Vad gör i-Reserve med säkerheten och integriteten för (personliga) data?

Varför ska ni skydda kunddata?

Som företagare vet du att det är viktigt att skydda kunddata. Hackare och cyberbrottslingar letar alltid efter nya sätt att stjäla information. Därför är det viktigt att vidta åtgärder för att skydda dina kunddata. I vårt onlinebokningssystem skyddas även dina kunders data i enlighet med GDPR-förordningarna.

GDPR som ersättning för Wbp

Sedan den 25 maj 2018 har GDPR ersatt den nederländska personuppgiftslagen (Wbp). Allmänna dataskyddsförordningen (GDPR) är en integritetslag som gäller i hela EU. Även om GDPR är ny, bygger den på de grundläggande principerna i Wbp-lagstiftningen. GDPR syftar till att skydda integritetsregler och personuppgifter för EU-medborgare, och den gäller alla företag som samlar in personuppgifter från EU-medborgare. Läs allt om GDPR-lagstiftningen här.

Säkerhet och integritet för (personuppgifter) i i-Reserve bokningssystemet

Se hur säkerheten och integriteten för (personliga) uppgifter garanteras i vårt bokningssystem.

Säker anslutning

Som en tjänst förser vi vårt bokningssystem med ett SSL-certifikat som standard (sekretess som standard). SSL (eller mer exakt, TLS) känns igen på prefixet https:// i URL:en. Denna teknik säkrar anslutningen mellan en webbplatsbesökare och servern som är värd för webbplatsen med mycket stark kryptering. Med en SSL-anslutning säkerställer vi att information som skickas till och från bokningsdialogrutan inte kan läsas eller ändras av tredje part.

Kryptering av information

Förutom att kryptera datatrafik på internet via SSL (även kallat data under överföring) erbjuder reservationssystemet -Reserve även möjligheten att tillämpa kryptering på fysisk data (även kallat data i vila).

Lösenord lagras krypterade i i-Reserve . Dessutom skickar vi aldrig ett lösenord om du glömmer det, utan bara en länk för att själv återställa ditt lösenord.

Brandvägg

När vi distribuerar en brandvägg tillåter vi endast publika IP-adresser att ansluta till nödvändiga portar. För säkerhetskritiska portar och funktioner använder vi en vitlista. Endast IP-adresser på denna lista har åtkomst till reservationssystemet.

Webbapplikationsbrandvägg (WAF)

En webbapplikationsbrandvägg är en applikation som övervakar inkommande och utgående trafik. All trafik som avviker från brandväggen eller bryter mot dess regler blockeras. Vid allvarligare överträdelser, såsom ett försök till upprepad MySQL-injektion, svartlistas IP-adressen omedelbart, vilket förhindrar att avsändaren ansluter till bokningssystemet.

IP-vitlistning

Det är möjligt att helt avskärma en i-Reserve -bokningsmiljö från omvärlden. Detta kan uppnås genom IP-vitlistning. Detta blockerar helt domänen som är värd för bokningssystemet, vilket gör det endast tillgängligt från specifika IP-adresser. Detta används till exempel av kunder som vill använda i-Reserve som en intern applikation.

Förberedda uttalanden

SQL-injektion är en typ av sårbarhet i datorprogram. Program som lagrar information i en databas använder ofta SQL för att kommunicera med databasen. SQL-injektion kan inträffa när användarinmatning inte bearbetas korrekt i ett SQL-uttryck.

Inom i-Reserve -bokningssystemet använder vi förberedda satser. Denna mekanism förhindrar att oönskad kod bearbetas i SQL-frågor som körs av applikationen.

Avmattningsmekaniker

Brute force-attacker innebär att illvilliga aktörer försöker automatisera inloggningar till bokningssystemet med hjälp av en lista med lösenord och användarnamn, tills en korrekt kombination hittas.

För att förhindra brute force-attacker använder vi en fördröjningsmekanism. Första gången en användarnamn- och lösenordskombination är felaktig krävs en två sekunders fördröjning innan en ny kombination kan försökas. Andra gången, fyra sekunder, och tredje gången, sexton sekunder. Detta är ett sätt att göra brute force-attacker oanvändbara.

Låsningsmekanism

Om en inkräktare får åtkomst och försöker få fler rättigheter, kommer hen att förhindras från att göra det och bli utelåst.

Hosting och lagring av data

All vår data lagras i Nederländerna. i-Reserve -bokningsapplikationen och dess tillhörande databas körs på en dedikerad server. Det betyder att servern är konfigurerad för i-Reserve -bokningssystemet och används exklusivt av Teqa Web Services-kunder. Informationen är endast tillgänglig inifrån applikationen; inga andra källor får ansluta till databasen.

Databaser

i-Reserve använder inte delade databaser. Varje kund har sin egen databas med unika inloggningsuppgifter. Detta minimerar risken vid ett dataintrång.

Dagliga säkerhetskopior

För att säkerställa att data inte förloras av misstag använder vi dagliga automatiserade säkerhetskopior. Dessa säkerhetskopior av bokningssystemet görs dagligen, inklusive både databasen och filsystemet. Säkerhetskopiorna lagras på en separat server och behålls i 30 dagar.

Dagliga skanningar

Vi utför en daglig automatiserad systemskanning med McAfee Secure, vilket testar säkerheten för våra servrar. Vi utför också en daglig skanning efter skadlig kod och virus och övervakar dessa proaktivt.

Segregering av arbetsuppgifter

Segregering av arbetsuppgifter (eller uppdelning av funktioner) är konceptet att dela ett specifikt ansvar mellan mer än en person. Till exempel har programmerare och utvecklare inte tillgång till kunddatabaser. Endast de som behöver tillgång till produktionssystem och databaser för sitt arbete har den åtkomsten.

Anonymisera personuppgifter automatiskt

För att följa lagstiftningen gällande behandling av personuppgifter enligt GDPR möjliggör vårt reservationssystem automatisk anonymisering av relevanta personuppgifter. Det innebär att personuppgifter inte kommer att lagras längre än nödvändigt eller måste anonymiseras. Detta faller under "rätten att bli bortglömd".

Den här funktionen är inte aktiverad som standard och måste aktiveras (inbyggt integritetsskydd) av administratören.

Öppet webbapplikationssäkerhetsprojekt

i-Reserve bokningssystem uppfyller den allmänt använda OWASP topp 10-listan. De senaste ämnena i OWASP topp 10 beaktas under applikationens utveckling. Dessutom kontrolleras applikationen regelbundet – genom olika testfaser – för att säkerställa att den fortsätter att uppfylla dessa krav.

Hur kan ni själv garantera säkerheten för era kunddata?

Naturligtvis är du också ansvarig för säkerheten och integriteten för dina kunders data. Att använda enkla lösenord, dela användarkonton och glömma att logga ut är vanliga exempel på detta. Därför erbjuder vi möjligheten att kräva att lösenord innehåller ett minsta antal tecken, siffror, versaler och specialtecken. Det obligatoriska lösenordsbytet vart visst antal dagar är också en funktion som vi har byggt in i i-Reserve bokningssystemet.

Självklart är det upp till er som organisation att se till att en användare har skapats för alla (detta medför inga extra kostnader) och att behörigheter baserade på användargrupper är korrekt konfigurerade. Att förkorta längden på en inloggad session kan bidra till att åtgärda problemet med att man glömmer att logga ut.

Kort sagt, tillräckliga möjligheter att själv ta ansvar och förhindra missbruk av (person)uppgifter.

Nyfiken på vårt bokningssystem?

Vill du upptäcka vad mer i-Reserve -bokningssystemet kan göra för dig? Eller vill du ha mer information om hur du säkrar kunddata? Kontakta oss då.