Kontakt os Log ind

Sikkerhed

Langsigtet forpligtelse til sikkerhed og compliance

Sikkerhed og privatlivets fred

Cloud computing er en paraplybetegnelse for forskellige typer af tjenester, der leveres over internettet. De kan omfatte software, lagerplads, databaser, netværk eller analyser. Cloud-tjenester kan have forskellige karakteristika, afhængigt af hvem der leverer dem, og hvordan de er organiseret. Det kan være svært at vide, hvilken cloud-tjeneste der er bedst egnet til din virksomhed, og hvilke udbydere der er mest pålidelige. Hos Storegate tilbyder vi fuld gennemsigtighed, og en god metode til at sammenligne cloud-tjenester er at følge strømmen af forretningsdata, der sendes fra en enhed til en server. Nedenfor fortæller vi dig mere om, hvordan det ser ud hos Storegate.

Datasikkerhed hos Storegate


Cloud-garanti med integritet og sikkerhed i fokus Storegates kundedata opbevares i et pålideligt miljø, hvor kunderne kan gøre maksimal brug af tjenesterne på en sikker, tryg og effektiv måde. Udstyret er ejet af Storegate, og datacentrene er placeret i Sverige.

Faciliteter, systemer og personale opfylder alle strenge krav, og vi tilbyder et fuldt redundant miljø med optimale forhold med hensyn til strømforsyning, køling, klima, branddetektion og brandslukningssystemer.

Storegates tjenester overvåges døgnet rundt via overvågningssystemer. Hvis der opstår forstyrrelser i driften, bliver den vagthavende tekniker automatisk alarmeret. Adgangen til datacentrene er beskyttet af adgangskontrolsystemer, interne skillevægge og tyverialarmer.

Storegate samarbejder med uafhængige konsulenter om løbende penetrationstests, sårbarhedsrevisioner og tests i henhold til standarder som OWASP TOP TEN.

Storegate har et forum kaldet ISWG (Information Security Work Group), der arbejder på at designe og implementere processer for Storegates ISMS-system. Kontakt os for mere information.

Storegate scanner aldrig oplysninger til forretningsudviklingsformål eller for at sælge reklamer.


Kontoadgang og autentificering Når du opretter din konto på Storegate, har vi skabt betingelserne for, at du kan vælge et stærkt brugernavn og en stærk adgangskode, der er tilpasset din virksomheds politik.

  • Kodeordsfaktorer (mindste antal tegn, der kræves af tal, specialtegn, store bogstaver osv.)
  • Inddrivelse af adgangskode fra administratoren eller via support.
  • Begrænset antal login-forsøg (brute force)
  • Automatisk logout i tilfælde af inaktivitet
  • Tokenbaseret Oauth-login til klienter og web
  • To-trinsbekræftelse med apps, der understøtter TOTP-protokollen, f.eks. Microsoft og Google Authenticator


Single Sign On For virksomhedskunder tilbyder Storegate support for Single Sign On. Dette giver virksomheder en centraliseret kontrol over brugerkonti i Storegate. Hvis en virksomhed suspenderer en bruger centralt, kan personen ikke længere logge ind på tjenesten. På samme måde kan du som administrator administrere og kontrollere dine brugere. Dette gøres ved at logge ind på din administratorkonto på Storegate.com.


Mobiladgang Mobilbrugere kan få adgang til deres Storegate-konti via mobilbrowsere eller en specifik Storegate-app. Når en bruger opretter forbindelse via en mobiltelefon (iPhone, iPad, Windows, Android osv.), anvendes HTTPS-krypteret autentificering. Alle data, der sendes mellem serveren og mobilapplikationen, er krypteret ved hjælp af bankstandarden TLS. Hvis en mobilenhed bliver stjålet eller tabt, kan administratoren blokere personens konto, så adgangen til oplysningerne i tjenesten blokeres i realtid.


Upload og overførsel Når du er logget ind på tjenesten via en af vores grænseflader, kan du uploade filer og mapper. Selve uploaden er enkel set fra brugerens synspunkt, men hos Storegate optimerer vi selve overførslen i forhold til ydeevne og sikkerhed. Alle data er krypteret med 128-bit TLS-kryptering. Det betyder, at du ikke behøver at bruge VPN-tunneler eller lignende for at få adgang til dine data fra forskellige geografiske steder. Den samme procedure er omvendt, når du downloader filer til dine enheder.


Tilladelsesniveauer og deling af oplysninger Når dine filer har nået Storegate og er klar til deling, samarbejde eller opbevaring, er der muligheder for at beslutte, hvem der skal have adgang til oplysningerne. Hver bruger kan f.eks. indstille delingstilladelser i samarbejdsmapper. Ved at distribuere mapper eksternt er det også muligt at bestemme, hvem og hvilke partnere der kan få adgang til dine oplysninger og uploade oplysninger til din konto. Distributioner kan begrænses af tidsintervaller og adgangskoder, som modtageren skal bruge for at få adgang til indholdet.


Globale indstillinger På et globalt niveau kan administratorer angive visse begrænsninger for en eller flere brugere. Desuden kan administratoren beslutte:

  • Hvem kan oprette mapper eller uploade filer?
  • Hvilke brugere skal inviteres til kontoen
  • Hvor meget hver bruger har lov til at gemme i hjemmemappen og i backup-sektionen
  • Hvilke filer skal slettes permanent (aktiv/inaktiv papirkurv)
  • Hvor mange versioner af hver fil skal der være på kontoen
  • Hvornår og hvem der skal have rapporter om status for backupen
  • Når du sletter en bruger

Lagring og kryptering
Alle filer, der uploades til Storegate, lagres i realtid på to separate systemer i to fysisk adskilte datarum og krypteres på disk med AES 256-bit kryptering. Desuden er alle filer på systemerne gemt med krypterede stier og filnavne. Det betyder, at man aldrig kan spore, hvilke filer og referencer der er relateret til ejeren af filerne, dvs. kontohaveren. For alle tjenester og protokoller på Storegate anvendes der også 128-bit TLS-kryptering under overførslen. For Backup Pro krypteres filer valgfrit med en brugergenereret krypteringsnøgle (256-bit AES-kryptering). Systemet har indbygget beskyttelse mod SQL-injection og brute force-angreb. Systemet blokerer automatisk for gentagne mislykkede loginforsøg baseret på IP-adresse og brugernavn.

Fælles ansvar for databeskyttelse og compliance-krav
Sikkerhed og tilgængelighed er vores topprioritet på både det organisatoriske og funktionelle niveau for de tjenester, vi tilbyder. Mange virksomheder er dog underlagt lokale eller branchespecifikke lovkrav til datalagring og backup, hvilket kan kræve backup- og lagringspolitikker, som du som kunde skal opfylde. Ligesom andre førende cloud-tjenester opererer Storegate under en model med delt ansvar for databeskyttelse og compliance. Det betyder, at Storegate er ansvarlig for at beskytte tjenesten og infrastrukturen, mens kunden er ansvarlig for at beskytte sine egne data for compliance eller mod adgangsproblemer, utilsigtet sletning, ondsindet aktivitet og andre datatabshændelser. Vi anbefaler derfor, at hver enkelt kunde sørger for en backup til en tredjepartsløsning eller til en lokal disk derhjemme. Gennem tillægstjenesten Extended Access kan alle filer og mapper (inklusive underbrugermappen My Files) sikkerhedskopieres lokalt eller til en tredjepart. Kontakt os for at få flere oplysninger.

Sletning af gemte oplysninger
Når filerne er i papirkurven, forbliver de der, indtil du vælger at tømme hele eller dele af papirkurven. Hvis du sletter filer fra papirkurven, kan de aldrig genskabes. Hvis du vælger at lukke en konto, gemmes data i 60 dage, hvorefter Storegate sletter alle data i overensstemmelse med GDPR.


Vores retningslinjer Sikkerheden af dine oplysninger begynder på vores kontor, i vores datacentre og med vores procedurer. Alle medarbejdere hos Storegate har en ansættelseskontrakt, der omfatter fortrolighed over for vores partnere og kunder. Som de fleste onlinetjenester har vi et lille antal medarbejdere med politianmeldelse, som skal kunne få adgang til brugerdata af de grunde, der er anført i vores brugeraftale (f.eks. når vi er lovmæssigt forpligtet til det). Men det er sjældne undtagelser, ikke reglen. Vi har en streng politik og teknisk adgangskontrol, der forbyder medarbejdernes adgang undtagen i disse sjældne tilfælde. Derudover anvender vi en rækkefysiske og logiske sikkerhedsforanstaltninger for at beskytte brugeroplysninger mod uautoriseret adgang.

Storegate arbejder også på at opretholde sikkerheden i sit eget kontornetværk:

  • Systemer til påvisning af netværksindtrængen
  • Programlogning, rapportering, analyse, arkivering og opbevaring af data
  • Kontinuerlig overvågning


Administration af dine data Teknikere eller kundesupport hos Storegate kan lejlighedsvis have brug for adgang til kundernes konti for at håndtere tekniske problemer og support. Også her har vi udarbejdetomhyggelige politikker og tilladelser for at hjælpe os med at hjælpe dig med så lidt gennemsigtighed som muligt.


Applikations- og hardwarearkitektur I hvert datacenter opretholder Storegate fuld redundans med hensyn til load balancers, routere, servere, switche og failover-konfigurationer osv.


Resumé Storegates system er et komplekst miljø, der kræver flere forskellige lag af sikkerhed. Fra hardware som f.eks. lagringssystemer til bløde værdier som f.eks. de medarbejdere, der arbejder hos Storegate. Storegates højeste prioritet er og forbliver sikkerheden for kundernes digitale oplysninger. Hvis du har brug for flere oplysninger på et specifikt område, kan du kontakte Storegate, og vi vil med glæde besvare dine spørgsmål.

Rapporter sårbarhed

Vores principper

Sikkerheden i vores systemer er en topprioritet. Men uanset hvor stor en indsats vi gør for systemsikkerheden, kan der stadig være sårbarheder.
Hvis du opdager en sårbarhed, vil vi gerne have, at du giver os besked, så vi kan tage skridt til at rette den så hurtigt som muligt. Ved at give os besked hjælper du os med at beskytte vores kunder og vores systemer bedre.


Gør venligst følgende:

  • Send en besked til info[at]storegate.com, og du vil modtage et unikt link til at uploade oplysninger.
  • Udnyt ikke den sårbarhed eller det problem, du har opdaget, f.eks. ved at downloade flere data end nødvendigt for at demonstrere sårbarheden eller ved at slette eller ændre andres data.
  • Fortæl ikke andre om problemet, før det er blevet løst.
  • Brug ikke angreb på fysisk sikkerhed, social engineering, distribueret overbelastning, spam eller tredjepartsapplikationer.
  • Giv venligst tilstrækkelige oplysninger til at reproducere problemet, så vi kan løse det så hurtigt som muligt. Normalt er IP-adressen eller URL'en på det berørte system og en beskrivelse af sårbarheden tilstrækkelig, men komplekse sårbarheder kan kræve yderligere forklaringer.

Hvad vi lover:

  • Vi vil svare på din anmeldelse inden for 5 arbejdsdage med vores vurdering af anmeldelsen og en forventet dato for afgørelsen.
  • Hvis du har fulgt instruktionerne ovenfor, vil vi ikke tage nogen juridiske skridt mod dig i forbindelse med rapporten.
  • Vi behandler din rapport strengt fortroligt og videregiver ikke dine personoplysninger til tredjeparter uden din tilladelse.
  • Vi vil holde dig informeret om, hvordan det går med at løse problemet.
  • I de offentlige oplysninger om det rapporterede problem vil vi angive dit navn som opdageren af problemet (medmindre du ønsker andet), og som et tegn på vores taknemmelighed for din hjælp tilbyder vi en belønning for hver rapport om et sikkerhedsproblem, der endnu ikke var kendt af os. Belønningens størrelse afhænger af, hvor alvorlig lækagen er, og kvaliteten af rapporten. Minimumsbelønningen er et gavekort på 50 euro.

Vi bestræber os på at løse alle problemer så hurtigt som muligt, og vi vil gerne spille en aktiv rolle i den endelige udgivelse af nummeret, når det er blevet løst.

GDPR

Når Storegate gemmer dine data

Storegate følger GDPR, og vi har en DPO (Data Protection Officer), som kan kontaktes på dpo@storegate.se. Vi har også udarbejdet en incident management plan, en privatlivspolitik, og hvis du ønsker en persondatabehandleraftale, kan du bestille den her. Hvis du ikke længere er kunde hos os, kan du til enhver tid ændre eller slette oplysningerne ved at give os besked og kontakte os. Vores ambition er hele tiden at arbejde med relevant indhold, integritet, ærlighed, gennemsigtighed og ansvarlighed.

Når du gemmer andres personoplysninger

Som kunde hos Storegate har vi sørget for, at du kan overholde GDPR. Først og fremmest opbevares alle data i Sverige (GDPR kræver opbevaring inden for EU). At det er Nordisk opbevaring beskytter også dine data mod at blive påvirket af udenlandske love. Derudover er der en logningsfunktion på alle erhvervskonti. Det betyder, at du kan følge med i, hvad der er sket med en specifik fil, og hvem der har gjort det. Dette er uvurderligt, hvis du har flere personer, der arbejder på de samme filer, og ønsker fuld kontrol. Nedenfor kan du læse mere om vigtige punkter for din virksomhed, når det kommer til GDPR.


Ting, du skal overveje
Personoplysninger, som du behandler, skal have et retsgrundlag. For at kunne behandle personoplysninger skal der altid være et grundlag i den generelle databeskyttelsesforordning. Et retsgrundlag kan være et samtykke, før du behandler personoplysninger.

Ret til at vide. Dine kunder og medarbejdere har ret til gratis at få at vide, hvilke oplysninger du behandler om dem, hvad formålet med behandlingen er, og hvor behandlingen finder sted.

Ret til at gøre indsigelse. Retten til at gøre indsigelse omfatter f.eks. retten til at kunne annullere alle dine nyhedsbreve, og loven er særlig klar her. Du må heller ikke bruge personoplysninger, som du har behandlet på en faktura, til at sende e-mails med tilbud, medmindre du specifikt har meddelt kunden dette og har fået bekræftet samtykke.

Retten til at blive glemt. Denne regel er måske den vanskeligste at håndtere, da den stiller meget specielle krav til din organisation. Hvis du f.eks. har kundeadresser i en Excel-fil eller i en e-mail, skal disse slettes, hvis kunden anmoder om det. Der findes et begreb, der hedder retsgrundlag, og det kan som regel gælde før kundens ønske om at blive glemt. Hvis du f.eks. har fået samtykke til at gemme en faktura med navn og adresse, er dette et retsgrundlag. Men efter 7 år skal du slette denne faktura, fordi dataene så ikke har noget retsgrundlag. Der kan derfor være forskellige formål med din behandling af personoplysninger, hvor opbevaring af fakturaer hører under ét formål, og kontakten i dit adressekartotek hører under et andet.

Retten til at blive underrettet i tilfælde af brud på datasikkerheden. Hvis din lagringskonto bliver hacket, og du har personoplysninger, har de berørte personer under visse omstændigheder ret til at blive underrettet inden for en rimelig tid.

Det kan være dyrt at undlade at overholde GDPR. Virksomheder, der ikke overholder GDPR, risikerer store bøder på op til 4 % af virksomhedens samlede omsætning. Det handler ikke kun om IT, men om al håndtering af persondata. Hvis du f.eks. har et lønregister, indeholder dette personoplysninger, og det er dit ansvar at have regler for, hvordan disse ryddes, hvis folk forlader virksomheden.

Her er nogle tips til, hvordan din virksomhed kan overholde GDPR. Tænk på alle personlige data som lånte, og at de skal slettes, når du ikke har noget formål med dem. Din virksomhed er ansvarlig for alle personoplysninger, uanset hvor de er gemt. Det er dit ansvar at sikre, at leverandører af IT-systemer har de rigtige sikkerhedssystemer til at beskytte dine kunders data. Du skal have procedurer for at slette personoplysninger og dokumentere, hvor og hvordan dine data opbevares og forvaltes.

Kontrolspørgsmål, som du kan stille i dine bestræbelser på at overholde GDPR:

  • Hvorfor gemmer vi dataene i stedet for at slette dem?
  • Har kunden/den enkelte virkelig givet sit samtykke til opbevaring?
  • Hvorfor opbevarer vi dataene? Du må f.eks. ikke gemme unødvendige oplysninger som alder, medmindre du kan begrunde, at det er nødvendigt for din virksomhed og din kunde.
  • Hvad er formålet med behandlingen? Kategoriser disse formål.
  • Hvor længe er det berettiget at opbevare dataene? Fastsæt procedurer til at rydde gamle data.
  • Hvis en kunde ønsker at blive glemt, hvad gør vi så? (Hvis du sletter en fil med personoplysninger, skal du være opmærksom på, at den stadig kan ligge i papirkurven).
  • Hvis en kunde ønsker at vide, hvad der er gemt, hvilke oplysninger skal du så give?
  • Hvordan kan du vide, at den person, der anmoder om dataene, virkelig er den person, som vedkommende hævder at være?

Bemærk, at du selv skal sikre din virksomhed juridisk, og at teksten ovenfor er forenklet. Hvis du allerede nu vil læse mere om, hvad den svenske databeskyttelsesmyndighed siger om cloud-tjenester, kan du finde det her.

CLOUD-loven

De fleste Nordiske virksomheder og organisationer har processer og procedurer på plads for at overholde den nye strengere EU-lovgivning om håndtering af personoplysninger (GDPR), som blev indført den 25. maj 2018. Der er dog andre aspekter, der er lige så vigtige at overveje, når man vælger en cloud-tjeneste til at gemme, dele og samarbejde om virksomhedens filer.

I samme år, 2018, trådte den 23. marts en ny amerikansk lov, CLOUD Act (Clarifying Overseas Use of Data), i kraft, som giver amerikanske myndigheder adgang til data, der er lagret på amerikanske cloud computing-tjenester, selv om de er lagret i udlandet, og amerikanske cloud computing-tjenester kan således ikke nægte at udlevere sådanne data.

For at overholde GDPR er amerikanske cloud-tjenester blevet tvunget til at tilbyde Nordiske virksomheder EU-opbevaring til Nordiske virksomheder. CLOUD Act betyder, at amerikansk lovgivning gælder for data, der er lagret i en amerikansk cloud-tjeneste, selv om de er lagret i EU, og det kan blive meget dyrt for en Nordisk virksomhed at ignorere disse risici.

Beskyttelse af personlige oplysninger

Hvad betyder ophævelsen af Privacy Shield, og hvad er konsekvenserne?

For nogen tid siden meddelte EF-Domstolen, at databeskyttelsesaftalen "Privacy Shield", som tillod overførsel af EU-borgeres personoplysninger til USA, er blevet annulleret. Dette skete i forbindelse med Schrems II-dommen mod Facebook af 16. juli 2020.

Afgørelsen betyder, at det ikke længere er muligt at overføre personoplysninger om EU-borgere til amerikanske cloud-tjenester.

Min leverandør siger, at vores nuværende overførsel kan baseres på standardkontraktklausuler?

Flere amerikanske cloud-tjenesteudbydere hævder, at overførslen af personoplysninger kan betragtes som lovlig ved at henholde sig til standardkontraktklausuler, hvilket mange virksomheder gjorde i 2015, da EU-Domstolen annullerede Safe Harbour (forgængeren for Privacy Shield).

For at vurdere lovligheden af en sådan overførsel i henhold til standardkontraktbestemmelser er det nødvendigt at vurdere retssystemet i det land, hvortil personoplysningerne overføres. Det vil i dette tilfælde sige, om USA giver et tilstrækkeligt beskyttelsesniveau for de registreredes personoplysninger. Det er noget, som kun få eller ingen virksomheder og organisationer i verden er i stand til at vurdere.

Datatilsynet har opdateret sine anbefalinger vedrørende overførsel af personoplysninger til USA på baggrund af dommen. De forklarer, at enhver organisation, der tidligere har baseret sig på Privacy Shield for overførsler, nu skal identificere strømmen af personoplysninger inden for organisationen, og hvor personoplysninger kan blive overført til USA. Hvis data overføres til amerikanske cloud-tjenester, skal organisationen være i stand til at påvise beskyttelsesniveauet i modtagerlandet i det konkrete tilfælde. Organisationen skal derefter beslutte, om overførslen er berettiget eller ej.

Planlæg på lang sigt og vælg en bæredygtig it-operatør og en sikker cloud-tjeneste.

En logisk konsekvens af EU's nye direktiver og forordninger om digital information er, at mange Nordiske virksomheder nu leder efter alternativer til amerikanske cloud-tjenester og it-løsninger. Organisationer i Europa søger nu efter lokale leverandører, og på længere sigt kan dette have en positiv indvirkning på hele EU. Vi bevæger os mod en digital transformation, hvor virksomhederne vælger tjenester, der tilbyder datalagring, som overholder europæiske love og værdier. Det beskytter til gengæld både menneskerettighederne og Europas og Sveriges eget innovationsniveau inden for cloud-tjenester.

Hos Storegate er vi et Nordisk alternativ på det europæiske marked. Storegate gør det nemt og sikkert for virksomheder og enkeltpersoner at gemme og dele filer. Vi beskytter alles privatliv og opbevarer alle oplysninger i Sverige i overensstemmelse med GDPR, i henhold til Nordisk lovgivning. Nordisk support er naturligvis inkluderet.

Du er velkommen til at prøve vores tjenestereller kontakte os for at få flere oplysninger.

Opdag en mere sikker måde at arbejde på.


Kom i gang i dag, det går hurtigt!

Prøv gratis i 14 dage