Säker kommunikation
Produktionssystem använder HTTPS för kommunikationen med användaren.
Säkerhet och förtroende
Säkerhet är en del av hela vårt arbete – från arkitektur och behörigheter till drift, övervakning och hantering av personuppgifter.
Produktionssystem använder HTTPS för kommunikationen med användaren.
Användare ska bara nå det som behövs för deras roll.
Vi eftersträvar att bara behandla information som lösningen behöver.
Tekniska fel ska kunna upptäckas och följas upp.
Arbetssätt
Säkerhet behöver finnas med från planering till drift. Åtgärderna anpassas efter lösningens funktion, risknivå och vilken information som behandlas.
Säkerhetskritiska kontroller ska verifieras på serversidan, inte bara styras av vad som visas i gränssnittet.
Beroende på projektets behov kan arbetet omfatta:
Kommunikation mellan användarens webbläsare och våra produktionssystem skyddas med HTTPS.
Lösenord lagras inte i klartext och hemligheter ska inte ligga öppet i källkoden. Skydd av lagrad data anpassas och dokumenteras utifrån driftmiljö och kundkrav.
Driftleverantör och teknisk miljö väljs utifrån lösningens krav och vilken information som behandlas.
För kundlösningen bör det vara tydligt:
Detaljer om en specifik driftmiljö kan lämnas inför avtal eller produktionssättning.
Produktionssystem kan utrustas med felrapportering, loggning, health checks och tillgänglighetskontroller.
Omfattningen kan inkludera:
Övervakning ska undvika känsliga uppgifter. Backup behöver kompletteras med ett fungerande sätt att återställa informationen.
Vi eftersträvar att bara behandla personuppgifter som lösningen behöver.
Det behöver vara tydligt:
När KustKod behandlar personuppgifter åt en kund regleras ansvar, instruktioner och underleverantörer genom lämpliga avtal.
Misstänkta incidenter ska kunna tas emot, bedömas och dokumenteras.
Vid en bekräftad incident prioriteras:
Inför produktionssättning kan en teknisk genomgång omfatta:
När risknivån motiverar det kan extern granskning eller penetrationstest rekommenderas. Ingen digital lösning kan garanteras vara helt fri från sårbarheter.
Externa tjänster kan användas för exempelvis drift, e-post, analys eller fillagring. Vilka tjänster som används varierar mellan projekt.
Innan en extern tjänst används bör det bedömas:
Ansvarsfull rapportering
Har du upptäckt en möjlig säkerhetsbrist i en lösning som utvecklats eller drivs av oss? Kontakta oss så att vi kan undersöka den.
Beskriv gärna:
Publicera inte känsliga detaljer innan vi har fått möjlighet att undersöka problemet.
Rapportera en säkerhetsfrågaInför ett samarbete
Inför avtal eller upphandling kan vi beskriva lösningens säkerhet, drift och personuppgiftshantering. Detaljerad dokumentation delas direkt med berörd kund när det behövs.
Underlag kan omfatta: