Säkerhet

Vad bör man tänka på angående säkerhet och molntjänster?

Säkerhet & integritet

Begreppet molntjänster uppfattas fortfarande av många som ett ganska luddigt begrepp. En enkel beskrivning kan vara de processer och program som tillhandahålls via Internet. Men tjänsterna i molnen kan också skilja sig mycket åt mellan varandra när det kommer till kodbas, faciliteter, hårdvara, personal och rutiner. Det är svårt att skapa sig en uppfattning om vem som står bakom tjänsten och vilken leverantör som är bäst lämpad för det egna behovet. Många av företagen som erbjuder molntjänster är inte sällan mer än ett par år gamla.

Ett av de bästa sätten att förstå sig på molntjänster är att titta på var affärsdatan som lagras tar vägen. Från ett skrivbord, en telefon eller surfplatta till en datahall. Låt oss se hur det fungerar hos Storegate AB.

Datasäkerhet hos Storegate

Molngaranti med integritet och säkerhet i fokus
Storegates kunddata lagras i en tillförlitlig miljö där kunder kan utnyttja tjänsterna maximalt på ett tryggt, säkert och effektivt sätt. Utrustningen ägs av Storegate och datahallarna är belägna i Sverige.

Såväl faciliteter, system och personal möter hårda krav och vi erbjuder en full redundant miljö med optimala förutsättningar vad gäller strömförsörjning, kyla, klimat, branddetektering och släcksystem.

Storegates tjänster monitoreras dygnet runt via övervakningssystem. Om störningar uppstår i driften larmas jourhavande tekniker automatiskt. Inpassage till datahallar skyddas genom passerkontrollsystem, inre sektioneringar samt inbrottslarm.

Storegate jobbar tillsammans med oberoende konsulter för löpande penetrationstester, sårbarhetsgranskning och tester enligt standarder som t ex OWASP TOP TEN.

Storegate skannar aldrig information i affärsutvecklingssyfte eller för att sälja reklam.

Åtkomst till konto och autentisering
När ni skapar ert konto på Storegate har vi skapat förutsättningar för att ni själva ska kunna välja ett starkt användarnamn och lösenord som är anpassad efter ert företags policy.

  • Lösenordsfaktorer (minsta antal tecken som krävs av siffror, specialtecken versaler etc.)
  • Lösenordsåterställning från administratören eller via support
  • Begränsat antal inloggningsförsök (brute force)
  • Automatisk utloggning vid inaktivitet
  • Tokenbaserad Oauth-inloggning för klienter och webb
  • Tvåstegsverifiering med appar som har stöd för TOTP-protokollet, ex. Microsoft- samt Google Authenticator

Single Sign On
För Enterprise-kunder erbjuder Storegate stöd för Single Sign on. Detta ger företag en centraliserad kontroll över användarkonton i Storegate. Om ett företag stänger av en användare centralt kan inte personen längre logga in på tjänsten. På liknande sätt kan du som administratör styra och kontrollera dina användare. Detta görs genom att logga in på ditt administratörskontot på Storegate.com.

Mobil åtkomst
Mobila användare kan komma åt sina Storegate konton via mobila webbläsare eller en specifik Storegate-app. När en användare ansluter via en mobiltelefon (iPhone, iPad, Windows, Android m.m) appliceras HTTPS krypterad autentisering. All data som skickas mellan servern och den mobila applikationen är krypterad med bankstandarden TLS. Om en mobil enhet blir stulen eller förloras, kan administratören blockera personens konto så att tillgång till informationen i tjänsten blockeras i realtid.

Uppladdning och överföring
När du har loggat in på tjänsten via någon av våra gränssnitt kan du ladda upp filer och mappar. Själva uppladdningen är enkel när man ser det från användarens perspektiv, men vi på Storegate optimerar prestanda och säkerhet i själva överföringen. All data krypteras med 128-bitars TLS-kryptering. Detta innebär att du inte behöver använda VPN-tunnlar eller liknande för att komma åt er data från olika geografiska platser. Samma förfarande är omvänd när ni laddar ned filer till era enheter.

Behörighetsnivåer och delning av information
När era filer har nått Storegate och är redo för delning, samarbete eller lagring finns möjligheter att bestämma vem och vilka som ska få tillgång till informationen. Varje användare kan exempelvis sätta delningsbehörigheter i samarbetsmappar. Genom att dela ut mappar externt går det också bestämma vem och vilka partners som får ta del av er information och ladda upp information till ert konto. Utdelningar kan begränsas med tidsintervall samt lösenord som mottagaren behöver för att kunna komma åt innehållet.

Globala inställningar
På en global nivå kan administratörer ange vissa begränsningar på en eller flera användare. Dessutom kan administratören bestämma:

  • Vem som kan skapa mappar eller ladda upp filer
  • Vilka användare som skall bjudas in till kontot
  • Hur mycket varje användare får lagra i hemma-katalogen och i backup-delen
  • Vilka filer som skall raderas permanent (aktiv/inaktiv papperskorg)
  • Hur många versioner av varje fil som skall finnas på kontot
  • När och vem som ska ha rapporter om status på backup
  • När en användare skall tas bort

Lagring och kryptering
Alla filer som lagras i Storegates system är krypterade med AES 256-bitars kryptering. Vidare lagras alla filer i systemen med förvrängda sökvägar och filnamn. Detta innebär att man aldrig kan spåra vilka filer och hänvisningar som hör ihop med filernas ägare, dvs. kontoinnehavaren. För alla tjänster och protokoll på Storegate appliceras även 128-bitars TLS kryptering vid överföring. För Backup Pro krypteras filerna valfritt med en användargenerad krypteringsnyckel (256-bitars AES-kryptering). Systemet har inbyggd skydd mot SQL-injektion och brute force-attacker. Systemet kommer automatiskt blockera misslyckade inloggningsförsök som upprepas baserade på IP-adress och användarnamn.

Radering av lagrad information
Då filerna befinner sig i papperskorgen ligger de kvar tills ni väljer att tömma hela eller delar av papperskorgen. Tar ni bort filer från papperskorgen kan dessa aldrig mer återskapas. Om ni väljer att avsluta ett konto så sparas uppgifterna i 60 dagar, därefter raderar Storegate alla uppgifter i enlighet med personuppgiftslagen.

Våra riktlinjer
Säkerheten kring er information börjar på vårt kontor, i våra datahallar och med våra rutiner. Samtliga anställda på Storegate har ett anställningsavtal som omfattar sekretess gentemot våra partners och kunder. Liksom de flesta online-tjänster, har vi ett litet antal säkerhetsklassade anställda som måste kunna få tillgång till användardata av de skäl som anges i vårt användaravtal (tex när vi är juridiskt skyldiga att göra så). Men det är sällsynta undantag, inte regel. Vi har en strikt policy och teknisk åtkomstkontroll som förbjuder arbetstagarnas tillgång utom i dessa sällsynta fall. Dessutom använder vi ett antal fysiska och logiska säkerhetsåtgärder för att skydda användarinformation från obehörig åtkomst.

Storegate arbetar också för att upprätthålla säkerheten i det egna kontorsnätverket med:

  • Detekteringssystem för nätverksintrång
  • Applikationsloggning, rapportering, analys, arkivering och bevarande av data
  • Kontinuerlig övervakning

Administration av er data
Tekniker eller kundsupport hos Storegate kan tillfälligtvis behöva åtkomst till kunders konton för att hantera tekniska ärenden och support. Även här har vi upprättat noggranna policys och fullmakter som hjälper oss att hjälpa er med så lite insyn som möjligt.

Applikations- och hårdvaruarkitektur
I varje datahall håller Storegate full redundans vad gäller lastbalanserare, routrar, servrar, switchar och failover-konfigurationer m.m. Data som skrivs replikeras i realtid på flera servrar.

Summering
Storegates system är en komplex miljö som kräver flera olika lager av säkerhet. Från hårdvara som lagringsystem till mjuka värden som den personal som arbetar på Storegate. Storegates högsta prioritet är och förblir säkerheten kring kundernas digitala information. Om ni behöver mer information inom ett specifikt område vänliga kontakta Storegate så svarar vi gärna på era frågor.

GDPR

När Storegate lagrar dina uppgifter

Storegate följer GDPR och vi har en DPO (Data Protection Officer) som heter Martin Källström och kan nås på dpo@storegate.se. Vi har även tagit fram en incidenthanteringsplan, en integritetspolicy och önskar du ett personuppgiftsbiträdesavtal kan du beställa det här. Om du inte längre är kund hos oss kan du ändra eller ta bort informationen när du vill genom att anmäla och höra av dig till oss. Vår ambition är att hela tiden arbeta med relevant innehåll, integritet, ärlighet, transparens och ansvar.

När ni lagrar andras personuppgifter

Som kund hos Storegate har vi sett till att du kan följa GDPR. Först och främst så finns all data lagrad i Sverige (GDPR kräver lagring inom EU). Att det är svensk lagring skyddar även din data från att drabbas av utländska lagar. Utöver detta finns en loggningsfunktion på alla företagskonton. Detta innebär att man kan följa vad som hänt med en specifik fil och vem som har gjort det. Ovärderligt om man jobbar flera med samma filer och vill ha full kontroll. Nedan kan ni läsa mer om viktiga punkter för ert företag när det gäller GDPR.

Att tänka på
Personuppgifter som ni behandlar måste ha laglig grund. För att behandla personuppgifter måste det alltid finnas stöd i dataskyddsförordningen. Laglig grund kan vara ett samtycke innan ni behandlar en personuppgift.

Rätt att veta. Era kunder och medarbetare har utan kostnad rätt att veta vilken information ni behandlar om dem, syftet med behandlingen och var någonstans behandlingen sker.

Rätt att invända. Rätten att invända omfattar t.ex. rätten att kunna avbryta alla dina nyhetsbrev, lagen är särskilt tydlig här. Ni får heller inte använda personuppgifter som ni har behandlat på en faktura för att skicka mail med erbjudanden, om inte ni specifikt meddelat kunden att göra just detta och har ett bekräftat samtycke.

Rätten att bli bortglömd. Denna regel är kanske den som blir jobbigast att hantera då det ställer mycket speciella krav på er verksamhet. Har ni adresser till kunder i t.ex. en excel.fil eller i ett mail så ska dessa raderas om kunden begär detta. Det finns ett begrepp som benämns laglig grund och den kan oftast gälla före kundens önskan om att bli bortglömd. Har man t.ex. fått samtycke att lagra en faktura med namn och adress är detta en laglig grund. Men då måste man efter 7 år radera denna faktura eftersom uppgiften då kommer att sakna laglig grund. Det kan alltså finnas olika syften med din behandling av personuppgifter där lagringen av fakturor lyder under en, och kontakten i ert adressregister lyder under en annan.

Rätten att bli meddelad vid dataintrång. Skulle ert lagringskonto bli hackat och ni har personuppgifter så har berörda personer under vissa omständigheter rätt att inom skälig tid bli underrättade.

Det kan bli dyrt om man inte följer GDPR. De företag som inte följer GDPR riskerar stora böter med upp till 4% av företagets totala omsättning. Det handlar inte bara om IT utan all hantering av personuppgifter. Har ni t.ex. ett löneregister innehåller detta personuppgifter, och det är ert ansvar att ha regler för hur dessa rensas om personer slutar på företaget.

Här kommer lite tips om hur ert företag ska klara efterfölja GDPR. Tänk på alla personuppgifter som lånade och att när ni inte har något syfte med dem, ska de tas bort. Ert företag ansvarar för alla personuppgifter, oavsett vart de lagras. Det är ert ansvar att leverantörer av IT-system har de rätta säkerhetssystemen för att skydda era kunders data. Ni måste ha rutiner för att ta bort personuppgifter samt dokumentera var och hur din data förvaras och hanteras.

Kontrollfrågor man kan ställa i sitt arbete med att uppfylla GDPR:

  • Varför lagrar vi uppgifterna istället för att radera dem?
  • Har kunden/individen verkligen gett sitt samtycke till lagring?
  • Varför sparar vi uppgifterna? Ni får t.ex. inte lagra onödig information som t.ex. ålder om ni inte kan motivera detta som nödvändigt för din verksamhet och din kund.
  • Vad är syftet med behandlingen? Kategorisera dessa syften.
  • Hur länge är det motiverat att lagra uppgifterna? Skaffa rutiner som rensar ut gamla data.
  • Om en kund vill bli bortglömd hur agerar vi då? (Om ni raderar en fil med persondata, tänk på att den fortfarande kan ligga i papperskorgen)
  • Om en kund vill veta vad som finns lagrat, vilka besked ger ni då?
  • Hur vet ni att den som begär uppgifterna verkligen är den person som den utger sig för att vara?

Observera att ni själva måste säkra just er verksamhet juridiskt och att texten ovan är förenklad. Vill ni redan nu läsa mer om vad Datainspektionen säger om molntjänster och personuppgiftslagen så kan ni hitta det här.

CLOUD Act

De flesta svenska företag och organisationer har processer och rutiner för att följa den nya hårdare EU-lagstiftningen för hantering av personuppgifter (GDPR) som infördes den 25 maj 2018. Det finns dock andra aspekter som är minst lika viktiga att tänka på när ett företag väljer molntjänst för att lagra, dela och samarbeta med företagets filer.

Samma år, 2018, den 23 mars trädde nämligen en ny amerikansk lag i kraft, CLOUD Act (Clarifying Overseas Use of Data), som innebär att amerikanska myndigheter ska ges tillgång till data som lagrats på amerikanska molntjänster, även om denna lagras utomlands, och att amerikanska molntjänster därmed inte kan vägra lämna ut sådana data.

För att uppnå kraven enligt GDPR har amerikanska molntjänster tvingats erbjuda lagring inom EU till svenska företag. Med CLOUD Act betyder det att amerikansk lagstiftning gäller för data som lagras hos en amerikansk molntjänst även om det sker inom EU och det kan stå ett svenskt företag mycket dyrt att ignorera dessa risker.

Privacy Shield

Vad innebär ogiltigförklarandet av Privacy Shield och vilka konsekvenser får det?

För en tid sedan meddelade EU-domstolen att dataskyddsavtalet ”Privacy Shield” som tillät överföringar av EU-medborgares personuppgifter till USA, har ogiltigförklarats. Detta skedde i samband med avgörandet i domen Schrems ll vs Facebook den 16 juli 2020.

Domen innebär att det inte längre är tillåtet att överföra personuppgifter som tillhör EU-medborgare till amerikanskt ägda molntjänster.

Min leverantör säger att vår nuvarande överföring kan luta sig mot standardavtalsklausuler?

Flera amerikanska leverantörer av molntjänster påstår att överföringen av personuppgifter kan anses som laglig då man kan luta sig mot standardavtalsklausuler, precis som många företag gjorde 2015 när EU-domstolen ogiltigförklarade Safe Harbour (föregångaren till Privacy Shield).

För att bedöma om en sådan överföring med stöd av standardavtalsklausuler är laglig krävs en bedömning av rättssystemet i det land som personuppgifterna överförs till. Det vill säga i detta fall om USA ger ett tillräckligt bra skydd för de registrerades personuppgifter. Något som få, om än några företag och organisationer i världen har möjlighet att bedöma.

Dataskyddsmyndigheten har utifrån domen uppdaterat sina rekommendationer gällande överföringar av personuppgifter till USA. De förklarar att varje organisation som tidigare lutat sig mot Privacy Shield gällande överföringar nu måste kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till USA. Om uppgifter överförs till molntjänster med amerikanskt ägande bör man kunna påvisa hur skyddet hos det mottagande landet ser ut i det specifika fallet. Därefter måste företaget ta ställning till om det finns stöd för överföringen eller inte.

Planera långsiktigt och välj en hållbar IT-aktör och en säker molntjänst

En logisk följd till EU:s nya direktiv och bestämmelser kring digital information är att många svenska företag nu är i behov av andra alternativ till amerikanska molntjänster och IT-lösningar. Organisationer inom Europa söker nu efter lokala leverantörer och på längre sikt kan detta ge positiva effekter för hela den Europeiska unionen. Vi är på väg mot en digital transformation där företag väljer tjänster som erbjuder lagring av data som följer europeiska lagar samt värderingar. I sin tur värnar detta både mänskliga rättigheter, såväl som Europas och Sveriges egna innovationsgrad kring molntjänster.

Vi på Storegate är ett svenskt alternativ på den europeiska marknaden. Storegate gör det enkelt och säkert för företag och privatpersoner att lagra och dela filer. Vi värnar om allas integritet och lagrar all information i Sverige i enlighet med GDPR, under svensk lag. Självklart ingår svensk support.

Du är välkommen att prova våra tjänster eller kontakta oss för mer information.

Upptäck ett säkrare sätt att arbeta.

Kom igång redan idag,
det går snabbt!

Prova gratis i 14 dagar