Hoppa till innehållet

Säkerhet och förtroende

Digitala lösningar ska vara byggda för att kunna litas på.

Säkerhet är en del av hela vårt arbete – från arkitektur och behörigheter till drift, övervakning och hantering av personuppgifter.

Säker kommunikation

Produktionssystem använder HTTPS för kommunikationen med användaren.

Behörighetsstyrning

Användare ska bara nå det som behövs för deras roll.

Dataminimering

Vi eftersträvar att bara behandla information som lösningen behöver.

Övervakning och uppföljning

Tekniska fel ska kunna upptäckas och följas upp.

Arbetssätt

Säkerhet som en del av utvecklingen

Säkerhet behöver finnas med från planering till drift. Åtgärderna anpassas efter lösningens funktion, risknivå och vilken information som behandlas.

Kryptering och kommunikation

Kommunikation mellan användarens webbläsare och våra produktionssystem skyddas med HTTPS.

Lösenord lagras inte i klartext och hemligheter ska inte ligga öppet i källkoden. Skydd av lagrad data anpassas och dokumenteras utifrån driftmiljö och kundkrav.

Drift och datalagring

Driftleverantör och teknisk miljö väljs utifrån lösningens krav och vilken information som behandlas.

För kundlösningen bör det vara tydligt:

  • Var applikation, databas och filer lagras
  • I vilka regioner data behandlas
  • Vilka externa tjänster som används och vilken åtkomst de har
  • Hur länge data och säkerhetskopior sparas

Detaljer om en specifik driftmiljö kan lämnas inför avtal eller produktionssättning.

Övervakning och återställning

Produktionssystem kan utrustas med felrapportering, loggning, health checks och tillgänglighetskontroller.

Omfattningen kan inkludera:

  • Upptäckt och uppföljning av tekniska fel
  • Kontroller av applikation och kritiska beroenden
  • Backup med dokumenterad omfattning, frekvens och lagringstid
  • Ansvar och metod för återställning

Övervakning ska undvika känsliga uppgifter. Backup behöver kompletteras med ett fungerande sätt att återställa informationen.

Personuppgifter och GDPR

Vi eftersträvar att bara behandla personuppgifter som lösningen behöver.

Det behöver vara tydligt:

  • Vilka uppgifter som behandlas, varför och med vilken rättslig grund
  • Hur länge uppgifterna sparas och vem som har åtkomst
  • Vilka externa tjänster som behandlar uppgifterna
  • Hur information kan rättas, exporteras eller raderas
  • Vad som händer när ett kundavtal avslutas

När KustKod behandlar personuppgifter åt en kund regleras ansvar, instruktioner och underleverantörer genom lämpliga avtal.

Incidenthantering

Misstänkta incidenter ska kunna tas emot, bedömas och dokumenteras.

Vid en bekräftad incident prioriteras:

  1. Begränsa påverkan och skydda berörda system
  2. Identifiera vad som hänt och vad som berörs
  3. Informera relevanta parter när det krävs
  4. Åtgärda grundorsaken
  5. Dokumentera och följa upp händelsen

Säkerhetsgranskningar

Inför produktionssättning kan en teknisk genomgång omfatta:

  • Autentisering, sessioner och behörigheter
  • Dataseparation, API:er och indatavalidering
  • Konfiguration och hemligheter
  • Databas, lagring och externa beroenden
  • Loggning, felhantering och övervakning
  • Hosting, deployment, backup och återställning

När risknivån motiverar det kan extern granskning eller penetrationstest rekommenderas. Ingen digital lösning kan garanteras vara helt fri från sårbarheter.

Externa tjänster och underleverantörer

Externa tjänster kan användas för exempelvis drift, e-post, analys eller fillagring. Vilka tjänster som används varierar mellan projekt.

Innan en extern tjänst används bör det bedömas:

  • Vilken information tjänsten får tillgång till
  • Var och hur länge informationen behandlas
  • Avtalsvillkor och egna underleverantörer
  • Hur information kan raderas eller exporteras

Ansvarsfull rapportering

Rapportera en möjlig sårbarhet

Har du upptäckt en möjlig säkerhetsbrist i en lösning som utvecklats eller drivs av oss? Kontakta oss så att vi kan undersöka den.

Beskriv gärna:

  • Vilken sida det gäller och hur problemet kan återskapas
  • Vilken påverkan du tror att det kan ha
  • Relevanta tekniska detaljer eller skärmbilder

Publicera inte känsliga detaljer innan vi har fått möjlighet att undersöka problemet.

Rapportera en säkerhetsfråga

Inför ett samarbete

Säkerhetsfrågor inför ett samarbete

Inför avtal eller upphandling kan vi beskriva lösningens säkerhet, drift och personuppgiftshantering. Detaljerad dokumentation delas direkt med berörd kund när det behövs.

Underlag kan omfatta:

  • Arkitektur, autentisering och behörigheter
  • Driftmiljö, datalagring och backup
  • Externa tjänster och personuppgiftsbehandling
  • Övervakning, incidenter och genomförda granskningar