24SevenOffice følger ISO 27001 standarden og gjennomfører omfattende revisjoner for å sikre at dine data alltid er beskyttet. I organisasjonen 24SevenOffce følger vi de høye sikkerhetsstandardene for alt personell.
Les våre svar på de vanligste spørsmål om sikkerhet nedenfor eller les mer på denne siden.
| Sikkerhetspolitikk og prosedyrer | 24SevenOffice har utviklet et omfattende sett med sikkerhetspolitikker basert på ISO 27001 i form av et styringssystem for informasjonssikkerhet (ISMS). Politikkene for informasjonssikkerhet oppdateres regelmessig og kommuniseres til alt personell. |
| Politikk for Informasjonssikkerhet | 24SevenOffice har en egen politikk for informasjonssikkerhet. Vår CEO har uttalt følgende: "For vårt selskap er informasjonsbehandling grunnleggende for vår suksess. Beskyttelse og sikkerhet for denne type informasjon er prioritet helt opp på styrenivå. Enten det er informasjon om våre ansatte eller kunder, tar vi våre forpliktelser i henhold til GDPR og personvernloven på alvor. Vi har satt av ressurser til å utvikle, implementere og kontinuerlig forbedre styringen av informasjonssikkerhet som passer for vår virksomhet." Eirik Aalvik Stranden, CEO. |
| Sikkerhetsorganisasjon | 24SevenOffice har dedikert personell til sikkerhetsstyring. |
| Risikovurdering | 24SevenOffice gjennomfører regelmessige risikovurderinger, inkludert risikovurdering av leverandører. |
| Bakgrunnssjekk av personnel | 24SevenOffice utfører bakgrunnssjekk av alt nytt personnel i henhold til lokale lover som er aktuell i forhold til der selskapet har virksomhet. Bakgrunnssjekken inkluderer blant annet verifisering av tidligere arbeidsforhold og utdanning. |
| Konfidensialitet | Alle avtaler med alt personnel inneholder klausuler om konfidentialitet. |
| Akseptabel bruk | Alt personnel har lest og signert en omfattende akseptabel bruk politikk, personvernpolitikk og politikk for informasjonssikkerhet. |
| Tilgangsstyring | Tilganger fjernes når personnel forlater selskapet. Alt personnel har konfidentialitetsklausuler utover engasjementsforholdet. |
| Tilgangskontroll og autentisering | Alt personnel i 24SevenOffice har som krav at de benytter en identitetsleverandør og multifaktor autentisering på alle applikasjoner der det er tilgjengelig. Tilgang til data innenfor 24SevenOffice-organisasjonen er begrenset til need-to-know og minimum privilegier og blir regelmessig revidert og overvåket. 2-faktor autentisering er tilgjengelig for 24SevenOffice ERP-kunder. Alt personell i 24SevenOffice er pålagt å bruke 2-faktor autentisering og sterke passord. |
| Single Sign-On | 24SevenOffice ERP støtter at du kan logge på med din Google ID bruker dersom din administrator åpner for dette. |
| Rollebasert tilgangskontroll | Aksess til data i 24SevenOffice ERP er basert på rollebasert tilgangskontroll. 24SevenOffice tilbyr ulike tilgangsnivåer. |
| Aksess til datasenter | Personnel har ikke tilgang til datasenter uten spesialtillatelse gitt fra gang til gang fra toppledelsen. |
| Kontorlokaler | 24SevenOffice har ikke noe internt nettverk eller konfidensiell informasjon lagret i sine kontorlokaler. 24SevenOffice praktiserer prinsipper om at alt skal være 100% Software-as-a-Service (SaaS). |
| Tilganger til kundedata | Aksess til kundedata er begrenset til autoriserte privilegerte ansatte som har behov for dette for å kunne utføre sine arbeidsoppgaver. |
| Lagring av data | 24SevenOffice benytter datasenter som er lokalisert i EU/EØS. 24SevenOffice MRP (Masterplan) for kunder i USA er lokalisert i samme land. |
| Inntrengningsdeteksjon og forebygging | 24SevenOffice har utviklet flere lag med sikkerhetsovervåking for å oppdage unormal oppførsel og reagere på enhver sikkerhetshendelse. |
| Ransomware | Immutable backup av kundedata, lagret i ulike lokasjoner. |
| Kapasitets- og endringsledelse | 24SevenOffice gjennomfører kapasitets- og endringsledelse. |
| Penetrationtesting | 24SevenOffice engasjerer årlig tredjeparts sikkerhetspartnere til å utføre penetrasjonstesting av 24SevenOffice ERP. Vårt dedikerte sikkerhetsteam tar tak i problemer som eventuelt oppdages. |
| Respons på sikkerhetshendelser | Eventuelle hendelser eskaleres videre til et Information Security Incident Response Team (ISIRT) som sikrer rask respons og eventuell forretningskontinuitet. |
| Utvikling og kontroller for sikkerhetsrammeverk | Utviklingen av 24SevenOffice ERP er basert på security-by-design. De 10 beste OWASP-prinsippene benyttes som grunnlag. 24SevenOffice utnytter moderne og sikre åpen kildekode-rammeverk med sikkerhetskontroller for å begrense eksponeringen for OWASP Topp 10 sikkerhetsrisikoer. |
| Kvalitetssikring | Vår QA avdeling tester manuelt vår applikasjon og brukergrensesnitt. |
| Separate miljøer | Test- og stagingmiljøer er logisk atskilt fra produksjonsmiljøet. Kundedata benyttes ikke i våre utviklings- eller testmiljøer. |
| Bug Bounty Program | Vi er svært opptatt av å holde brukerne våre trygge. Hvis du mener at du har oppdaget en sårbarhet, ber vi deg rapportere det på en ansvarlig måte. For øyeblikket har ikke 24SevenOffice et Bug Bounty-program, men vi ønsker alle oppdagelser velkommen. Rapporter disse via chat på våre nettsider. |
| ISO 27001 sertifisering | 24SevenOffice er sertifisert i henhold til ISO 27001 sikkerhetsstandarden. |
| Compliance | 24SevenOffice har basert sitt styringssystem for informasjonssikkerhet (ISMS) på ISO 27001 standarden. Formålet er å sikre at beskyttelse av beste praksis implementeres basert på industristandarder og at 24SevenOffice er i samsvar med gjeldende lover og forskrifter. |