God selskabsledelse, risiko og overholdelse

SuperOffice har et stærkt engagement i personlige oplysninger, sikkerhed og gennemsigtighed. Dette afsnit beskriver vores ledelsesmodel samt de politikker og procedurer, der fastlægger, hvordan vi sikrer, at alle vores medarbejdere arbejder sammen om at opfylde vores mål om persondata, sikkerhed og gennemsigtighed.

God selskabsledelse i SuperOffice

SuperOffice Quality Management System (SQS) bygger på strukturerne i ISO standarder samt GRC-princippet: God selskabsledelse + risiko + overholdelse.

Processerne, som er fastlagt og sat i værk af SuperOffice's bestyrelse afspejles i organisationens struktur, og hvordan den ledes og føres mod at opfylde vores mål.

SuperOffice SQS dækker i øjeblikket i administrationssystemet til informationssikkerhed Management for alle interne systemer og SuperOffice CRM Online cloud-tjenesten, der tilbydes kunder. Desuden dækker SQS alle processer vedrørende personinfo, som kræves af GDPR (Generel forordning om databeskyttelse).

SuperOffice adfærdskodeks

I SuperOffice er vi meget optaget af at leve, ånde og handle efter høje moralske standarder. Vi tror på styrken i relationer, og hvordan vi som virksomhed kan arbejde sammen med alle vores relevante interessenter for at skabe et sundt miljø for medarbejdere, kunder, partnere, ejere, leverandører og alle andre relevante forretningspartnere. Som en del af dette arbejde har vi to separate dokumenter, der ikke kun skitserer vores forventninger, men også vores krav til, hvordan enkeltpersoner, virksomheder og andre skal agere, når de gør forretninger med SuperOffice. Dette omfatter naturligvis os selv og alle medarbejdere i vores virksomhed. Vores adfærdskodeks er udarbejdet af vores bæredygtighedskomité sammen med virksomhedsledelsen og er verificeret af vores revisionspartner, PWC.

Klik her for at downloade og læse vores adfærdskodeks.

Risikostyring

Der er indført en overordnet samlet risikovurdering i forhold til informationsobjekter, som opdateres en gang om året. Vores tilgang til sikkerhed baseres på risikovurderinger i henhold til artikel 24 i den europæiske unions generelle forordning om databeskyttelse (EU-GDPR) og ICT-reglernes paragraf 3.

Risikostyring er et sæt af processer, hvorigennem SuperOffice's ledelse på rettidig og hensigtsmæssig vis identificerer, analyserer og reagerer på risici, som kan påvirke realiseringen af vores organisations forretningsmål på en negativ måde. Reaktionen på risici afhænger typisk af deres opfattede alvor og omfatter kontrol, undgåelse, accept eller overdragelse af risiciene til tredjepart.

Vi håndterer et bredt omfang af risici: teknologiske risici, risici relateret til informationssikkerhed, kommercielle/økonomiske risici og selvfølgelig eksterne risici i forbindelse med lovgivning og overholdelse af bestemmelser.

Informationsklassificering og kontrol

Det er vigtigt, at brud på fortroligheden samt utilstrækkelig informationsintegritet ikke forekommer. Det er derfor vigtigt, at vi beskytter information baseret på dens vigtighed. Derfor registreres al vigtig information, og informationsaktiver registreres, og de tildeles en særligt udpeget ejer.

Informationen klassificeres desuden for at muliggøre anvendelse af nødvendige og relevante foranstaltninger til sikkerhedskontrol. Informationsejeren har ansvar for vedligeholdelsen og den løbende anvendelse af godkendte og hensigtsmæssige kontroller og forbedringer.

Tredjeparts adgang til data

Al information, som lagres i SuperOffice CRM Online, behandles fortroligt og videregives eller sælges ikke til tredjepart. Al information lagres sikkert og kan kun tilgås af kunden og særligt betroet SuperOffice-personale med henblik på administration.

Overholdelse

SuperOffice følger de lovmæssige krav fra EU i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (GDPR – generel forordning om databeskyttelse). Alle SuperOffice data lagres i EU/EEA. I tilfælde af at SuperOffice vælger at benytte underleverandører udenfor EU/EEA, skal sådan behandling ske i overensstemmelse med EU Standard Contractual Clauses for overførsel til tredjelande, eller et andet specifikt angivet lovligt grundlag for overførsel af data til et tredjeland.

Databehandlingsaftaler

Databehandlingsaftaler indgås mellem SuperOffice og kunden ved underskrivelse af SuperOffice CRM Online-aftalen. Formålet med databehandlingsaftalen er at regulere SuperOffice's behandling af personlige oplysninger på vegne af kunden, når denne anvender SuperOffice CRM Online. Underaftaler om databehandling er indgået mellem SuperOffice og underbehandlere samt App Store-partnere.

Sikker opbevaring (ISO 27001)

Data, som lagres i SuperOffice CRM Online, beskyttes af et ISO 27001-certificeret styringssystem for informationssikkerhed. Disse ISO-standarder er international bedste praksis for informationssikkerhed. Derfor tilskynder GDPR til ISO 27001-certificering for at vise, at informationssikkerhed bliver taget alvorligt på alle niveauer i organisationen.

Vores eksterne sikkerhedskonsulenter kontrollerer sikkerhedspolitikkerne og tester forsvars- og sikkerhedskontrollerne med jævne mellemrum. SuperOffice og vores hosting-partnere er stærkt engagerede i at beskytte al informationen i SuperOffice CRM Online.

Revisioner og ISAE 3402

Kunden er berettiget til at udføre periodiske sikkerhedsrevisioner, -kontroller og -inspektioner. Revisionen kan omfatte gennemgang af hovedrutiner, stikprøver, mere omfattende lokalitetskontroller samt andre formålstjenlige kontroller. Parterne skal dække deres egne omkostninger i forbindelse med sådanne revisioner, kontroller og inspektioner. Kunden skal engagere en bemyndiget og certificeret tredjepart til at udføre en sådan revision.

SuperOffice / Visma ITC udfører som Databehandler tredjeparts sikkerhedsrevisioner på årlig basis. Formålet med sådanne revisioner er at vise tilstrækkeligheden for de tekniske og organisatoriske sikkerhedsforanstaltninger, som sættes i værk af SuperOffice. Rapporter om den årlige revision udført af Ernst & Young (EY) stilles til rådighed for kunder efter anmodning og bygger på ISAE 3402.

SuperOffice udfører som Dataansvarlig regelmæssigt revisioner, kontroller og inspektioner. Disse udføres af en certificeret tredjepart. På nuværende tidspunkt er det PwC. Rapporter om revision, der udføres regelmæssigt af PwC, stilles til rådighed for kunderne efter anmodning.

Sikker produktudvikling

SuperOffice anvender principperne Security by Design og Privacy by Design i sine softwareudviklingsmetoder. Al programkode udvikles med et fuldt dækkende fokus på sikkerhed og persondata. Nye versioner bliver testet af særligt udpeget testpersonale og er også underlagt omfattende ekstern test (beta-/pilottest).

SuperOffice udfører forskellige tests, for eksempel test af funktioner, integration, ydeevne og belastning/stress. Der anvendes både automatisk og manuel test.

Alle systemer, der udvikles til SuperOffice, har tydelige sikkerhedskrav, herunder validering af data, sikkerhed af koden før idriftsættelse samt eventuel brug af kryptografi. Strukturerede metoder såsom agil, scrum m.m. anvendes til kontrol af alle udviklingsprocessens elementer.

Alle ændringer i produktionsmiljøet følger gældende procedurer. Dedikerede test- og udviklingsmiljøer anvendes til at teste alle ændringer, herunder fejlrettelser og nye versioner, før frigivelse til produktion. Uafhængigt testpersonale undersøger løbende ny funktionalitet.

Desuden bliver al software testet og formelt accepteret af en intern ejer og driftsansvarlig, før den overføres til produktionsmiljøet.

Før nye ændringer sættes i produktion, udføres og dokumenteres en trussels- og risikovurdering, en sikkerhedskodegennemgang og penetrationstests. Hvis der ikke findes nogen sikkerhedsproblemer, implementeres den nye funktionalitet i den eksisterende SuperOffice-applikation.

SuperOffice har indgået partnerskab med en selvstændig sikkerhedsrådgiver – Watchcom AS, med henblik på at udvikle sikre applikationer og tjenester.

Watchcom assisterer SuperOffice med sikkerhedsvurderinger, test af applikationssikkerhed, penetrationstest, konsulentbistand og rådgivning. Watchcom arbejder med internationale sikkerhedsstandarder, herunder: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP og WASC. Disse standarder er grundlaget for alt arbejde og alle rapporter, der leveres til SuperOffice.

Exitplan

Hvis kundens abonnement på SuperOffice CRM Online-tjenester opsiges eller udløber, deaktiveres kontoen, og den vil ikke længere være tilgængelig. Ved aftalens ophør, vil brugere hos kunden, som logger på med administratoradgang, blive ført videre til et websted, hvor de kan downloade alle data, som tilhører kunden. Disse data vil være i et generelt filformat. Download vil være tilgængelig i 30 dage efter aftalens ophør. Efter 30 dage fjernes alle kundens oplysninger fra SuperOffice's servere og datacenterfaciliteter. Backups vil forblive tilgængelige i henhold til backup-procedurer.

Har du spørgsmål?

Hvis du har spørgsmål, som ikke besvares her, er du meget velkommen til at kontakte os.