Tidvis
Sikkerhet

Informasjonssikkerhet

Sikkerheten i vores tjenester er av ytterste viktighet for oss i Tidvis og en grunnpilar i hele virksomheten. Vi håndterer sensitive opplysninger om mennesker som trenger support, det forplikter.

Tidvis arbejder systematisk og fortløpende med å utvikle og sikre kvaliteten i virksomheten. Sikkerhetsarbeidet styres av et policyrammeverk som omfatter adgangskontroll, cyberhygiene, informasjonsklassifisering, leverandørsikkerhet, hendelseshåndtering og kontinuitet. Vi streber etter en sunn og positiv sikkerhetskultur der alle medarbeidere har god kunnskap om informationssikkerhed og forstår viktigheten av avviksrapportering.

Driftsmiljø

  • All drift skjer hos etablerte skyleverandører innen EU/EØS.
  • Hver kunde holdes logisk separert i egne miljøer slik at data aldri blandes mellem kunder.
  • All trafikk mellem brugere og Tidvis skjer kryptert over TLS 1.2 eller høyere.
  • Data i hvile krypteres med AES-256.
  • Regelmessige, krypterte sikkerhetskopier med geo-redundans innen EU.

Adgangskontroll

  • Rollebasert tilgangskontroll (RBAC) styrt av kundens administrator.
  • Innlogging for sluttbrukere med MitID.
  • Tofaktorautentisering (MFA) for Tidvis' interne administratorer.
  • Prinsippet om minste nødvendige adgang; kun personell som trenger adgang for å løse en spesifikk sak får adgang, og alt slikt arbejde logges.
  • Logging av administrative tiltak og sentralisert loggoppfølging.

Personopplysningsbehandler og GDPR

Når en kunde bruger Tidvis, er kunden behandlingsansvarlig og Tidvis personopplysningsbehandler. Vi inngår databehandleravtale (DPA) med samtlige kunder og redegjør for vores underbehandlere på forespørsel. Læs mere i vårt privatlivspolitik.

Sikkerhetskultur og uddannelse

  • Alle medarbeidere er underlagt taushetsplikt og sikkerhetspolicy.
  • Gjentakende uddannelse i cyberhygiene, GDPR og hendelseshåndtering.
  • Tydelige rutiner for rapportering av mistenkelige avvik og hendelser.

Hendelseshåndtering

Tidvis har dokumenterte rutiner for å oppdage, klassifisere, eskalerer og utbedre sikkerhetshendelser. Ved et brudd på personopplysningssikkerheten informerer vi berørt kunde uden unødig opphold, slik at kunden i sin tur kan melde fra til Datatilsynet innen 72 timer i henhold til GDPR.

Sårbarhets- og leverandørstyring

  • Gjentakende sårbarhetsskanning og ekstern penetrasjonstesting.
  • Informasjon klassifiseres etter sensitivitet og håndteres deretter.
  • Underleverandører bliver kontrollert før ansettelse og følges opp regelmessig med hensyn til informationssikkerhed og databeskyttelse.

Kontinuitet og backup

Tidvis driftes med redundans på flere nivåer. Sikkerhetskopier tas daglig, lagres geografisk atskilt innen EU og testes regelmessig. Vi har en kontinuitetsplan for å kunne gjenopprette tjenesten selv ved større avbrudd.

Kontakt for sikkerhetsspørsmål

Har du oppdaget en sårbarhet eller har spørgsmål om vårt sikkerhetsarbeid, når du oss på security@tidvis.se.