Juridisk information

Välkommen till den juridiska snårskogen! Här finns information för dig som har funderingar kring våra villkor och avtal eller vår hantering av integritets- och säkerhetsfrågor.

Datasäkerhetsbeskrivning

 

Skydd av data och personliga uppgifter

 

Vi tar datasäkerhet på stort allvar och hanterar din data på ett säkert sätt. Vårt sätt att arbeta med dataskydd har skapat en stark infrastruktur som är uppbyggd för att skydda mot fysiska intrång i våra nätverk, servrar och applikationer.

Säkerhet är vår högsta prioritet i alla utvecklingsfaser av vår mjukvara. Vi värdesätter och implementerar löpande nya sätt att säkra din data, från skapandet av en säker design och hur vi lägger upp riktlinjer för kodning, till granskande och bevakning av nya programversioner som används.

Vi arbetar enligt GDPR (General Data Protection Regulation), det regelverk som skyddar bland annat hantering av personuppgifter för privatpersoner inom Europeiska Unionen. Hur Invono behandlar och skyddar dina personuppgifter finns beskrivet i vår Integritetspolicy.

När det gäller vår digitala plattform Portalen har Invono som personuppgiftsbiträde ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna. Invono säkerställer att Portalen är säker att använda genom exempelvis kryptering, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner i Portalen för att hantera personuppgiftsrelaterade frågor har vi interna rutiner för detta.

De åtgärder som Invono vidtar för att skydda personuppgifter och annan data beskrivs närmare nedan.

 

Lagring, kryptering och backuper

 

Fysisk säkerhet

Portalen driftas på servrar i DigitalOceans datacenter inom EU/EES som följer internationella standarder såsom SOC 1 Type II och ISO 27001, samt är PCI-DSS certifierade. Samtliga datacenter är bemannade dygnet runt, 365 dagar om året och utrustade med avancerade strömförsörjnings-, klimatkontroll- och brandskyddssystem samt säkerhetskameror för att förhindra intrång.

Backuper tas dagligen och lagras på Amazons servrar inom EU/EES. Lagringen av data finns alltså på två geografiskt separerade platser.

 

Virtuell säkerhet

För att säkerställa att din data inte kan läsas, kopieras, modifieras eller raderas av obehöriga personer när den överförs till eller från Portalen krypteras den genom en säker förbindelse som kallas HTTPS.

All datakommunikation sker med Secure Sockets Layer (SSL). Invono använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar från RSA. All datakommunikation till och från användarens datorer krypteras med SSL den mest använda internetstandarden för krypterad information.

Inovnos servermiljö och nätverk skyddas av brandväggar. Dessutom är Invono proaktivt genom övervakning och analys av brandväggar och systemloggar.

Portalen har heltäckande backuprutiner som säkerställer dess kontinuitet samt att data är skyddad mot oavsiktlig förstöring eller försvinnande. Säkerhetskopior görs dagligen och sparas i fyra veckor och krypteringen av kundernas data kvarstår vid backuperna.

Invono har vidtagit åtgärder för att det i efterhand ska gå att upptäcka om och vem som har fått tillträde till eller ändrat uppgifter i Portalen.

 

Skydd av ditt konto och dina betalningsuppgifter i Portalen

 

För att göra det svårare för obehöriga personer att logga in i Portalen och använda ditt konto kan inloggning bara ske antingen genom BankID, eller genom lösenord tillsammans med säkerhetskod som sänds per e-post till användare (tvåstegsautentisering).

Det sker kontinuerlig verifiering av användare. Varje anrop till Invonos servrar innebär en kontroll av den inloggades behörighet.

För att undvika att obehöriga får tillgång till information om en dator lämnas obevakad, loggar systemet automatiskt ut användaren efter två timmars inaktivitet.

 

BankID

BankID är en elektronisk identifikationslösning som säkerställer identiteten för dig som skapar konto, loggar in eller signerar elektroniskt.

 

Tvåstegsautentisering

Om du inte vill eller kan använda BankID har vi implementerat en tvåstegsautentisering som du kan använda för att skapa konto och logga in i Portalen. Tvåstegsautentiseringen innebär att du använder två sätt att identifiera dig; ditt lösenord samt en säkerhetskod, som skickas till den e-postadress du har registrerat. Invono har inte tillgång till eller sparar några lösenord i klartext.

 

Kreditkortssäkerhet

Kreditkortsbetalningar handläggs av Stripe, som hanterar online transaktioner för tusentals företag och SaaS-plattformar, och som uppfyller PCI-villkoren för lagring och hantering av kreditkortsinformation.

 

Kunskaps- och informationsskydd

 

Tillgångsbegränsning

Invono är öppet med sin säkerhetsarkitektur och säkerhetssystemet är uppbyggt uteslutande med beprövade standarder. Endast ett fåtal nyckelpersoner har tillgång till alla säkerhetsnycklarna i systemet.

Tillgången till personuppgifter är begränsad till enbart de personer inom Invonos organisation (inklusive anlitade konsulter och underleverantörer) som med hänsyn till ändamålet med behandlingen behöver ha sådan tillgång. När det gäller sådana personers behörighet till uppgifter i Portalen så styrs denna av Invonos IT-chef.

Förutom för sådana personer inom Invonos organisation som nämns i stycket ovan, så är det kund som använder Portalen som ansvarar för vilka personer som får tillgång till personuppgifter i Portalen. Invono tillhandahåller i Portalen verktyg för behörighetsstyrning som underlättar för kunden att skapa en lämplig tillgångsbegränsning.

 

Sekretessavtal

All Invonos personal och alla av Invono anlitade konsulter och underleverantörer är bundna av sekretessavtal som förhindrar spridning av konfidentiell information och personuppgifter.

 

Gallring och radering

För gallring av personuppgifter i Portalen ansvarar kund som använder Portalen. Invono tillhandahåller i Portalen verktyg – såsom bevakningstider på olika dokument – som kan underlätta gallringsarbetet. När en kund slutar att använda Portalen återlämnar och raderar Invono personuppgifter i Portalen i enlighet med vad som överenskommits med kunden om inte annat krävs enligt tillämplig lag.

 

Version 2018-05