Juridisk information
Välkommen till den juridiska snårskogen! Här finns information för dig som har funderingar kring våra villkor och avtal eller vår hantering av integritets- och säkerhetsfrågor.
Datasäkerhetsbeskrivning
Skydd av data och personliga uppgifter
Vi tar datasäkerhet på stort allvar och hanterar din data på ett säkert sätt. Vårt sätt att arbeta med dataskydd har skapat en stark infrastruktur som är uppbyggd för att skydda mot fysiska intrång i våra nätverk, servrar och applikationer.
Säkerhet är vår högsta prioritet i alla utvecklingsfaser av vår mjukvara. Vi värdesätter och implementerar löpande nya sätt att säkra din data, från skapandet av en säker design och hur vi lägger upp riktlinjer för kodning, till granskande och bevakning av nya programversioner som används.
Vi arbetar enligt GDPR (General Data Protection Regulation), det regelverk som skyddar bland annat hantering av personuppgifter för privatpersoner inom Europeiska Unionen. Hur Invono behandlar och skyddar dina personuppgifter finns beskrivet i vår Integritetspolicy.
När det gäller vår digitala plattform INVONO One har Invono som personuppgiftsbiträde ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna. Invono säkerställer att INVONO One är säker att använda genom exempelvis kryptering, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner i INVONO One för att hantera personuppgiftsrelaterade frågor har vi interna rutiner för detta.
De åtgärder som Invono vidtar för att skydda personuppgifter och annan data beskrivs närmare nedan.
Lagring, kryptering och backuper
Fysisk säkerhet
INVONO One driftas på servrar i Google Cloud Services datacenter inom EU/EES som följer internationella standarder såsom SOC 1 Type II och ISO 27001, samt är PCI-DSS certifierade. Samtliga datacenter är bemannade dygnet runt, 365 dagar om året och utrustade med avancerade strömförsörjnings-, klimatkontroll- och brandskyddssystem samt säkerhetskameror för att förhindra intrång.
Backuper tas dagligen och lagras på Google servrar inom EU/EES. Lagringen av data finns alltså på två geografiskt separerade platser.
Virtuell säkerhet
För att säkerställa att din data inte kan läsas, kopieras, modifieras eller raderas av obehöriga personer när den överförs till eller från INVONO One krypteras den genom en säker förbindelse som kallas HTTPS.
All datakommunikation sker med Secure Sockets Layer (SSL). Invono använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar från RSA. All datakommunikation till och från användarens datorer krypteras med SSL den mest använda internetstandarden för krypterad information.
Inovnos servermiljö och nätverk skyddas av brandväggar. Dessutom är Invono proaktivt genom övervakning och analys av brandväggar och systemloggar.
INVONO One har heltäckande backuprutiner som säkerställer dess kontinuitet samt att data är skyddad mot oavsiktlig förstöring eller försvinnande. Säkerhetskopior görs dagligen och sparas i fyra veckor och krypteringen av kundernas data kvarstår vid backuperna.
Invono har vidtagit åtgärder för att det i efterhand ska gå att upptäcka om och vem som har fått tillträde till eller ändrat uppgifter i INVONO One.
Skydd av ditt konto och dina betalningsuppgifter i INVONO One
För att göra det svårare för obehöriga personer att logga in i INVONO One och använda ditt konto kan inloggning bara ske antingen genom BankID, eller genom lösenord tillsammans med säkerhetskod som sänds per e-post till användare (tvåstegsautentisering).
Det sker kontinuerlig verifiering av användare. Varje anrop till Invonos servrar innebär en kontroll av den inloggades behörighet.
För att undvika att obehöriga får tillgång till information om en dator lämnas obevakad, loggar systemet automatiskt ut användaren efter två timmars inaktivitet.
BankID
BankID är en elektronisk identifikationslösning som säkerställer identiteten för dig som skapar konto, loggar in eller signerar elektroniskt.
Tvåstegsautentisering
Om du inte vill eller kan använda BankID har vi implementerat en tvåstegsautentisering som du kan använda för att skapa konto och logga in i INVONO One. Tvåstegsautentiseringen innebär att du använder två sätt att identifiera dig; ditt lösenord samt en säkerhetskod, som skickas till den e-postadress du har registrerat. Invono har inte tillgång till eller sparar några lösenord i klartext.
Kreditkortssäkerhet
Kreditkortsbetalningar handläggs av Stripe, som hanterar online transaktioner för tusentals företag och SaaS-plattformar, och som uppfyller PCI-villkoren för lagring och hantering av kreditkortsinformation.
Kunskaps- och informationsskydd
Tillgångsbegränsning
Invono är öppet med sin säkerhetsarkitektur och säkerhetssystemet är uppbyggt uteslutande med beprövade standarder. Endast ett fåtal nyckelpersoner har tillgång till alla säkerhetsnycklarna i systemet.
Tillgången till personuppgifter är begränsad till enbart de personer inom Invonos organisation (inklusive anlitade konsulter och underleverantörer) som med hänsyn till ändamålet med behandlingen behöver ha sådan tillgång. När det gäller sådana personers behörighet till uppgifter i INVONO One så styrs denna av Invonos IT-chef.
Förutom för sådana personer inom Invonos organisation som nämns i stycket ovan, så är det kund som använder INVONO One som ansvarar för vilka personer som får tillgång till personuppgifter i INVONO One. Invono tillhandahåller i INVONO One verktyg för behörighetsstyrning som underlättar för kunden att skapa en lämplig tillgångsbegränsning.
Sekretessavtal
All Invonos personal och alla av Invono anlitade konsulter och underleverantörer är bundna av sekretessavtal som förhindrar spridning av konfidentiell information och personuppgifter.
Gallring och radering
För gallring av personuppgifter i INVONO One ansvarar kund som använder INVONO One. Invono tillhandahåller i INVONO One verktyg – såsom bevakningstider på olika dokument – som kan underlätta gallringsarbetet. När en kund slutar att använda INVONO One återlämnar och raderar Invono personuppgifter i INVONO One i enlighet med vad som överenskommits med kunden om inte annat krävs enligt tillämplig lag.
Version 2020-11