Vad gör i-Reserve för att skydda säkerheten och integriteten för (person)uppgifter?

Varför måste du skydda kunduppgifter?

Som företagare vet du att skyddet av kunduppgifter är viktigt. Hackare och cyberkriminella letar alltid efter nya sätt att stjäla information. Därför är det viktigt att vidta åtgärder för att hålla dina kunduppgifter säkra. Inom vårt bokningssystem online skyddas dina kunders uppgifter också enligt GDPR-lagstiftningen.

GDPR som ersättning för PUL

Sedan den 25 maj 2018 ersätter GDPR personuppgiftslagen (PUL). Den allmänna dataskyddsförordningen (GDPR) är en integritetslag som gäller i hela EU. Och även om GDPR är ny bygger den på grundprinciperna i PUL-lagstiftningen. Syftet med GDPR är att skydda EU-medborgares integritetsskydd och personuppgifter, och den gäller för varje företag som samlar in personuppgifter om EU-medborgare. Läs allt om GDPR-lagstiftningen här.

Säkerheten och integriteten för (person)uppgifter i i-Reserve bokningssystem

Se hur säkerheten och integriteten för (person)uppgifter garanteras i vårt bokningssystem.

Säker anslutning

Som tjänst levererar vi vårt bokningssystem som standard (privacy by default) med ett SSL-certifikat. SSL (eller egentligen TLS) känns igen på https:// framför webbadressen. Det är en teknik som skyddar anslutningen mellan besökaren på en webbplats och den server där webbplatsen finns med en mycket stark kryptering. På så sätt säkerställer vi med en SSL-anslutning att informationen som skickas till och från bokningsdialogen inte oönskat kan "läsas" eller "ändras" av tredje part.

Kryptering av information

Utöver kryptering av datatrafik på internet via SSL (vi kallar detta även data in transit) erbjuder i-Reserve bokningssystem möjligheten att även tillämpa kryptering på fysisk data (även kallat data at rest).

Lösenord lagras krypterade inom i-Reserve. Det skickas heller aldrig något lösenord vid ett glömt lösenord, utan endast en länk för att själv kunna återställa sitt lösenord.

Brandvägg

Vid användning av en brandvägg tillåter vi endast offentliga IP-adresser att ansluta till de portar som behövs. För portar och funktioner som är kritiska ur säkerhetssynpunkt använder vi en vitlista. Endast IP-adresser som finns på den listan har åtkomst till bokningssystemet.

Web Application Firewall (WAF)

En Web Application Firewall är ett program som granskar och övervakar inkommande och utgående trafik. All trafik som avviker eller strider mot brandväggens regler blockeras. Vid allvarligare "överträdelser" som ett försök till upprepad MySQL-injektion hamnar detta IP-adress direkt på svartlistan så att denna avsändare inte längre kan ansluta till bokningssystemet.

IP-vitlistning

Det är möjligt att helt avskärma en i-Reserve bokningmiljö från omvärlden. Detta kan göras genom att använda IP-vitlistning. Därmed blockeras domänen där bokningssystemet finns helt och domänen kan endast nås från specifika IP-adresser. Detta används till exempel av kunder som vill använda i-Reserve som en intern applikation.

Prepared statements

SQL-injektion används för en typ av sårbarhet i datorapplikationer. Applikationer som lagrar information i en databas använder ofta SQL för att kommunicera med databasen. SQL-injektion kan inträffa när användarinmatning bearbetas på ett otillräckligt kontrollerat sätt i ett SQL-uttryck.

Inom i-Reserve bokningssystem använder vi prepared statements. Det är en mekanism som säkerställer att oönskad kod inte kan bearbetas i de SQL-frågor som körs av applikationen.

Nedbromsningsmekanik

Brute force-attacker innebär att illvilliga aktörer automatiserat försöker logga in i bokningssystemet med en lista av lösenord och användarnamn, tills en korrekt kombination hittas.

För att motverka brute force-attacker använder vi en nedbromsningsmekanik. Första gången en felaktig kombination av användarnamn och lösenord anges måste man vänta två sekunder innan en ny kombination kan provas. Andra gången fyra sekunder, tredje gången sexton sekunder. Detta är ett sätt att göra brute forcing oanvändbar.

Låsningsmekanik

Om en inkräktare ändå lyckas få åtkomst och försöker ge sig själv fler rättigheter, omöjliggörs detta och inkräktaren stängs ute.

Hosting och lagring av data

All vår data lagras i Nederländerna. i-Reserve bokningsapplikation och tillhörande databas körs på en dedikerad server. Det innebär att servern är konfigurerad för i-Reserve bokningssystem och används enbart av kunder hos Teqa Webdiensten. Uppgifterna är därvid endast åtkomliga via applikationen; inga andra källor har tillstånd att ansluta till databasen.

Databaser

i-Reserve använder inte delade databaser. Varje kund har en egen databas med unika inloggningsuppgifter. Detta minimerar risken vid ett eventuellt dataintrång.

Dagliga säkerhetskopior

För att garantera att data inte går förlorad använder vi dagliga automatiserade säkerhetskopior. Dessa säkerhetskopior av bokningssystemet görs varje dag, och både databasen och filsystemet inkluderas. Säkerhetskopiorna lagras på en separat server och bevaras i 30 dagar.

Dagliga skanningar

Vi utför dagligen en automatiserad skanning av systemet med McAfee Secure, som testar säkerheten på våra servrar. Vi utför också dagliga skanningar efter skadlig programvara och virus och har proaktiv kontroll över detta.

Segregation of duties

Segregation of duties (eller funktionsuppdelning) är konceptet att ett visst ansvar fördelas på mer än en person. Programmerare och utvecklare har till exempel inte åtkomst till kunddatabaser. Endast de personer som behöver åtkomst till produktionssystem och databaser för sitt arbete har sådan åtkomst.

Automatisk anonymisering av personuppgifter

För att uppfylla lagstiftningen avseende behandling av personuppgifter enligt GDPR är det möjligt i vårt bokningssystem att relevanta personuppgifter anonymiseras automatiskt. Det innebär att personuppgifter inte får bevaras längre än nödvändigt eller måste anonymiseras. Detta faller under "rätten att bli glömd".

Denna funktionalitet är inte aktiverad som standard och måste konfigureras (privacy by design) av administratören.

Open Web Application Security Project

i-Reserve bokningssystem uppfyller den allmänt använda OWASP topp 10. Redan vid utvecklingen av applikationen tas hänsyn till de senaste ämnena i OWASP topp 10. Dessutom kontrolleras periodiskt och regelbundet – via olika testfaser – att applikationen fortsatt uppfyller dessa krav.

Hur kan du själv garantera säkerheten för dina kunduppgifter?

Naturligtvis är du själv också ansvarig för säkerheten och integriteten avseende dina kunders uppgifter. Användning av enkla lösenord, delning av användarkonton och att "glömma" att logga ut är exempel som vi ofta ser i praktiken. Vi erbjuder därför möjligheten att kräva att lösenord innehåller ett minsta antal tecken, siffror, versaler och specialtecken. Även möjligheten att kräva byte av användarlösenord var x antal dagar är en funktion som vi har byggt in i i-Reserve bokningssystem.

Naturligtvis är det upp till er som organisation att se till att en användare har skapats för alla (detta medför inga extra kostnader) och att rättigheterna baserade på användargrupper är korrekt inställda. Genom att förkorta längden på en inloggad session är det möjligt att hantera problemet med att "glömma" att logga ut.

Kort sagt finns det gott om möjligheter att själv ta ansvar och motverka missbruk av (person)uppgifter.

Nyfiken på vårt bokningssystem?

Vill du upptäcka vad i-Reserve bokningssystem kan göra för dig? Eller vill du ha mer information om hur du skyddar kunduppgifter? Ta då kontakt med oss.