrir aðgang að þeim gögnum sem viðkomandi viðskiptavinur þarf ekki lengur að vinna með.
Elvo gerir kröfu um að starfsmenn verji þær vinnustöðvar sem þeir nota til að sækja og vinna með gögn með lykilorði sem uppfyllir lágmarkskröfur um lengd og flækjustig. Þá þurfa starfsmenn ávallt að læsa vinnustöðvum sínum þegar þeir fara frá þeim.
Aðgangur notenda
Allir notendur Elvo þurfa að setja upp tveggja þátta auðkenningu (e. 2-factor authentication) þegar þeir stofna aðgang að þjónustunni. Ef notandi reynir að skrá sig inn frá nýrri staðsetningu eða oftar en eðlilega þarf viðkomandi að staðfesta auðkenni sitt með báðum auðkenningarþáttum.
Elvo gerir kröfu um lágmarkslengd og flækjustig lykilorða sem notendur búa til í því skyni að gera jarðýtuárásir (e. brute force attacks) ófýsilegar. Elvo lokar jafnframt tímabundið fyrir aðgang IP-tölu að vefþjónum sínum ef margar innskráningartilraunir eiga sér stað á stuttum tíma.
Elvo er útbúið aðgangsstýringarkerfi til að fyrirtækir geti tryggt að notendur hafi einungis aðgang að þeim gögnum sem þeim er heimilt að vinna með. Til dæmis er hægt að takmarka aðgengi stjórnenda að niðurstöðum við tiltekin svið eða deildir innan fyrirtækarins.
Skrásetning
Aðgangur bæði viðskiptavinis og notenda að vefþjónum og gagnagrunnum Elvo er skrásettur í gegnum skrásetningarkerfi (e. logging system) í hvert sinn sem viðkomandi sækir eða vinnur með gögn.
Starfsmenn sem hafa skilgreinda heimild til að skoða færslur í skrásetningarkerfinu fara reglulega yfir færslur þar til að tryggja að aðgengi að gögnum sé í samræmi við heimildir viðkomandi viðskiptavina og notenda.
Skrásetningarkerfið geymir ekki persónuupplýsingar heldur einungis upplýsingar um auðkennisnúmer Elvo fyrir viðkomandi notanda/starfsmann, tímasetningu og tilvísunarnúmer fyrir þau gögn sem viðkomandi sótti eða vann með.
Endurskoðun
Elvo endurskoðar árlega stefnur sínar og ferla þegar kemur að bæði gagnaöryggi og persónuvernd. Við slíka endurskoðun vinnur Elvo með sérfræðingum á viðkomandi sviðum, til dæmis lögfræðingum og sérfræðingum í gagnaöryggi, eftir því sem þörf krefur til að tryggja að hvort tveggja sé í samræmi við bestu vinnubrögð sem tíðkast (e. industry-best practices).