Tidvis
Säkerhet

Informationssäkerhet

Säkerheten i våra tjänster är av yttersta vikt för oss på Tidvis och en grundpelare i hela verksamheten. Vi hanterar känsliga uppgifter om människor som behöver stöd, det förpliktar.

Tidvis arbetar systematiskt och fortlöpande med att utveckla och säkra kvaliteten i verksamheten. Säkerhetsarbetet styrs av ett policyramverk som omfattar åtkomst­kontroll, cyberhygien, informations­klassning, leverantörs­säkerhet, incidenthantering och kontinuitet. Vi strävar efter en sund och positiv säkerhetskultur där alla medarbetare har god kunskap om informations­säkerhet och förstår vikten av incidentrapportering.

Driftmiljö

  • All drift sker hos etablerade molnleverantörer inom EU/EES.
  • Varje kund hålls logiskt separerad i egna miljöer så att data aldrig blandas mellan kunder.
  • All trafik mellan användare och Tidvis sker krypterat över TLS 1.2 eller högre.
  • Data i vila krypteras med AES-256.
  • Regelbundna, krypterade backuper med geo-redundans inom EU.

Åtkomstkontroll

  • Rollbaserad behörighet (RBAC) styrd av kundens administratör.
  • Inloggning för slutanvändare med BankID.
  • Tvåfaktorsautentisering (MFA) för Tidvis interna administratörer.
  • Principen om minsta behörighet, endast personal som behöver åtkomst för att lösa ett specifikt ärende får tillgång, och allt sådant arbete loggas.
  • Loggning av administrativa åtgärder och centraliserad logguppföljning.

Personuppgiftsbiträde och GDPR

När en kund använder Tidvis är kunden personuppgifts­ansvarig och Tidvis personuppgifts­biträde. Vi tecknar personuppgifts­biträdesavtal (DPA) med samtliga kunder och redovisar våra underbiträden vid förfrågan. Läs mer i vår integritetspolicy.

Säkerhetskultur och utbildning

  • Alla medarbetare omfattas av sekretessåtaganden och säkerhetspolicy.
  • Återkommande utbildning i cyberhygien, GDPR och incidenthantering.
  • Tydliga rutiner för rapportering av misstänkta avvikelser och incidenter.

Incidenthantering

Tidvis har dokumenterade rutiner för att upptäcka, klassa, eskalera och åtgärda säkerhetsincidenter. Vid en personuppgiftsincident informerar vi berörd kund utan onödigt dröjsmål så att kunden i sin tur kan anmäla till Integritetsskydds­myndigheten (IMY) inom 72 timmar enligt GDPR.

Sårbarhets- och leverantörsstyrning

  • Återkommande sårbarhetsskanning och extern penetrationstestning.
  • Information klassas efter känslighet och hanteras därefter.
  • Underleverantörer granskas före anlitande och följs upp regelbundet avseende informationssäkerhet och dataskydd.

Kontinuitet och backup

Tidvis driftas med redundans på flera nivåer. Backuper tas dagligen, lagras geografiskt åtskilda inom EU och testas regelbundet. Vi har en kontinuitetsplan för att kunna återställa tjänsten även vid större avbrott.

Kontakt för säkerhetsfrågor

Har du upptäckt en sårbarhet eller har frågor om vårt säkerhetsarbete når du oss på security@tidvis.se.