Hvad gør i-Reserve for at sikre og beskytte (person)oplysninger?

Hvorfor skal du sikre kundeoplysninger?

Som virksomhedsejer ved du, at beskyttelsen af kundeoplysninger er afgørende. Hackere og cyberkriminelle er altid på udkig efter nye måder at stjæle information på. Derfor er det vigtigt at tage skridt til at holde dine kundeoplysninger sikre. Inden for vores online reservationssystem beskyttes dine kunders oplysninger også i overensstemmelse med GDPR-lovgivningen.

GDPR som erstatning for den tidligere persondatalov

Siden den 25. maj 2018 har GDPR erstattet den tidligere lov om beskyttelse af personoplysninger. Den Generelle forordning om databeskyttelse (GDPR) er en privatlivslov, der gælder i hele EU. Og selv om GDPR er ny, er den baseret på grundprincipperne fra den tidligere lovgivning. Formålet med GDPR er at beskytte EU-borgernes privatlivs- og personoplysninger, og den finder anvendelse på enhver virksomhed, der indsamler personoplysninger fra EU-borgere. Læs alt om GDPR-lovgivningen her.

Sikring og beskyttelse af (person)oplysninger i i-Reserve reservationssystemet

Se, hvordan sikkerheden og beskyttelsen af (person)oplysninger garanteres i vores reservationssystem.

Sikker forbindelse

Som service leverer vi vores reservationssystem som standard (privacy by default) med et SSL-certifikat. SSL (eller egentlig TLS) genkendes på https:// foran url'en. Dette er en teknik, der sikrer forbindelsen mellem en hjemmesidebesøgende og den server, hjemmesiden er hostet på, med en meget stærk kryptering. Med en SSL-forbindelse sørger vi for, at den information, der sendes til og fra bookingdialogen, ikke kan 'aflæses' eller 'ændres' uønsket af tredjeparter.

Kryptering af information

Ud over at kryptere datatrafik på internettet via SSL (vi kalder dette også data in transit) giver i-Reserve reservationssystemet mulighed for også at anvende kryptering på fysiske data (også kaldet data at rest).

Adgangskoder gemmes krypteret i i-Reserve. Der vil heller aldrig blive sendt en adgangskode ved glemt adgangskode, men kun et link til selv at kunne nulstille sin adgangskode.

Firewall

Ved brug af en firewall tillader vi kun offentlige IP-adresser at oprette forbindelse til de porte, der er nødvendige. For porte og funktioner, der er kritiske ud fra et sikkerhedsmæssigt synspunkt, anvender vi en hvidliste. Kun IP-adresser, der er på denne liste, har adgang til reservationssystemet.

Web Application Firewall (WAF)

En Web Application Firewall er en applikation, der overvåger og holder øje med indgående og udgående trafik. Al trafik, der afviger eller strider mod firewallens regler, blokeres. Ved alvorligere 'overtrædelser' som forsøg på gentagen MySQL-injektion placeres denne IP-adresse straks på sortlisten, så denne afsender ikke længere kan oprette forbindelse til reservationssystemet.

IP-Whitelisting

Det er muligt at afskærme et i-Reserve reservationsmiljø fuldstændigt fra omverdenen. Dette kan gøres ved hjælp af IP-whitelisting. Hermed blokeres det domæne, som reservationssystemet befinder sig på, fuldstændigt, og domænet kan kun tilgås fra specifikke IP-adresser. Dette bruges for eksempel af kunder, der ønsker at bruge i-Reserve som en intern applikation.

Prepared statements

SQL-injektion bruges til en type sårbarhed i computerapplikationer. Applikationer, der gemmer information i en database, bruger ofte SQL til at kommunikere med databasen. SQL-injektion kan forekomme, når brugerinput behandles i en SQL-forespørgsel på utilstrækkelig kontrolleret vis.

I i-Reserve reservationssystemet anvender vi prepared statements. Det er en mekanisme, der sikrer, at uønsket kode ikke kan behandles i de SQL-forespørgsler, som applikationen udfører.

Slowdown-mekanisme

Brute force-angreb indebærer, at ondsindede aktører automatisk forsøger at logge ind i reservationssystemet med en liste af adgangskoder og brugernavne, indtil der findes en korrekt kombination.

For at afværge brute force-angreb anvender vi et slowdown-mekanisme. Første gang der er en forkert kombination af brugernavn og adgangskode, skal der ventes to sekunder, før en ny kombination kan forsøges. Anden gang fire sekunder, tredje gang seksten sekunder. Dette er en måde at gøre brugen af brute force ubrugelig på.

Lockdown-mekanisme

Hvis en indtrænger alligevel har fået adgang og forsøger at give sig selv flere rettigheder, gøres dette umuligt, og vedkommende udelukkes.

Hosting og opbevaring af data

Alle vores data er gemt i Nederlandene. i-Reserve reservationsapplikationen og den tilhørende database kører på en dedikeret server. Det betyder, at serveren er konfigureret til i-Reserve reservationssystemet og kun bruges af kunder hos Teqa Webdiensten. Data er kun tilgængeligt fra applikationen, og ingen andre kilder har tilladelse til at oprette forbindelse til databasen.

Databaser

i-Reserve anvender ikke delte databaser. Hver kunde har sin egen database med unikke loginoplysninger. Dette minimerer risikoen ved et eventuelt datalæk.

Daglige backups

For at sikre, at data ikke bare går tabt, anvender vi daglige automatiserede backups. Disse backups af reservationssystemet foretages hver dag, hvor både databasen og filsystemet medtages. Backupsene gemmes på en separat server og opbevares i 30 dage.

Daglige scanninger

Vi foretager dagligt en automatiseret scanning af systemet med McAfee Secure, som tester sikkerheden på vores servere. Vi foretager også en daglig scanning for malware og vira og har proaktiv kontrol hermed.

Segregation of duties

Segregation of duties (eller funktionsadskillelse) er konceptet om, at et bestemt ansvar fordeles på mere end én person. Programmører og udviklere har for eksempel ikke adgang til kundernes databaser. Kun de personer, der har brug for adgang til produktionssystemer og databaser i forbindelse med deres arbejde, har denne adgang.

Automatisk anonymisering af personoplysninger

For at overholde lovgivningen vedrørende behandling af personoplysninger i henhold til GDPR er det i vores reservationssystem muligt at anonymisere relevante personoplysninger automatisk. Dette betyder, at personoplysninger ikke opbevares længere end nødvendigt, eller at de skal anonymiseres. Dette falder under 'retten til at blive glemt'.

Denne funktionalitet er ikke aktiveret som standard og skal konfigureres (privacy by design) af administratoren.

Open Web Application Security Project

i-Reserve reservationssystemet overholder den bredt anvendte OWASP top 10. Allerede under udviklingen af applikationen tages der højde for de mest aktuelle emner i OWASP top 10. Desuden kontrolleres det periodisk og regelmæssigt – via forskellige testfaser – om applikationen fortsat opfylder disse krav.

Hvordan kan du selv garantere sikkerheden af dine kundeoplysninger?

Du er naturligvis selv også ansvarlig for sikkerheden og privatlivet i forbindelse med dine kunders oplysninger. Brugen af enkle adgangskoder, deling af brugerkonti og det at 'glemme' at logge ud er eksempler, vi ser ofte i praksis. Vi tilbyder derfor muligheden for at kræve, at adgangskoder indeholder et minimum antal tegn, tal, store bogstaver og specialtegn. Også den obligatoriske ændring af brugeradgangskoden hvert x antal dage er en mulighed, vi har indbygget i i-Reserve reservationssystemet.

Det er naturligvis op til jer som organisation at sikre, at der er oprettet en bruger til alle (dette medfører ingen ekstra omkostninger), og at rettighederne baseret på brugergrupper er korrekt konfigureret. Ved at afkorte længden af en indlogget session er det muligt at tackle problemet med at 'glemme' at logge ud.

Kort sagt er der rigeligt med muligheder for selv at tage ansvar og modvirke misbrug af (person)oplysninger.

Nysgerrig på vores reservationssystem?

Vil du opdage, hvad i-Reserve reservationssystemet ellers kan gøre for dig? Eller ønsker du mere information om sikring af kundeoplysninger? Tag da kontakt med os.