Hvad gør i-Reserve med hensyn til sikkerhed og privatliv af (personlige) data?

Hvorfor skal du beskytte kundedata?

Som virksomhedsejer ved du, at det er vigtigt at beskytte kundedata. Hackere og cyberkriminelle leder altid efter nye måder at stjæle information på. Derfor er det vigtigt at tage skridt til at beskytte dine kundedata. I vores online bookingsystem er dine kunders data også beskyttet i overensstemmelse med GDPR-reglerne.

GDPR som erstatning for Wbp

Siden den 25. maj 2018 har GDPR erstattet den hollandske lov om persondatabeskyttelse (Wbp). Den generelle forordning om databeskyttelse (GDPR) er en privatlivslov, der gælder i hele EU. Selvom GDPR er ny, er den baseret på de grundlæggende principper i Wbp-lovgivningen. GDPR har til formål at beskytte privatlivsregler og personoplysninger for EU-borgere, og den gælder for enhver virksomhed, der indsamler personoplysninger om EU-borgere. Læs alt om GDPR-lovgivningen her.

Sikkerhed og privatliv for (personlige) data i i-Reserve reservationssystemet

Se hvordan sikkerheden og privatlivets fred for (personlige) data er garanteret i vores reservationssystem.

Sikker forbindelse

Som en service tilbyder vi vores reservationssystem som standard et SSL-certifikat (standardindstilling for privatliv). SSL (eller mere præcist TLS) kan genkendes på præfikset https:// i URL'en. Denne teknologi sikrer forbindelsen mellem en besøgende på webstedet og den server, der hoster webstedet, med meget stærk kryptering. Med en SSL-forbindelse sikrer vi, at oplysninger, der sendes til og fra bookingdialogboksen, ikke kan læses eller ændres af tredjeparter.

Kryptering af information

Udover at kryptere datatrafik på internettet via SSL (også kaldet data undervejs) tilbyder reservationssystemet -Reserve også muligheden for at anvende kryptering på fysiske data (også kaldet data i hvile).

Adgangskoder gemmes krypteret i i-Reserve . Derudover sender vi aldrig en adgangskode, hvis du glemmer den, men kun et link til at nulstille din adgangskode selv.

Firewall

Når vi implementerer en firewall, tillader vi kun offentlige IP-adresser at oprette forbindelse til de nødvendige porte. For sikkerhedskritiske porte og funktioner bruger vi en hvidliste. Kun IP-adresser på denne liste har adgang til reservationssystemet.

Webapplikationsfirewall (WAF)

En webapplikationsfirewall er en applikation, der overvåger indgående og udgående trafik. Enhver trafik, der afviger fra firewallen eller overtræder dens regler, blokeres. Ved mere alvorlige overtrædelser, såsom et forsøg på gentagen MySQL-injektion, bliver IP-adressen øjeblikkeligt sortlistet, hvilket forhindrer afsenderen i at oprette forbindelse til reservationssystemet.

IP-hvidliste

Det er muligt fuldstændigt at afskærme et i-Reserve reservationsmiljø fra omverdenen. Dette kan opnås via IP-hvidlistning. Dette blokerer fuldstændigt det domæne, der hoster reservationssystemet, hvilket gør det kun tilgængeligt fra bestemte IP-adresser. Dette bruges for eksempel af kunder, der ønsker at bruge i-Reserve som en intern applikation.

Forberedte udtalelser

SQL-injektion er en type sårbarhed i computerapplikationer. Applikationer, der lagrer information i en database, bruger ofte SQL til at kommunikere med databasen. SQL-injektion kan forekomme, når brugerinput ikke behandles korrekt i en SQL-sætning.

i-Reserve reservationssystemet bruger vi forberedte statements. Denne mekanisme forhindrer uønsket kode i at blive behandlet i de SQL-forespørgsler, der udføres af applikationen.

Opbremsningsmekanik

Brute-force-angreb involverer ondsindede aktører, der forsøger at automatisere logins til reservationssystemet ved hjælp af en liste over adgangskoder og brugernavne, indtil en korrekt kombination er fundet.

For at forhindre brute-force-angreb bruger vi en forsinkelsesmekanisme. Første gang en brugernavn- og adgangskodekombination er forkert, kræves der en forsinkelse på to sekunder, før en ny kombination kan forsøges. Anden gang fire sekunder, og tredje gang seksten sekunder. Dette er en måde at gøre brute-force-angreb ubrugelige på.

Låsemekanisme

Hvis en ubuden gæst får adgang og forsøger at opnå flere rettigheder, vil vedkommende blive forhindret i at gøre det og låst ude.

Hosting og opbevaring af data

Alle vores data gemmes i Holland. i-Reserve reservationsapplikationen og den tilhørende database kører på en dedikeret server. Det betyder, at serveren er konfigureret til i-Reserve reservationssystemet og udelukkende bruges af Teqa Web Services-kunder. Dataene er kun tilgængelige fra applikationen; ingen andre kilder har tilladelse til at oprette forbindelse til databasen.

Databaser

i-Reserve bruger ikke delte databaser. Hver kunde har sin egen database med unikke loginoplysninger. Dette minimerer risikoen i tilfælde af et brud.

Daglige sikkerhedskopier

For at sikre, at data ikke går tabt ved et uheld, bruger vi daglige automatiserede sikkerhedskopier. Disse sikkerhedskopier af reservationssystemet udføres dagligt, inklusive både databasen og filsystemet. Sikkerhedskopierne gemmes på en separat server og opbevares i 30 dage.

Daglige scanninger

Vi udfører en daglig automatiseret systemscanning med McAfee Secure, som tester sikkerheden på vores servere. Vi udfører også en daglig scanning for malware og virus og overvåger disse proaktivt.

Opdeling af opgaver

Opdeling af opgaver (eller funktioner) er konceptet med at dele et specifikt ansvar mellem mere end én person. For eksempel har programmører og udviklere ikke adgang til kundedatabaser. Kun dem, der har brug for adgang til produktionssystemer og databaser til deres arbejde, har denne adgang.

Anonymiser automatisk personoplysninger

For at overholde lovgivningen vedrørende behandling af personoplysninger i henhold til GDPR, tillader vores reservationssystem automatisk anonymisering af relevante personoplysninger. Det betyder, at personoplysninger ikke opbevares længere end nødvendigt eller skal anonymiseres. Dette falder ind under "retten til at blive glemt".

Denne funktion er ikke aktiveret som standard og skal aktiveres (privatlivsbeskyttelse gennem design) af administratoren.

Åbne webapplikationssikkerhedsprojekt

i-Reserve reservationssystemet lever op til den udbredte OWASP top 10. De seneste emner i OWASP top 10 tages i betragtning under applikationens udvikling. Derudover kontrolleres applikationen periodisk og regelmæssigt – gennem forskellige testfaser – for at sikre, at den fortsat overholder disse krav.

Hvordan kan du selv garantere sikkerheden af ​​dine kundedata?

Du er naturligvis også ansvarlig for sikkerheden og privatlivets fred for dine kunders data. Brug af simple adgangskoder, deling af brugerkonti og glemsel af at logge ud er almindelige eksempler på dette. Derfor tilbyder vi muligheden for at kræve, at adgangskoder indeholder et minimum antal tegn, tal, store bogstaver og specialtegn. Den obligatoriske ændring af adgangskode hvert bestemt antal dage er også en funktion, vi har indbygget i i-Reserve reservationssystemet.

Det er selvfølgelig op til jer som organisation at sikre, at der er oprettet en bruger for alle (dette medfører ingen ekstra omkostninger), og at tilladelser baseret på brugergrupper er konfigureret korrekt. At forkorte længden af ​​en indlogget session kan hjælpe med at løse problemet med at glemme at logge ud.

Kort sagt, tilstrækkelige muligheder for selv at tage ansvar og forhindre misbrug af (person)data.

Nysgerrig på vores reservationssystem?

Vil du vide, hvad i-Reserve reservationssystemet ellers kan gøre for dig? Eller ønsker du mere information om sikring af kundedata? Så kontakt os.