Sikkerhet og personvern
Cloud computing er en samlebetegnelse for ulike typer tjenester som leveres over internett. De kan omfatte programvare, lagring, databaser, nettverk eller analyse. Skytjenester kan ha ulike egenskaper avhengig av hvem som leverer dem og hvordan de er organisert. Det kan være vanskelig å vite hvilken skytjeneste som passer best for din virksomhet, og hvilke leverandører som er mest pålitelige. Vi i Storegate tilbyr full åpenhet, og en god metode for å sammenligne skytjenester er å følge flyten av forretningsdata som sendes fra en enhet til en server. Nedenfor forteller vi mer om hvordan det ser ut hos Storegate.
Datasikkerhet hos Storegate
Skygaranti med personvern og sikkerhet i fokus
Storegates kundedata lagres i et pålitelig miljø hvor kundene kan utnytte tjenestene maksimalt på en trygg, sikker og effektiv måte. Utstyret eies av Storegate og datasentrene ligger i Sverige.
Både anlegg, systemer og personell møter tøffe krav og vi tilbyr et fullt redundant miljø med optimale forhold når det gjelder strømforsyning, kjøling, klima, branndeteksjons- og slokkesystemer.
Storegates tjenester overvåkes døgnet rundt via overvåkingssystemer. Hvis det oppstår forstyrrelser i driften, varsles vaktteknikere automatisk. Tilgang til datahaller er beskyttet av adgangskontrollsystemer, innvendige skillevegger og innbruddsalarm.
Storegate jobber sammen med uavhengige konsulenter for løpende penetrasjonstester, sårbarhetsgjennomganger og tester etter standarder som OWASP TOP TEN.
Storegate har et forum kalt ISWG (Information Security Work Group) som arbeider med å utforme og implementere prosesser for Storegates ISMS-system. Kontakt oss for mer informasjon.
Storegate skanner aldri informasjon for forretningsutviklingsformål eller for å selge reklame.
Kontotilgang og autentisering
Når du oppretter din konto hos Storegate har vi lagt forholdene til rette for at du skal kunne velge et sterkt brukernavn og passord som er tilpasset din bedrifts policy.
- Passordfaktorer (minimum antall tegn som kreves for tall, spesialtegn, store bokstaver osv.)
- Tilbakestilling av passord fra administrator eller via support
- Begrenset antall påloggingsforsøk (brute force)
- Automatisk utlogging ved inaktivitet
- Tokenbasert Oauth-pålogging for klienter og web
- To-trinns bekreftelse med apper som støtter TOTP-protokollen, f.eks. Microsoft og Google Authenticator
Enkel pålogging
For Enterprise-kunder tilbyr Storegate støtte for Single Sign on. Dette gir bedrifter sentralisert kontroll over brukerkontoer i Storegate. Dersom en bedrift suspenderer en bruker sentralt, kan vedkommende ikke lenger logge inn på tjenesten. På samme måte kan du som administrator administrere og kontrollere brukerne dine. Dette gjøres ved å logge inn på administratorkontoen din på Storegate.com.
Mobil tilgang
Mobilbrukere kan få tilgang til Storegate-kontoene sine via mobilnettlesere eller en spesifikk Storegate-app. Når en bruker kobler til via en mobiltelefon (iPhone, iPad, Windows, Android, etc.), brukes HTTPS-kryptert autentisering. All data som sendes mellom serveren og mobilapplikasjonen er kryptert med bankstandarden TLS. Dersom en mobil enhet blir stjålet eller mistet, kan administrator sperre personens konto slik at tilgangen til informasjonen i tjenesten blokkeres i sanntid.
Last opp og overfør
Når du har logget på tjenesten gjennom et av våre grensesnitt, kan du laste opp filer og mapper. Selve opplastingen er enkel når du ser det fra brukerens perspektiv, men vi i Storegate optimerer ytelse og sikkerhet i selve overføringen. Alle data er kryptert med 128-bits TLS-kryptering. Dette betyr at du ikke trenger å bruke VPN-tunneler eller lignende for å få tilgang til dataene dine fra forskjellige geografiske steder. Den samme prosedyren reverseres når du laster ned filer til enhetene dine.
Tillatelsesnivåer og deling av informasjon
Når filene dine har nådd Storegate og er klare for deling, samarbeid eller lagring, er det muligheter for å bestemme hvem og hvem som skal ha tilgang til informasjonen. For eksempel kan hver bruker angi deletillatelser i samarbeidsmapper. Ved å distribuere mapper eksternt er det også mulig å bestemme hvem og hvilke partnere som kan få tilgang til informasjonen din og laste opp informasjon til kontoen din. Distribusjoner kan begrenses av tidsintervaller og passord som mottakeren trenger for å få tilgang til innholdet.
Globale innstillinger
På globalt nivå kan administratorer sette visse begrensninger for én eller flere brukere. I tillegg kan administratoren bestemme:
- Hvem kan lage mapper eller laste opp filer
- Hvilke brukere som skal inviteres til kontoen
- Hvor mye hver bruker kan lagre i hjemmekatalogen og i sikkerhetskopidelen
- Hvilke filer skal slettes permanent (aktiv/inaktiv papirkurv)
- Hvor mange versjoner av hver fil skal være på kontoen
- Når og hvem skal ha rapporter om status for sikkerhetskopieringen
- Når en bruker skal fjernes
Lagring og kryptering
Alle filer som lastes opp til Storegate, lagres i sanntid på to separate systemer i to fysisk atskilte datarom og krypteres på disk med AES 256-biters kryptering. I tillegg lagres alle filer på systemene med krypterte stier og filnavn. Det betyr at man aldri kan spore hvilke filer og referanser som er relatert til eieren av filene, dvs. kontoinnehaveren. For alle tjenester og protokoller på Storegate brukes også 128-biters TLS-kryptering under overføring. For Backup Pro krypteres filene valgfritt med en brukergenerert krypteringsnøkkel (256-biters AES-kryptering). Systemet har innebygd beskyttelse mot SQL-injeksjon og brute force-angrep. Systemet blokkerer automatisk gjentatte mislykkede innloggingsforsøk basert på IP-adresse og brukernavn.
Felles ansvar for databeskyttelse og samsvarskrav
Sikkerhet og tilgjengelighet er vår høyeste prioritet både på organisasjons- og funksjonsnivå for de tjenestene vi tilbyr. Mange selskaper er imidlertid underlagt lokale eller bransjespesifikke regulatoriske krav til datalagring og sikkerhetskopiering, noe som kan kreve retningslinjer for sikkerhetskopiering og lagring som du som kunde må oppfylle. I likhet med andre ledende skytjenester opererer Storegate etter en modell med delt ansvar for databeskyttelse og samsvar. Det betyr at Storegate er ansvarlig for å beskytte tjenesten og infrastrukturen, mens kunden er ansvarlig for å beskytte sine egne data for å sikre samsvar eller mot tilgangsproblemer, utilsiktet sletting, ondsinnet aktivitet og andre datatapshendelser. Vi anbefaler derfor at hver enkelt kunde sørger for sikkerhetskopiering til en tredjepartsløsning eller til en lokal disk hjemme. Gjennom tilleggstjenesten Extended Access kan alle filer og mapper (inkludert underbrukerkatalogen Mine filer) sikkerhetskopieres lokalt eller til en tredjepart. Kontakt oss for mer informasjon.
Slette lagret informasjon
Når filene ligger i papirkurven, forblir de der til du velger å tømme hele eller deler av papirkurven. Hvis du sletter filer fra papirkurven, kan de aldri gjenskapes. Hvis du velger å avslutte en konto, lagres opplysningene i 60 dager, og deretter sletter Storegate alle opplysninger i henhold til GDPR.
Våre retningslinjer
Sikkerheten til informasjonen din starter på vårt kontor, i våre datasentre og med våre rutiner. Alle ansatte i Storegate har en arbeidsavtale som dekker konfidensialitet overfor våre samarbeidspartnere og kunder. Som de fleste nettjenester har vi et lite antall ansatte med politiregister som må ha tilgang til brukerdata av de grunner som er angitt i vår brukeravtale (f.eks. når vi er lovpålagt å gjøre det). Men det er sjeldne unntak, ikke regelen. Vi har en streng policy og teknisk tilgangskontroll som forbyr ansattes tilgang bortsett fra i disse sjeldne tilfellene. I tillegg bruker vi en rekke fysiske og logiske sikkerhetstiltak for å beskytte brukerinformasjon mot uautorisert tilgang.
Storegate jobber også for å opprettholde sikkerheten til sitt eget kontornettverk med:
- System for registrering av inntrenging i nettverk
- Applikasjonslogging, rapportering, analyse, arkivering og oppbevaring av data
- Kontinuerlig overvåking
Administrasjon av dine data
Storegate-teknikere eller kundestøtte kan av og til trenge tilgang til kundenes kontoer for å håndtere tekniske problemer og støtte. Også her har vi etablert nøye retningslinjer og autorisasjoner som hjelper oss å hjelpe deg med så lite åpenhet som mulig.
Applikasjons- og maskinvarearkitektur
I hver datahall opprettholder Storegate full redundans når det gjelder lastbalansere, rutere, servere, switcher og failover-konfigurasjoner osv. Data som skrives replikeres i sanntid på flere servere.
Oppsummering
Storegates system er et komplekst miljø som krever flere ulike lag med sikkerhet. Fra maskinvare som lagringssystemer til myke eiendeler som personalet som jobber på Storegate. Storegates høyeste prioritet er og forblir sikkerheten til kundenes digitale informasjon. Trenger du mer informasjon innen et spesifikt område, ta kontakt med Storegate så svarer vi gjerne på dine spørsmål.
Rapportere sårbarhet
Våre prinsipper
Sikkerheten i systemene våre har høyeste prioritet. Men uansett hvor mye arbeid vi legger ned i systemsikkerheten, kan det fortsatt finnes sårbarheter.
Hvis du oppdager en sårbarhet, ønsker vi at du gir oss beskjed, slik at vi kan iverksette tiltak for å utbedre den så raskt som mulig. Ved å varsle oss hjelper du oss med å beskytte kundene og systemene våre bedre.
Vennligst gjør følgende:
- Send en melding til info[at]storegate.com, så får du en unik lenke til å laste opp informasjon.
- Ikke utnytt sårbarheten eller problemet du har oppdaget, f.eks. ved å laste ned mer data enn nødvendig for å demonstrere sårbarheten eller ved å slette eller endre andres data.
- Ikke fortell andre om problemet før det er løst.
- Ikke bruk angrep på fysisk sikkerhet, sosial manipulering, distribuert overbelastning, spam eller tredjepartsapplikasjoner.
- Vennligst oppgi nok informasjon til å reprodusere problemet, slik at vi kan løse det så raskt som mulig. Vanligvis er IP-adressen eller URL-adressen til det berørte systemet og en beskrivelse av sårbarheten tilstrekkelig, men komplekse sårbarheter kan kreve ytterligere forklaringer.
Det vi lover:
- Vi vil svare på varselet ditt innen 5 virkedager med vår vurdering av varselet og en forventet dato for avgjørelse.
- Hvis du har fulgt instruksjonene ovenfor, vil vi ikke ta noen rettslige skritt mot deg i forbindelse med rapporten.
- Vi behandler rapporten din strengt konfidensielt og gir ikke personopplysningene dine videre til tredjeparter uten din tillatelse.
- Vi vil holde deg informert om hvordan det går med å løse problemet.
- I den offentlige informasjonen om det rapporterte problemet vil vi oppgi ditt navn som den som oppdaget problemet (med mindre du ønsker noe annet), og som et tegn på vår takknemlighet for din hjelp tilbyr vi en belønning for hver rapport om et sikkerhetsproblem som vi ennå ikke kjente til. Belønningens størrelse avhenger av hvor alvorlig lekkasjen er og kvaliteten på rapporten. Minimumsbelønningen er et gavekort på 50 euro.
Vi bestreber oss på å løse alle problemer så raskt som mulig, og vi vil gjerne spille en aktiv rolle i den endelige publiseringen av utgaven når problemet er løst.
GDPR
Når Storegate lagrer dataene dine
Storegate følger GDPR, og vi har et personvernombud (DPO) som kan nås på dpo@storegate.se. Vi har også utarbeidet en plan for hendelseshåndtering, en personvernerklæring og hvis du ønsker en databehandleravtale, kan du bestille den her. Hvis du ikke lenger er kunde hos oss, kan du når som helst endre eller slette opplysningene ved å varsle oss og kontakte oss. Vår ambisjon er å hele tiden arbeide med relevant innhold, integritet, ærlighet, åpenhet og ansvarlighet.
Når du lagrer andres personopplysninger
Som Storegate-kunde har vi sørget for at du kan overholde GDPR. For det første lagres all data i Sverige (GDPR krever lagring innenfor EU). Det faktum at det lagres i Sverige beskytter også dataene dine mot å bli påvirket av utenlandske lover. I tillegg til dette er det en loggingsfunksjon på alle bedriftskontoer. Dette betyr at du kan følge med på hva som skjedde med en bestemt fil og hvem som gjorde det. Uvurderlig hvis du jobber med flere av de samme filene og ønsker full kontroll. Nedenfor kan du lese mer om viktige punkter for din bedrift angående GDPR.
Å tenke på
Personopplysninger som du behandler må ha et rettslig grunnlag. For å behandle personopplysninger må det alltid være støtte i personvernforordningen. Det rettslige grunnlaget kan være samtykke før du behandler personopplysninger.
Rett til å vite. Dine kunder og ansatte har rett til gratis å få vite hvilke opplysninger du behandler om dem, formålet med behandlingen og hvor behandlingen finner sted.
Rett til å protestere. Innsigelsesretten omfatter bl.a. retten til å kunne si opp alle dine nyhetsbrev, er loven spesielt tydelig her. Du kan heller ikke bruke personopplysninger som du har behandlet på en faktura til å sende e-post med tilbud, med mindre du spesifikt har gitt kunden beskjed om dette og har bekreftet samtykke.
Retten til å bli glemt. Denne regelen er kanskje den vanskeligste å administrere da den stiller helt spesielle krav til virksomheten din. Har du adresser til kunder i f.eks. en excel-fil eller i en e-post, må disse slettes dersom kunden ber om dette. Det finnes et konsept som heter lovgrunnlag og det kan som regel gjelde før kundens ønske om å bli glemt. Hvis du har f.eks. innhentet samtykke til å oppbevare en faktura med navn og adresse, er dette en lovhjemmel. Men så etter 7 år må du slette denne fakturaen fordi opplysningene da ikke har rettslig grunnlag. Det kan derfor være ulike formål for din behandling av personopplysninger, hvor lagring av fakturaer faller inn under ett, og kontakten i ditt adresseregister faller inn under et annet.
Rett til å bli varslet ved databrudd. Skulle lagringskontoen din bli hacket og du har personopplysninger, har de berørte personer under visse omstendigheter rett til å bli varslet innen rimelig tid.
Unnlatelse av å overholde GDPR kan være dyrt. De selskapene som ikke overholder GDPR risikerer store bøter på opptil 4 % av selskapets totale omsetning. Det handler ikke bare om IT men all håndtering av personopplysninger. Har du f.eks. et lønnsregister inneholder disse personopplysningene, og det er ditt ansvar å ha regler for hvordan disse ryddes dersom personer slutter i bedriften.
Her er noen tips til hvordan din bedrift kan klare å overholde GDPR. Tenk på alle personopplysninger som lånte og at når du ikke har noen hensikt med det, bør de slettes. Din bedrift er ansvarlig for alle personopplysninger, uavhengig av hvor de er lagret. Det er ditt ansvar at leverandører av IT-systemer har de riktige sikkerhetssystemene for å beskytte dine kunders data. Du må ha rutiner for å fjerne personopplysninger og dokumentere hvor og hvordan dataene dine lagres og håndteres.
Kontrollspørsmål du kan stille i arbeidet ditt for å overholde GDPR:
- Hvorfor lagrer vi dataene i stedet for å slette dem?
- Har kunden/personen virkelig gitt sitt samtykke til lagring?
- Hvorfor lagrer vi dataene? Du får f.eks. ikke lagre unødvendig informasjon som f.eks alder hvis du ikke kan begrunne dette som nødvendig for din bedrift og din kunde.
- Hva er hensikten med behandlingen? Kategoriser disse formålene.
- Hvor lenge er det forsvarlig å lagre dataene? Få rutiner som rydder ut gamle data.
- Hvis en kunde ønsker å bli glemt, hvordan handler vi? (Hvis du sletter en fil med personlige data, husk at den fortsatt kan være i papirkurven)
- Hvis en kunde vil vite hva som er lagret, hvilken informasjon gir du?
- Hvordan vet du at personen som ber om informasjonen virkelig er den personen de utgir seg for å være?
Vær oppmerksom på at du selv må sikre virksomheten din juridisk, og at teksten ovenfor er forenklet. Hvis du allerede nå vil lese mer om hva Datainspektionen sier om skytjenester, finner du det her.
CLOUD Act
De fleste nordiske bedrifter og organisasjoner har prosesser og rutiner for å etterleve den nye tøffere EU-lovgivningen for håndtering av personopplysninger (GDPR) som ble innført 25. mai 2018. Det er imidlertid andre aspekter som er minst like viktige å vurdere når et selskap skal velge skytjeneste for å lagre, dele og samarbeide med firmafiler.
Samme år, 2018, 23. mars, trådte en ny amerikansk lov i kraft, CLOUD Act (Clarifying Overseas Use of Data), som innebærer at amerikanske myndigheter skal gis tilgang til data lagret på amerikanske skytjenester, selv om det er lagret i utlandet, og at amerikanske skytjenester derfor ikke kan nekte å frigi slike data.
For å oppfylle kravene i henhold til GDPR har amerikanske skytjenester blitt tvunget til å tilby lagring innenfor EU til nordiske selskaper. Med CLOUD Act betyr dette at amerikansk lovgivning gjelder for data som lagres med en amerikansk skytjeneste selv om det foregår innenfor EU og det kan være svært dyrt for et nordisk selskap å ignorere disse risikoene.
Privacy Shield
Hva betyr ugyldiggjøringen av Privacy Shield og hva er konsekvensene?
For en tid tilbake kunngjorde EU-domstolen at databeskyttelsesavtalen «Privacy Shield», som tillot overføringer av EU-borgeres personopplysninger til USA, er erklært ugyldig. Dette skjedde i forbindelse med avgjørelsen i dommen Schrems ll vs Facebook 16. juli 2020.
Dommen innebærer at det ikke lenger er tillatt å overføre personopplysninger som tilhører EU-borgere til amerikanskeide skytjenester.
Leverandøren min sier at vår nåværende overføring kan stole på standard kontraktklausuler?
Flere amerikanske skytjenesteleverandører hevder at overføring av personopplysninger kan anses som lovlig ved å basere seg på standard kontraktuelle klausuler, akkurat som mange selskaper gjorde i 2015 da EU-domstolen ugyldiggjorde Safe Harbor (forgjengeren til Privacy Shield).
For å vurdere om en slik overføring med støtte i standard avtaleklausuler er lovlig, kreves det en vurdering av rettssystemet i landet som personopplysningene overføres til. Det vil si i dette tilfellet dersom USA gir tilstrekkelig god beskyttelse for de registrertes personopplysninger. Noe få, om noen, bedrifter og organisasjoner i verden har mulighet til å vurdere.
Basert på dommen har Datatilsynet oppdatert sine anbefalinger angående overføringer av personopplysninger til USA. De forklarer at hver organisasjon som tidligere stolte på Privacy Shield angående overføringer nå må kartlegge hvilke strømmer av personopplysninger som finnes i organisasjonen og i hvilke tilfeller personopplysninger kan overføres til USA. Dersom data overføres til skytjenester med amerikansk eierskap, bør det være mulig å påvise hvordan beskyttelsen av mottakerlandet ser ut i det konkrete tilfellet. Deretter må bedriften ta stilling til om det er støtte for overføringen eller ikke.
Planlegg langsiktig og velg en bærekraftig IT-leverandør og en sikker skytjeneste
En logisk konsekvens av EUs nye direktiver og regelverk når det gjelder digital informasjon er at mange nordiske selskaper nå har behov for andre alternativer til amerikanske skytjenester og IT-løsninger. Organisasjoner innen Europa ser nå etter lokale leverandører og på lengre sikt kan dette ha positive effekter for hele EU. Vi er på vei mot en digital transformasjon der selskaper velger tjenester som tilbyr datalagring som er i samsvar med europeiske lover og verdier. I sin tur beskytter dette både menneskerettighetene, samt Europas og Sveriges egen grad av innovasjon rundt skytjenester.
Vi i Storegate er et nordisk alternativ på det europeiske markedet. Storegate gjør det enkelt og sikkert for bedrifter og enkeltpersoner å lagre og dele filer. Vi beskytter alles personvern og lagrer all informasjon i Sverige i henhold til GDPR, under nordisk lov. nordisk støtte er selvfølgelig inkludert.
Du er velkommen til å prøve våre tjenester eller kontakte oss for mer informasjon.