YoungCRM Sikkerhedsprocedurer
1. Drifts- og sikkerhedsprocedurer
Dette dokument skitserer CompanYoung A/S drifts- og sikkerhedsprocedurer vedr. driften af YoungCRM. Dokumentet bruges til at sikre sikkerhedsprocedurerne i forbindelse med sikkerhedsbrister. Derudover vil der være 2 årlige sikkerhedstjek, for at sikre at procedurerne er tidsvarende og bliver overholdt.
2. Drift
2.1 Backup & sikkerhedskopier
Der tages backup og sikkerhedskopier af database og filer, min. 5 gange dagligt, og backup placeres redundant i 3 forskellige datacentre placeret hhv. i Europa, Asien og USA (via Amazon Web Services).
2.2 Vedligehold
System vedligeholdes og udvikles løbende. Bugs m.m. indberettes løbende Standard vedrørende systemfejl:
Når en medarbejder bliver bekendt med en fejl skal denne indberettes så snart denne bliver opdaget (indberetningen sker via GitHub).
Fejlen skal kategoriseres iht. fejlkategorier beskrevet i YoungCRM Service Level Agreement. Ved critical sker dette dagligt. Ved mindre kritiske issues, prioriteres og planlægges disse ugentligt.
Kritiske fejl forsøges såvidt muligt løst indenfor samme dag. Mindre kritiske fejl ved en af de næstkommende to releases.
Nye releases lanceres hver tirsdag i tidsrummet kl. 15.00 – 17.00.
2.3 Overvågning
Systemet overvåges løbende. Der udarbejdes månedlige statusrapporter på systemet oppetid, som behandles af systemansvarlige og projektansvarlig.
Herudover overvåges systemet dagligt for eventuelle udsving i performance på servere og alle tilknyttede services.
Systemansvarlig modtager notifikationer ved særlige udsving, således en eventuel afhjælpning kan igangsættes med det samme. Dette gælder følgende:
Servernedbrud
Systemnedbrud
Usædvanlig lang svartid
Systemfejl
Spikes i performance/forbrug på servere
Systemet overvåges bl.a. ved hjælp af følgende værktøjer:
AWS (Amazon Web Services)
Statuscake
Sentry
New Relic
3. Hackerangreb og anden ulovlig indtrængning
3.1 Fysisk sikkerhed
Dette punkt omfatter standarder og procedurer, for hvordan vi sikrer at eksterne ikke har adgang til data i YoungCRM.
Den fysiske adgang til systemet er begrænset således kun tilladte computerer (personale) har adgang til kildekode og database. Kun specifikke medarbejdere er godkendt til at tilgå kildekode og database, og dermed tilgå data og filer.
3.1.1 Standard for adgang til systemet:
Medarbejder skal være godkendt til at have adgang til systemet
Al aktivitet skal logges (adgang til filer, databaser m.m.)
Adgangskoder til hhv. PC, FTP, m.m. skal opdateres kvartalesvis, hvor der ikke anvendes two-factor authentication.
3.1.2 Procedure ved konstateret fysisk breach:
Tilføj ”Vi oplever driftsproblemer – vi er på sagen” som servicebesked i systemet.
Gennemgå logs, og find ud af fra hvilken PC der er skaffet adgang fra
Evt. Roll back, eller re-launch ved genetableret sikkerhedsniveau
Afhjælp fejlen (luk PC’ens/devicets adgang)
Redefiner standarder for adgang til computeren.
Kommuniker episoden ud i HelpCenter (og ved længere nedbrud via mail).
Foretag sikkerhedsopdatering (opdater samtlige passwords).
3. 2 Teknologisk sikkerhed
Systemet lever op til de mest gængse og tidssvarende krav til sikkerheden på større SaaS-løsninger.
3.2.1 Standard for teknologisk sikkerhed:
Sikker kommunikation (bruger grænseflade)
Kunden får aldrig direkte adgang til filer eller databaser
Kommunikationen mellem bruger og YoungCRM er krypteret og beskyttet med TLS-teknologi. Beskyttelsen forhindrer Man-in-the-middle angreb hvor hackere kan opsnuse data imellem server og brugere.
Minimum af yderside der kan angribes
YoungCRM-domænet peger ned på vores Elastic Load Balancer (ELB), som sender kommunikationen videre til vore servere. De tilgængelige porte er 80 (http) og 443 (https). Port 80 bruges udelukkende til omdiregering til vores sikre forbindelse over port 443.
Udover vores hovedservere har vi også en realtidsserver. Den har kun åbent for port 8080. Realtidsserveren bruges til direkte kommunikation til brugere af YoungCRM. Den har ikke adgang til YoungCRM data.
Alt kommunikation mellem servere foregår på et undernet som ikke kan tilgåes udefra.
Særlig kryptering af CPR numre
CPR numre krypteres ydereligere, kan adgang hertil skal tildeles til den specifikke bruger, således dette er synligt i brugergrænseflade. Denne adgang kan kun tildeles af en CompanYoung medarbejder på kundens opfordring.
Sikker kommunikation (back end og systemadgang) For at få adgang til YoungCRMs servere, skal man bruge en nøgle som er krypteret. Desuden er kommunikationen låst til CompanYoungs IP.
Database
YoungCRM bruger MySQL som database lagt på en Amazon RDS. RDS'en sørger for løbende sikkerhedskopiering og versionering. Vores database er såkaldt Multi A-Z database, som er spredt på flere zoner. Dvs. at hvis en zone går ned, så kan dataene stadig tilgås idet de er i replikeret i andre zoner.
Filer
YoungCRM anvender Amazon Simple Storage Service (S3) til sikkerhedskopiering af alle systemfiler samt brugerfiler. Disse data sikkerhedskopieres minimum hvert 5. Minut med 99,99999 % dataholdbarhed.
DDoS-modforanstaltninger
Vores serverne logger alle forbindelser og ser noget mistænkeligt ud, kommer IP'en i karantæne. Desuden benytter vi AWS' indbyggede DdoS-beskyttelse.
3.2.2 Procedure ved teknologisk breach (hackerangreb):
Tilføj ”Vi oplever driftsproblemer – vi er på sagen” som servicebesked i systemet.
Gennemgå logs, og find ud af hvor hullet findes
Udbedre fejlen (opdatering af system)
Evt. Roll back, eller re-launch ved genetableret sikkerhedsniveau
Redefiner sikkerhedsstandarder
Kommuniker episoden ud i HelpCenter (og ved længere nedbrug via mail).
Foretag sikkerhedsopdatering (opdater samtlige passwords).
3.3 Bortkomst af udstyr
Bortkommer en medarbejders udstyr med eventuel adgang til kritisk indhold, herunder filer, data, dokumentation eller loginoplysninger, træder visse procedurer i kraft.
3.3.1 Procedure ved bortkomst af udstyr:
Samtlige kodeord (loginoplysninger) vedr. systemet og eventuelle affilieret systemer skiftes.
Adgange til udstyret forsøges slettes via fjernstyring.
Er udstyret blevet stjålet politianmeldes dette
4.Intern adgang til systemet
4.1 Personale og enheder med adgang til systemet
Den fysiske adgang til systemet er begrænset således kun tilladte computerer (personale) har adgang til kildekode og database. Kun specifikke medarbejdere er godkendt til at tilgå kildekode og database, og dermed tilgå data og filer.
Herudover er der krav til hvilke enheder og hvorfra man må tilgå systemet.
4.1.1 Standard for adgang til systemet:
Medarbejderen skal være godkendt til at tilgå systemet, og har underskrevet en erklæring omkring brugen heraf.
Enheden systemet tilgås igennem skal være godkendt
Medarbejderen skal skifte sine loginoplysninger minimum én gang i kvartalet
Al aktivitet skal logges (person, handling, enhed)
Medarbejderen SKAL gøre opmærksom på hvis en enhed er mistet eller enheden tænkes at være inficeret med malware, virus eller tilsvarende.
Listen over personer og enheder kan udleveres hvis nødvendigt.
4.2 Intern misbrug af systemet
Adgangen til systemet er begrænset til enkelte medarbejdere, som kun må tilgå systemet i professionelt øjemed. Herunder findes reglerne for tilgang til systemet og konsekvensen ved brud heraf.
4.2.1 Standard for adgang til systemet:
Medarbejder skal være godkendt til at have adgang til systemet
Al aktivitet skal logges (adgang til filer, databaser m.m.)
Adgangskoder til hhv. PC, FTP, m.m. skal opdateres kvartalsvis.
Adgangen til systemet må på ingen måde anvendes til private formål
Medarbejderen må ikke dele hele eller dele af dataen eller kildekoden internt eller eksternt, uden
tilladelse.
Medarbejderen må ikke tilgå systemet fra enheder der ikke er godkendt hertil.
Medarbejderen skal oplyse hvis man har foretaget forkert brug af systemet
Medarbejderen skal låse sin enhed når den forlades
Enheden SKAL være beskyttet med kodeord
4.2.2 Procedure ved konstatering af en medarbejders misbrug af systemet:
Vurder om der er sket skade på systemet, og hvorvidt det skal lukkes ned.
Vurder omfanget af misbruget
Suspender medarbejderen og luk pågældende ud af systemet
Foretag intern undersøgelse af misbruget og vurder konsekvenserne.
Eventuelt redefinering af sikkerhedsstandarderne.
Kommuniker episoden ud i HelpCenter (og ved længere nedbrud via mail).
Ved misbrug af systemet kan den pågældende medarbejders ansættelsesforhold ophøre.
4.3 Erhvervsmæssige spionage
Systemet og dets beskaffenhed er strengt fortroligt, og må ikke deles eksternt.
4.3.1 Standard for erhvervsmæssige spionage:
Medarbejderen må ikke give andre personer, der ikke er godkendt, adgang til systemet.
4.3.2 Procedure ved konstatering af erhvervsmæssige spionage:
Ved gentagende overtrædelse af standarterne vedr. erhvervsmæssige spionage vil den pågældende medarbejders ansættelsesforhold blive taget op til overvejelser.
4.4 Fysisk adgang til systemet
Enheder med tilgang til systemet skal være beskyttet så adgangen hertil er så sikker som muligt.
4.4.1 Standarder:
4.4.2 Procedure ved overtrædelse:
4.5 Tyveri af data / software / hardware
I tilfælde af at en medarbejder stjæler data
4.5.1 Standard for tyveri (følgende anses for tyveri):
4.5.2 Procedure ved konstatering af tyveri:
Ved misbrug af systemet kan den pågældende medarbejders ansættelsesforhold ophøre.
5. Organisering
5.1 Ansvarsforhold og roller
Der findes en række forskellige ansvarsforhold og roller vedr. drift af systemet, samt hvilke rettigheder/tilladelser man har.
5.1.1 Systemansvarlig
Den systemansvarlige er ansvarlig for at systemets sikkerhed bliver overholdt
5.1.2 Projektansvarlig
Det er Projektansvarligs ansvar at sikkerhedsprocedurer ajourføres minimum én gang årligt. Det er desuden den systemansvarliges opgave at tjekke sikkerhedsproceduren minimum to gange årligt.
Log for hver systemtjek skal føres.
5.2 Fratrådte medarbejdere
Ved fratrådt medarbejder gennemføres en sikkerhedsopdatering som involverer:
6. Godkendelser
Følgende personer og enheder er godkendt til at tilgå systemet:
6.1 Systemadgang:
Systemadgang er adgang til alle facetter af systemet, herunder servere, databaser, filer + administratoradgange til de understøttende 3. Parts leverandører.
Thomas Bolander
Godkendelse givet: 01.01.2016
Titel: Senior Developer (+ Systemansvarlig)
Enheder:
Arbejds Stationær PC (Vestre Havnepromenade 1B, 3. Sal)
Macbook (bærbar computer)
Kevin Rebsdorf
Godkendelse givet: 01.01.2016
Titel: CEO (+ Projektansvarlig)
Enheder:
iMac (hjemmecomputer)
Macbook (bærbar computer)
Kristian Vassard
Godkendelse givet: 01.01.2016
Titel: Developer
Enheder:
Arbejds stationær PC (Vestre Havnepromenade 1B, 3. Sal)
Macbook (bærbar)
Erik Carillo
Godkendelse givet: 01.01.2016
Titel: Head of Customer Care
Enheder:
PC (hjemmecomputer)
Macbook (bærbar computer)
Camilla Christensen
Godkendelse givet: 01.01.2016
Titel: Customer Care Specialist
Enheder:
8. CompanYoung Admin-rettigheder
Med en CompanYoung admin-rettighed, har du mulighed for at tilgå alle organisationer i YoungCRM. Dermed har disse personer mulighed for at tilgå alt data indsamlet via YoungCRM, men ikke til selve kodebasen m.m. som personer med Systemadgang.
Anders Bøegh
Godkendelse givet: 01.01.2016
Titel: Head of Delivery
Morten Kyvsgaard
Godkendelse givet: 01.01.2016
Titel: Digital Media Specialist
Daniel Birkholm
Godkendelse givet: 01.01.2016
Titel: CCO
Har du spørgsmål til dette så kontakt