Sikkerhet i Pindena Påmeldingssystem

Like dokumenter
Sikkerhet i Pindena Påmeldingssystem

Sikkerhet i Pindena Påmeldingssystem

Databehandleravtale. mellom. [KUNDE] Behandlingsansvarlig [ORGNUMMER KUNDE] Pindena AS Databehandler

DIN DIGITALE PARTNER

PERSONVERN, GDPR OG COREPUBLISH

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Effektiv Systemadministrasjon

Småteknisk Cantor Controller installasjon

Siteimprove analytics Tekniske spesifikasjoner

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

To-faktor autentisering i Bane NOR

Sikkerhet og internett

Brukerveiledning Webline Portal for E-post Bedrift/E-post Basis

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Febdok Server må være installert på den datamaskinen du sitter på. Last ned siste versjon fra Febdok sin hjemmeside eller gjennom programmet.

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Diabetesforbundet. Personvernerklæring

Personvernerklæring. Sist oppdatert

PERSONVERNERKLÆRING 1. BEHANDLINGENS FORMÅL OG GRUNNLAG

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

Opus Dental 7.1 Oppdateringsveiledning

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Opus Dental 7.1 Oppdateingsveiledning

Huldt & Lillevik Ansattportal Ansattportal. Versjon

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

WordPress Driftsavtale / SLA

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

City Nords Personvernerklæring

Huldt & Lillevik Ansattportal Ansattportal. Versjon

Produktdokumentasjon. Madison Møbler Administrasjonsside og Nettbutikk

Aditro AS. Produktnotat Huldt & Lillevik Ansattportal Ansattportal. Versjon (286) Copyright 2014 Aditro Side 1

Eksamen i Internetteknologi Fagkode: IVA1379

Sikkerhet og tilgangskontroll i RDBMS-er

Dersom du har spørsmål eller kommentarer til denne erklæringen eller hvordan vi behandler personopplysninger kan du kontakte oss på

PERSONVERNERKLÆRING FACE.NO

Mobilbank kontrollspørsmål apper

Politiske møtedokument

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

4.2 Sikkerhetsinstruks bruker

DOKUMENTASJON E-post oppsett

Personvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018

TAIME DATABASE INSTALLASJONSVEILEDNING

Installasjonsveiledning PowerOffice SQL

Personvernerklæring. Innledning. Om personopplysninger og regelverket

kpmg KPMG Kundeportal Brukerveiledning

Huldt & Lillevik Ansattportal Ansattportal. Versjon

Huldt & Lillevik Lønn Lønn 5.0. Versjon Build 479

GENERELL BRUKERVEILEDNING WEBLINE

Retningslinjer for informasjonskapsler for paneler og undersøkelser

PERSONVERN ERKLÆRI NG ROYSW EBDESI GN.NO

Veiledning Claw 2 CMS Innhold

Bilag 3: Beskrivelse av det som skal driftes

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

PERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr:

3. Databehandleravtale

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

Agio Forvaltning AS - Portal. Enkelt, effektivt og tidsbesparende!

1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.

Brukerveiledning: Innsending av digitale tilbud

PowerOffice Mobile Server

Bachelorprosjekt 2015

Veiledning i kryptering med Open PGP

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Brukermanual Kreditorweb for AutoCollect-kunder

Huldt & Lillevik Lønn Lønn 5.0. Versjon

BRUKERMANUAL. Telsys ipfaks

RFID AutoLogOff - et studentprosjekt

Innhold RDP... 2 Oppkobling Kirkedata... 2 Flere brukerpålogginger til Kirkedata... 6

9 Online Backup. Priser KR 100 / PC lisens KR 300 / Server lisens (inkluderer bl.a. SQL/Exchange) KR 0,50 / GB

Hvis vi gjør større endringer i vår personvernerklæring, vil vi gi deg beskjed, og ved behov be om ditt samtykke på nytt.

VEILEDER GI FJERNHJELP

Datasikkerhetserklæring Kelly Services AS

Oblig 5 Webutvikling. Av Thomas Gitlevaag

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Til IT-avdelingen. Krav innføring av Visma Samhandling Arkiv. Visma Unique AS Avdeling Oppvekst

PowerOffice Server Service

VEILEDER YTE FJERNHJELP

Brukerveiledning. Pålogging og bruk av Bra DESKTOP. Braathe Gruppen AS

PRODUKTBESKRIVELSE. NRDB DSL Fullmaktsserver

PowerOffice Server Service

Teller Oppgjør. Brukerdokumentasjon


Webhuset AS VPS Avtalevilkår

- Velkommen til klart.no -

Videokonsultasjon - sjekkliste

Administrasjon av FLT-Sunnhordland Web-side

Opt inn/opt ut, mailliste

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Mobilsynkronisering. for Windows phone 8

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Installere programvare gjennom Datapennalet - Tilbud

Vilkår for bruk av tjenesten

Personvernerklæring for MOOC

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon

Releaseskriv versjon Vedr. INSTALLASJONSPROSEDYRER. Versjon Pr. 30. MARS 2012 Copyright. Daldata Bergen AS

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Transkript:

Sikkerhet i Pindena Påmeldingssystem Versjon: 6.0.0 Oppdatert: 20.05.2019 1

Innhold Innhold 2 1.Om dokumentet 3 2. Sikkerhet på klientsiden 3 3.Sikkerhetstiltak i koden 3 3.1 Rollesikkerhet 3 3.2 Databasesikkerhet 4 3.3 Templatesikkerhet 4 3.4 Forebygge øktkapring (session hijacking) 4 3.4.1 Følgende er gjort for å forebygge øktkapring: 4 3.5 Forebygging av angrep 4 3.5.1 Følgende er gjort for å forebygge direkte angrep: 4 3.7 Logging 5 3.8 Auditlogg 5 4. E-post 6 5. Server 6 6. Domene 7 7. Personvern 7 7.1 Tiltak: 7 7.2 Tiltak som skal innføres: 7 7.3 Tiltak kunden bør gjøre overfor sine deltagere: 8 8. Diverse 8 Sikkerhet i Pindena Påmeldingssystem 2

1.Om dokumentet Dette dokumentet beskriver hvordan sikkerhet er håndtert i Pindena Påmeldingssystem. Dokumentet beskriver nærmere sikkerhet både for klient og i koden. I tillegg til ekstra tjenester som e-post, servere, domene og personvern. Dette dokumentet er også som et vedlegg for Databehandleravtale. 2. Sikkerhet på klientsiden Krypterte forbindelser og sikkerhet i programvaren på serversiden hjelper ikke hvis man har virus/trojanere eller andre sikkerhetshull på sin egen PC. Sikkerheten begynner på den siden brukeren sitter. Brukernavnet og passordet du mottar er personlig ikke gi det til andre, og husk å endre passord. 3.Sikkerhetstiltak i koden All programvare laget i Pindena-rammeverket har følgende sikkerhetstiltak: 3.1 Rollesikkerhet Hver bruker kan ha null eller flere roller tilknyttet. Rollene kontrollerer: 1. Hvilke maler brukerne kan se. 2. Hvilke menyelementer brukerne kan se. 3. Hvilke funksjoner brukerne kan utføre (klikk på knapper som endrer data etc). Sikkerhet i Pindena Påmeldingssystem 3

3.2 Databasesikkerhet Hver kunde har sine egne databasetabeller, som bare kundens installasjon har tilgang til. Alle data lagres i klartekst i databasen bortsett fra passord som er kryptert. 3.3 Templatesikkerhet Pindena er mal-/templatebasert, og tilgang gis for hver enkelt template. 1. Nekt først-policy på backend-maler. Hvis malen ikke har et definert sikkerhetsnivå har ingen tilgang til disse malene. Det er altså bevisste handlinger som må til for å tilgjengeliggjøre maler og tilgangsnivå til maler for de ønskede rollene. 2. Maler som ikke inngår i sikkerhetssystemet er som standard ikke tilgjengelige. 3. Maler i frontend har alle tilgang til, men for å utføre endringer uten pålogging så er det nødvendig med en unik ID. 3.4 Forebygge øktkapring (session hijacking) 3.4.1 Følgende er gjort for å forebygge øktkapring: 1. Session tidsavbrudd ved inaktivitet (session utløper etter en periode med inaktivitet selv om timeout ikke er nådd, og bruker blir logget ut). Antall timer er avhengig av ønsket sikkerhet. Kort utløpstid er mest sikkert. 2. Bytte av cookie-id ved pålogging for å hindre session fixation. 3. Alle kunder med vårt domene har HTTPS. De med eget domene kan få HTTPS for en ekstra kostnad. 3.5 Forebygging av angrep 3.5.1 Følgende er gjort for å forebygge direkte angrep: 1. Vi bruker rammeverket Laravel som har innebygget beskyttelse mot tre typer angrep: Sikkerhet i Pindena Påmeldingssystem 4

a. SQL Injection attack b. XSS attack (Cross Site Scripting) c. CSRF attack (Cross-Site Request Forgery) 2. Validering av all input som skal lagres i databasen eller presenteres i en mal. a. All input blir konvertert til den minst sikkerhetskritiske datatypen som løser oppgaven. b. Input i tallfelt blir konvertert til tall. c. Input i datofelt blir konvertert til datoer. d. Tekst som ikke skal ha formatering blir konvertert til ren tekst. e. Siste utvei er lagring av HTML kode som vi prøver å unngå, men der vi må gjøre det blir det vasket mot svartelister for å hindre lagring av kode som kan gi sikkerhetsproblemer. 3.7 Logging Logger brukes for sporing i tilfelle angrep. Følgende logger finnes: 1. Session-logg over brukersesjoner. 2. Logger for bruk. 3. Webserver-logg. 4. Google Analytics-logg. Webserver logg slettes etter 14 dager. 3.8 Auditlogg Pindena har kraftig audit-funksjonalitet. Merk at dette genererer mye data. Audit-logging kan konfigureres på spesifikke felt i tabeller der det er av særskilt interesse å følge med på endringer. Det som automatisk logges er: 1. Deltagerstatus 2. Betalingsstatus Kunden kan også ønske hvilke felt som skal logges (fakturerbart). Sikkerhet i Pindena Påmeldingssystem 5

Alle endringer i feltet blir logget og man har en full historie på alle verdier som har vært i feltet i tabellen og hvem som endret det og når de endret det. 4. E-post Følgende tiltak er utført for å redusere risikoen for at utsendelser skal bli oppfattet som søppelpost: 1. Vår egen e-postadresse er lagt inn som en standard avsenderadresse, og kunder kan be om å endre dette om de ønsker. 2. Kunder har muligheten til å be om å sende e-poster fra egen konto i feks SendGrid, Mandrill, Mailgun og lignende epostklienter. Kunder som benytter seg av e-postklienter for utsendelse, bes følge råd om Whitelabel og andre sikre tiltak. Ved å sende fra andre klienter, så kan man se statistikk på utsendelser, samt velge egen avsenderadresse. 3. Vi anbefaler kunder om å ha færrest mulig bilder i e-post som et tiltak for å prøve å unngå spamfilter. 5. Server 1. Pindena AS har retten til å flytte kunder mellom servere og leverandører; dette kan være nødvendig grunnet best ytelse for kunde. Kunder som signerer etter 1 juni 2019, kan også flyttes til servere som er lokalisert i andre EU/EØS land. 2. I Norge så leier vi virtuelle servere av Webhuset AS som har sine datasentre i Oslo og Bergen. (link: https://www.webhuset.no/tjenester/cloud-server ) 3. Webhuset sine servere bruker operativsystemet Debian 8 med automatisk oppdatering av sikkerhetspatcher. 4. Vi tar daglig backup av alle serverne, både filer og databaser. 5. Serverne overvåkes med Monit og varsler med både e-post og SMS ved feil. Sikkerhet i Pindena Påmeldingssystem 6

6. I skrivende stund vurderer vi også selskap som Amazon og Forge som nye leverandører for leie av servere. Dette er selskap som ikke har sine servere plassert i Norge. 6. Domene Vi benytter ISP-huset for domener. ISP-huset holder til i Drammen. (link: https://www.isphuset.no ) 7. Personvern 7.1 Tiltak: 1. Ingen deltagerinformasjon i kundens installasjon vil bli utgitt til tredjepart, eller brukt av Pindena. 2. Etter at en installasjon stenges, så skal den slettes etter 2 uker, med mindre annet er avtalt. 3. Innført SMS-verifisering på deltagerinformasjonsnivå. 4. Reservert felt for samtykke, med link til side for personvern. 7.2 Tiltak som skal innføres: 1. La ansvarlig velge hvilke felt som er sensitiv og ikke. 2. Ansvarlig kan sette hvor lang tid informasjon skal være lagret etter aktivitetsslutt, og etter det vil det bli slettet fra Pindena Påmeldingssystem og så fra databasen. Sikkerhet i Pindena Påmeldingssystem 7

7.3 Tiltak kunden bør gjøre overfor sine deltagere: 1. Be om godkjennelse til å innhente informasjon. 2. Kun innhente informasjon som er godkjent. 3. Slette informasjonen etter en viss tid. Enten ved å slette deltager eller selve aktiviteten. 4. Slette informasjon om deltageren hvis den ønsker å bli slettet. 5. Si ifra til Pindena om tidligere aktiviteter skal slettes (før punkt 7.2.2 innføres, fakturerbart). 8. Diverse Min side kan benyttes for at deltagere kan logge inn, og se hvilke aktiviteter de har deltatt i og blitt invitert til. Her kan de laste ned vedlegg som er aktuelle for aktiviteten, som: faktura, QR-kode, kursbevis og billett. Ved bruk av tredjeparts selskap på eget initiativ og ønske (som betalingsløsninger, e-postklienter og lignende), så er ansvaret mye til kunden selv, da Pindena ikke har valgt ut dette som våre egne underleverandører. I forbindelse med våre underleverandører, så har vi Databehandleravtaler med disse. Om kunden ønsker kan de tilsendes. Sikkerhet i Pindena Påmeldingssystem 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding