Kompromisløs sikkerhed til dine compliance-behov
Hurtig navigation
ISO/IEC 27001:2022
For at sikre at vi som organisation følger den bedste praksis for informationssikkerhed, har vi implementeret ISO/IEC 2700:2022 styresystemet
ISAE 3000 type 2
Uafhængige revisorers ISAE 3000 type 2 rapporter omkring informationssikkerhed og databeskyttelsesforanstaltninger i forhold til databehandleraftalen med den dataansvarlige
ISO 27001 servere
Data hostes sikkert med ISO 27001 certificeret AWS
Penetrationstest
Sidste udført i Juni 2024 af TRUESEC
Spørgsmål?
Sikkerhed
DatalagringFysisk lagring
AWS (Amazon Web Services) er ansvarlige for håndtering af infrastrukturens fysiske sikkerhed. AWS er bygget til ikke kun at give mulighed for virkelige skalerbare cloud løsninger, men også til at møde de højeste forventninger til sikkerheden
Dataene gemmes på servere fra et anlæg, der er ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 & SOC 3 , certificeret. For at få det fulde overblik over compliance programmerne, Klik her
Lokation
Alt data og backups er lagret med AWS i frankfurt. Backups er lagret i forskellige tilgænglighedszoner for at sikre datatilgængelighed.
Få en forståelse af datacentrets perimeterlag, infrastrukturlag, datalag og miljølag, Klik her
KrypteringAlt data er krypteret både under overførsel og i hvile. Dette sikrer dataintegritet, da dataene ikke kan ødelægges eller ændres under overførslen, privatliv da dataene ikke kan opsnappes af nogen 3. parts aflyttere, og autentificering fordi slutklienten kan være sikker på at den website de er forbundet til faktisk er os.
Under overførsel
Data der flyttes under overførsel er krypteret ved brug af TLS ( Transport layer security). Kun TLS versioner lig med eller over 1.2 er understøttet, og alle andre versioner er blokeret.
I hvile
Når data lagers på en harddisk, f.eks. data gemt i en data base, krypteres ved brug af AES (256 bit). Dette forhindrer datalæsning i tilfælde af at den fysiske harddisk bliver stjålet i datacenteret
Håndtering af patches Hos Formalize, prioterer vi sikkerhed og håj tilgænglighed ved at udnytte AWS håndterede tjenester når det er muligt. Disse tjenester gennemgår låbende patching og vedligeholdelse af AWS. Men for visse ikke AWS styrede tjenester, implementerer vi strenge patch-management processer for at sikere at sikkerheden forbliver intakt
Sikkerhedskopiering af dataHyppighed af sikkerhedskopier
Der laves periodiske sikkerhedskopier for at sikre, at kundedata ikke går tabt. Sikkerhedskopier udføres i daglige intervaller (sikkerhedskopier udløber efter 35 dage) og ugentlige intervaller (sikkerhedskopier udløber efter 85 dage).
For tjenester som ikke administreres af AWS, så som Jump Box, scannes og anvendes patches dagligt. Derudover er vores Jump Box sikret på et privat netværk som kræver 2-faktor autentificering for at få adgang og logger alle forbindelser for bedre overvågning.
Visse tjenester, som vores Webtjenester administreres i fællesskab af AWS og Formalize. Disse scannes og patches løbende for at opreholde sikkerhed og ydeevne.
Sikkerhedskopiering
Alle sikkerhedskopier gennems i forskellige tilgængelighedszoner for at forhindre datatab. En tilgængelighedszone er en eller flere separate datacentre med overskydende strøm, netværk og forbindelse. Alle sikkerhedskopier er beskyttede efter de samme standarder som produktionsmiljøet.
LogningFormalize tager logning seriøst, og har omfattende logning gennem hele vores applikation, vi forbedrer løbende vores logning. Logning foregår på 4 forskellige stadier: login-hændelser osv, valideringsfejl, fejllogning, DNS flowlogfiler osv.
Systemovervågning og indbrudsdetekteringVi udnytter AWS GuardDuty, en intelligent trusselsdetektionstjeneste der løbende overvåger for ondsindet eller uautoriseret aktivitet i vores netværk. Det fungerer som vores primære Netværks Indbruds Detektion System (NIDS). Adminaktivitet og DNS forespørgselslogfiler logges og analysers for potentiel misbrug. Mere omkring GuardDuty kan findes Her.
For at forbedre vores forsvar, bruger vi AWS WAF. Denne tjeneste hjælper med at overvåge og forhindre ondsindede webanmodninger og tilbyder et ekstra lag af forsvar mod hackingforsøg. For yderligere oplysninger Klik her .
Livscyklus for sikker udviklingEn sikker udviklingslivscyklus (SDLC) er en process som hjælper os sikre at sikkerheden er indbygget i softwaren fra starten. Vores SDLC inkluderer forskellige sikkerhedsaktiviteter, som er udført i hvert stadie i vores udviklingsproces. Disse aktiviteter hjælper os med at finde og fikse potentielle sikkerhedssårbarheder og stoppe nye fra at blive introduceret.
Flere nøgle livscyklusaktiviteter udføres, herunder opbygning og udgivelse i små trin, teknisk gæld, trejdepartspakkepolitik, scanning for lækkede dokumenter, versionskontrol, sårbarhedskontrol, kryptografistandarder, metrikker og logning, udviklertræning, test, og adskillige af miljøer.
Styring af adgang og godkendelse
Adgangskontrol Gennem vores detaljerede tilladelsesstruktur kan organisationer håndhæve princippet om mindste privilegium, hvilket betyder, at brugerne kun får de mindste tilladelser, der er nødvendige for, at de kan udføre deres opgaver.
Systemet understøtter en bred vifte af SSO-loginmuligheder. I øjeblikket understøttes to industristandardprotokoller: OAuth 2.0 og SAML 2.0.
Der kan ikke oprettes brugere under autentificering. Brugere skal oprettes i Formalize-platformen, før de kan logge ind med en hvilken som helst login-udbyder.
Kontosikkerhed
Systemet understøtter opsætning af en liste med IP-adresser, hvorfra administratorer kan logge ind på backenden.
Systemet understøtter opsætning af multifaktorgodkendelse for at forbedre sikkerheden. Det er muligt at tvinge alle brugere i systemet til at opsætte multifaktor-godkendelse ved deres første log-in til systemet.
Håndtering af sårbarheder
Hos Formalize tager vi sikkerhed seriøst ved at anvende robyste sårbarhedsstyringspraksisser for at beskytte vores infrastruktur og forbedre os løbende.
Undgåelse af sårbarhedFor at minimere vores angrebsflade, opretholder vi et enkelt offentligt indgangspunkt til vores API, som er beskyttet af Web Application Firewall (WAF). Denne firewall blokerer effektivt almindelige trusler såsom Cross-site scripting (XSS) og remote execution (RCE). Vores infrastruktur er baseret på Alpine Linux, hvilket giver et minialt og sikkert operativsystemfodaftryk. Endvidere er vores webservere desinget til at fungere som skrivebeskyttede containere som opdateres hver 15. minut eller ved implementeringer,hvilket sikrer at malware ikke kan forblive i miljøet
Ud over disse forebyggende foranstaltninger udnytter vi managed services for at forbedre sikkerheden og reducere risikoen for konfigurationsfejl. Disse managed services leverer automatisk patching, hvilket yderligere styrker integriteten af vores infrastruktur. Databaseadgang er strengt kontrolleret og kræver to-faktor-autentificering (2FA) og begrænser adgangen udelukkende til godkendte brugere i vores netværk.
SårbarhedsscanningHos Formalize anvender vi en omfattende sårbarhedsscanningspraksis for proaktivt at identificere og håndtere potentielle sikkerhedsrisici på tværs af vores systemer. Vores scanningsindsats omfatter kodeafhængigheder, containere og servere samt vores bredere infrastruktur og netværk.
Sårbarhedsscanninger af kodeafhængigheder udføres dagligt. Dette sker ved hjælp af fire forskellige værktøjer: Offentlige CVE'er, privat sårbarhedsdatabase, open source-afhængighed med XSS (Cross-site scripting) og open source-afhængighed med RCS (Remote code execution).
Container- og serverscanninger udføres løbende, og hver gang der skubbes kode. Disse scanninger fokuserer på at opdage sårbarheder i OS-pakker i vores Alpine Linux-baserede miljø. Offentlige CVE'er og private sårbarhedsdatabaser bruges til scanning. De kan f.eks. identificere forældede versioner af OpenSSL, som kan udgøre en risiko for bufferoverløb eller RCE (remote code execution).
Vores infrastruktur- og netværksscanninger finder sted hver 18. time og overholder strenge standarder, herunder CIS-krav (Center of Internet Security), PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) og vores hostingudbyders grundlæggende bedste praksis for sikkerhed. Disse scanninger er designet til at identificere fejlkonfigurationer, såsom ukrypterede køer eller fraværet af to-faktor-godkendelse for administrative brugere.
Compliance
ISO/IEC 27001:2022For at sikre, at vi som organisation følger den bedste praksis for informationssikkerhed, har vi implementeret ISO/IEC 27001:2022-ledelsessystemet. Certifikatet beviser, at Formalizes aktiviteter overholder de internationalt anerkendte standarder for styring af udvikling, salg og service af whistleblower-løsninger.
ISO/IEC 27001:2022
Udført 11 November 2024 af Intertek
ISAE 3000 Type 2Anmod om vores uafhængige revisors ISAE 3000 Type 2-rapport om informationssikkerhed og databeskyttelsesforanstaltninger i forbindelse med databehandleraftalen med de dataansvarlige. I den eksterne revision kan du læse mere om, hvordan systemet fungerer, samt hvilke organisatoriske og tekniske sikkerhedsforanstaltninger vi har implementeret. ISAE 3000 Type 2-revisionen udføres årligt og er bygget op omkring ISO 27001-standarden.
ISAE 3000 Type 2
Udført ISAE 3000 Type 2
PenetrationstestVi er årligt, eksternt penetrationstestet, hvilket beviser at vi følger meget sikker udviklingspraksisser og implementerer forsvar i dybden strategier som sikrer omfattende beskyttelse af din virksomheds aktiver.
Penetrationstest
Udført June 2024 af Truesec A/S