10/2024

Digital sikkerhed og databeskyttelse

1. Indbygget databeskyttelse
Design

I arbejdet med digitale løsninger, som tilbyder login (brugeradgang), skal der tænkes databeskyttelse ind fra starten. Løsninger med login kræver brugeroplysninger, hvoraf nogle kan være defineret som “personfølsom data”, som defineres sådan: enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person.

I sådanne løsninger bør databeskyttelse være en integreret del af projektforløbet og produktet. Det kaldes også “privacy-by-design”.  Det er den dataansvarliges (kundens) ansvar at designe og indrette sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at databeskyttelsesforordningens krav og beskyttelseshensyn varetages som en integreret del i hele projektforløbet.

Datatilsynet har, sammen med Justitsministeriet og Digitaliseringsstyrelsen udgivet en vejledning om behandlingssikkerhed, som kan hentes her:

Vejledning om datasikkerhed

2. Databehandleraftale
Design

Når CZOO designer og udvikler digitale løsninger med personfølsomdata betyder det, at CZOO er databehandler. Der bør indgåes en databehandler aftale, som sikrer at persondataforordningen efterleves. Det er den dataansvarliges ansvar at fremsende en databehandleraftale. CZOO har erfaring med at arbejde med personfølsom data og har udviklet en databehandlerskabelon, som kan anvendes. Hent den på linket herunder:

Hent databehandleraftalen (skabelon)

3. Lorem ipsum
Design

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Vivamus facilisis sagittis arcu, sit amet suscipit turpis aliquam ac. Donec tempus gravida neque id pellentesque. Donec sollicitudin elit ut arcu pharetra placerat. Fusce vel massa interdum, lacinia ligula a, iaculis ex. In ornare varius elit, eu vehicula quam ornare in. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Vivamus facilisis sagittis arcu, sit amet suscipit turpis aliquam ac. Donec tempus gravida neque id pellentesque. Donec sollicitudin elit ut arcu pharetra placerat.

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Fusce vel massa interdum, lacinia ligula a, iaculis ex. In ornare varius elit, eu vehicula quam ornare in. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Vivamus facilisis sagittis arcu, sit amet suscipit turpis aliquam ac. Donec tempus gravida neque id pellentesque.

Donec sollicitudin elit ut arcu pharetra placerat. Fusce vel massa interdum, lacinia ligula a, iaculis ex. In ornare varius elit, eu vehicula quam ornare in.

4. Driftorienteret udviklingsproces
Udvikling

Codemakers udvikler web løsninger i WordPress. WordPress er verdens mest udbredte CMS-system med en markedsandel på ca. 43% som sikrer, at koden kontinuerligt vedligeholdes og forbedres. Codemakers prioriterer udviklingen af skræddersyede funktioner som giver mere kontrol over kodekvalitet, reducerer risiko for sårbarheder og følger til mere stabil drift. De følsomme områder identificeres inden udviklingen og beskyttes yderligere. Alle løsninger er beskyttet med SSL kryptering. Løsninger beskyttes yderlige med (hvor det giver mening):

  • 2-faktor login.
  • Google Captcha.
  • Avanceret adgangskontrol til filer som indeholder følsomme oplysninger.
  • Periodisk / automatisk sletning af filer som indeholder personlige oplysninger.
  • Opsætning af unikke brugerroller med begrænset adgang.

5. Cookies og privatlivspolitik
Udvikling

Alle løsninger integreres med en GDPR gyldigt samtykke til cookies. Vi anbefaler cookieinformation.com som sikrer at cookie samtykke løsningen er up-to-date med Databeskyttelseslove rundt omkring i verden.

Løsningen består af:

  • Opsætning af Cookie samtykke.
  • Undersiden om persondatapolitik.
  • Redigering af Cookie indstillinger.
  • Oversigt over Cookies inkl. formål, privatlivspolitik, udløb og udbyder.

Læs mere om CookieInformation

6. Beskyttelse af adgangskoder
Udvikling

Adgangskoder som benyttes til udviklingen og drift gemmes i Codemakers CRM system som består af følgende sikkerhedslag:

  • 2-faktor login.
  • Kryptering af alle adgangskoder.
  • Visning af projektinformation inkl. adgangskoder begrænses manuelt af projektleder.
  • Adgangskoder kan tilgås af de udvikler(e) som har en åben opgave relateret med projektet.
  • Ændringer og opgaver logges i CRM inkl. medarbejder navn, start og slut tid.

7. Sikkerhedstest
Udvikling

De statslig kunder eller kunder i den kritiske infrastruktur kan få en sikkerhedstest (pentest) hos Center For Cybersikkerhed – Forsvarets Efterretningstjeneste (CFCS). CFCS pentest er den ultimativ sikkerhedstest af de kritiske web løsninger. Codemakers kan optimere løsningen så den overholder CFCS anbefalinger som er et bevis på den højeste sikkerhedsniveau.

Hvis CFCS ikke kan tilbyde testen findes der også diverse private organisationer som tilbyder lignende sikkerhedstests.

8. Sikkerhedsrevision
Drift

Alle driftsaftaler indeholder sikkerhedsrevision som minimum to gange om året som består af følgende opgaver:

  • Der fortages de nødvendige sikkerhedsopdateringer.
  • Vi sørger for at tage en back-up af din hjemmeside, når der skal foretages opdateringer. På den måde er der intet, der går tabt under opdateringen. Back-up kopier gemmes i en ekstern fysisk harddisk som er yderligere beskyttet med adgangskoden.
  • Gennemgang af plugins.
  • Fejlsøgning og diverse UX tests.

Læs mere om WordPress Support

9. Databehandling
Drift

Personlig data er enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person. I de situationer hvor løsningen kan indeholde personlig data (kundedata) er det nødvendigt at underskrive databehandleraftalen.

Hent databehandleraftalen (skabelon)

10. ISAE erklæring
Hosting

Vi anbefaler Copenhost til hosting. Copenhost A/S udfører ISAE 3402 revision hvert år.

Copenhost har grundlæggende høj sikkerhed i deres løsninger som indeholder bland andet:
– DDOS filter,
– Packet inspection firewalls,
– Backup hver nat 100 dage tilbage,
– Automatisk patching af server,
– Løbende overvågning,
– Redundant datacenter med spejlet servere for failover osv.

ISAE 3402-erklæring

Hosting miljø

11. GDPR
Hosting

Når jeres virksomheds løsning og data hostes hos Copenhost betyder det at Copenhost er Databehandler og der indgås en databehandler aftale der sikre at Copenhost efterlever persondataforordningen. Denne aftale er påkrævet for at efterleve Copenhosts revisionspåtegnede sikkerhedserklæring ISAE 3402 og indeholder bla.

  • at databehandleren kun må handle inden for den dataansvarliges instruks
  • at de personer, der konkret skal foretage behandlingen har tavshedspligt (eller er underlagt dette ved lov)
  • passende sikkerhedsforanstaltninger, herunder anmeldelse ved sikkerhedsbrud
  • at databehandleren kun benytter sig af underdatabehandlere, når kravene herfor i persondataforordningen er opfyldt
  • at databehandleren skal hjælpe den dataansvarlige med at opfylde sine forpligtelser
  • at databehandleren sletter eller tilbageleverer oplysninger, når behandlingen er færdig
  • at databehandleren stiller dokumentation til rådighed for den dataansvarlige

Læs mere om GDPR