Integritet & Säkerhet

Välkommen till vår integritets- och säkerhetssida!
Här har vi sammanställt all information som är viktig för dig att veta kring
integritet och säkerhet i användningen av Companyexpense.
GDPR   |   Säkerhet   |   Incidenthantering   |   Integritetspolicy


Lagen om behandling av personuppgifter

GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. Lagen är till för att skydda individers integritet och skapa samma skydd för individen inom hela EU. Mer information om GDPR finns att ta del av på Datainspektionens hemsida. Datainspektionen är den tillsynsmyndighet som kommer kontrollera detta i Sverige.

Companyexpense som personuppgiftsbiträde

All behandling av personuppgifter i Companyexpense är du som kund personuppgiftsansvarig för. Companyexpense är personuppgiftsbiträde och vidtar tekniska och organisatoriska åtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Companyexpense tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

Companyexpense som personuppgiftsansvarig

All behandling av personuppgifter om dig som kund, användare eller deltagare på våra möten/utbildningar/webinar är vi personuppgiftsansvariga över.

Säkerhet

Companyexpense som personuppgiftsbiträde har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring tjänsten Companyexpense. Det innebär att vi i Companyexpense ska se till att det finns den säkerhet som behövs för exempelvis lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner i programmet för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som Companyexpense vidtar beskrivs närmare nedan.

Autentisering och kryptering

  • Companyexpense använder krypterad kommunikation i form av 256-bitars SSL-kryptering (128-bitars för vissa äldre telefoner som har hårdvarubegränsningar) och 2048-bitars publika RSA-nycklar. All datakommunikation till och från Användarens datorer och telefoner krypteras med SSL, den mest använda Internetstandarden för krypterad kommunikation.
  • Companyexpense tillämpar lösenordsskydd i form av att inloggningsförfarandet är helt krypterat, vilket innebär att ingen information skickas som okrypterad text. Användarens lösenord lagras i envägskrypterat format (med ett standardiserat envägschiffer).
  • För att undvika att obehöriga får tillgång till information om en dator lämnas obevakad, loggar systemet automatiskt ut Användaren efter en tid. Kunden står alltid risken vid obehörig användning av Tjänsterna som följd av att Användaren lämnat en inloggad dator eller telefon obevakad.
  • Det sker kontinuerlig verifiering av användare. Varje anrop till Companyexpenses servrar innebär en kontroll av den inloggades behörighet avseende organisation och roll.

Lagring och backuper

Companyexpense driftas på servrar i datahallar som övervakas dygnet runt och det finns alltid personal tillgänglig. Lagringen av data finns på två geografiskt separerade platser i Sverige med full redundans och backuper tas varje timma.

  • Datahallarna är utrustad med brandskydd och klimatsystem. Det finns flera automatiska brandskydd och klimatkontrollsystem ser till att temperaturen alltid är låg och att luftfuktigheten är optimal.
  • Datahallarna är utrustad med sekundärt strömförsörjningssystem samt dieselgeneratorer som säkerställer strömförsörjningen till servrarna.
  • Redundanta högkapacitetsanslutningar säkerställer Användarnas tillgång till Tjänsterna.
  • Endast godkänd personal har tillgång till datahallen.
  • Companyexpense Tjänster bygger på en modern serverplattform med redundans i flera nivåer.
  • Companyexpenses servermiljö och nätverk skyddas av brandväggar. Dessutom är Companyexpense proaktiva genom övervakning och analys av brandväggar och systemloggar genom aktivt intrångsskydd och intrångsdetektering.
  • Companyexpense har heltäckande backuprutiner som säkerställer kontinuitet i Tjänsterna. Krypteringen av Användarnas lösenord kvarstår vid backuperna. Kompletta backuper görs varje timma och överförs till geografiskt skilda platser.

Kunskaps- och informationsskydd

  • Endast ett fåtal nyckelpersoner med särskild behörighet inom Companyexpense känner till hur säkerhetssystemet är uppbyggt.
  • All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av Companyexpenses Driftavdelning.

Incidenthantering

Companyexpense har en incidentprocess för hantering av eventuella incidenter. Processen ska tydliggöra informationsflödet, vilka rutiner som finns, alla roller och ansvarsområden. Ett incidentteam sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen.

Integritetspolicy

I våra allmänna villkor beskrivs Companyexpenses behandling av personuppgifter. Vi vill tydliggöra ansvaret för att skydda dina rättigheter och din integritet och förklara hur vi använder de personuppgifter du delar med oss. Dokumentet ska ge dig förståelse för vilka uppgifter vi samlar in med din tillåtelse och vad vi gör – respektive inte gör – med dem.

Undrar du över något?

Har du några frågor om vår driftsmiljö eller säkerhet?