10 jun 2022
Vår IT-säkerhet - Grunden till en trygg besöksräkning
Indivds trygga besöksräknare baserad på Data Protection by Design handlar inte enbart om vår patenterade anonymiseringsmetod.
Det handlar även om hur vi säkerställer våra systems integritet, tillgänglighet, uthållighet och sekretess. Hur vi krypterar känslig information, genomför backups och kontinuerligt testar vår infrastruktur.
För att leva upp till en hög nivå har vi därför från start arbetat mot en ISO-standard.
I denna artikel kommer vi övergripande förklara vårt arbete med att kontinuerligt utvärdera och förbättra säkerheten och tryggheten för våra besöksräknare, våra kunder och våra kunders kunder.
Anonymisering
Vår patenterade anonymiseringsmetod säkerställer en trygg och säker besöksräkning. Det är en oåterkallelig behandling av personuppgifter som leder till att det är omöjligt (eller extremt opraktiskt) att identifiera fysiska personer.
För en besöksräknare innebär det att det inte helt enkelt räcker med att radera bilden och spara slumpmässig, hashad eller saltad data för en besökare. Denna data förblir en personuppgift som tillsammans med platsdata för butiken eller gallerian, tidsdata om när behandlingen skedde och extern data som mobiltelefonsdata är enkel att härleda till en unik person.
För att det ska vara en anonymisering ska det i princip vara omöjligt att identifiera personen, något som kan testas med tillgängliga uppgifter. Om det går att härleda datan till en fysisk person handlar det snarare om psedunymisering. Detta innebär att man behandlat datan men att det fortfarande är en personuppgift. Data om en fysisk person som är möjlig att identifera.
Anonymisering av data används även i andra delar av vår infrastruktur för att säkerställa en hög sekretess och stärka våra systems integritet.
Kryptering
För att skydda känslig information och våra system i sin helhet så använder vi oss av säkra inloggningar till våra kritiska system som följer våra interna policys.
Där det passar så använder vi oss av symmetrisk och asymmetrisk kryptering och vi gör vårt bästa för att hjälpa våra kunder att ha en hög säkerhet i butikerna och galleriorna.
Sekretess
Vi har flertalet olika aktiviteter för att säkerställa en hög nivå av sekretess i våra system. Förutom att autentiseringar övervakas med PAM, och att vår infrastruktur är skapad för att säkerställa att olika typer av information med olika syften kan behandlas separat, så använder vi åtkomstmekanismer för att förhindra att personer får tillgång till information de inte har rätt till.
Vid en eventuell incident så följer vi vår Data Breach Response Policy, skapad för att så snabbt och tydligt som möjligt åtgärda problemet.
Integritet
För att säkerställa en hög integritet i våra system så följer alla våra processer vår Dataklassificeringspolicy.
Därtill så tillhandahåller vi säkerhetsriktlinjer till personuppgiftsansvarig så att de säkerställler integriteten i den lokala miljön, arbetar alltid med säkra överföringar av information och använder tekniska och organisatoriska skydd för auktorisationer, loggar, analys av protokoll, revisioner, automatiska uteslutningsprotokoll osv.
Tillgänglighet
För att säkerställa en hög tillgänglighet i våra system så har vi säkerställt att all vår information är skyddad och säkerställd vid en eventuell incident.
Uthållighet
För att säkerställa att våra system är uthålliga så är vår infrastruktur designad på ett sätt så att de kan hantera tillfällig eller konstant hög belastning.
Backups
Vår infrastruktur är baserad på säkra och pålitliga Europeiska molnbaserade system vilka säkerställer vårt dokumenterade backup koncept.
Penetrationstester och riskanalyser
På en regelbunden basis genomför vi penetrationstester av våra system med hjälp av experter. Dessa penetrationstester följer rutiner och standarder vi har utformat i våra interna policys för att minimera risken för eventuella incidenter.
Vi genomför även regelbundna riskanalyser för att säkerställa en säkerställa en riskmedveten utveckling och minimerar risken för eventuella incidenter.
Vår senaste riskanalys, genomförd av marknadsledande experter, påvisade att vi inte hade några höga risker i vår infrastruktur.