Tidvis
Sikkerhet

Informasjonssikkerhet

Sikkerheten i våre tjenester er av ytterste viktighet for oss i Tidvis og en grunnpilar i hele virksomheten. Vi håndterer sensitive opplysninger om mennesker som trenger støtte, det forplikter.

Tidvis arbeider systematisk og fortløpende med å utvikle og sikre kvaliteten i virksomheten. Sikkerhetsarbeidet styres av et policyrammeverk som omfatter adgangskontroll, cyberhygiene, informasjonsklassifisering, leverandørsikkerhet, hendelseshåndtering og kontinuitet. Vi streber etter en sunn og positiv sikkerhetskultur der alle medarbeidere har god kunnskap om informasjonssikkerhet og forstår viktigheten av avviksrapportering.

Driftsmiljø

  • All drift skjer hos etablerte skyleverandører innen EU/EØS.
  • Hver kunde holdes logisk separert i egne miljøer slik at data aldri blandes mellom kunder.
  • All trafikk mellom brukere og Tidvis skjer kryptert over TLS 1.2 eller høyere.
  • Data i hvile krypteres med AES-256.
  • Regelmessige, krypterte sikkerhetskopier med geo-redundans innen EU.

Adgangskontroll

  • Rollebasert tilgangskontroll (RBAC) styrt av kundens administrator.
  • Innlogging for sluttbrukere med BankID.
  • Tofaktorautentisering (MFA) for Tidvis' interne administratorer.
  • Prinsippet om minste nødvendige tilgang; kun personell som trenger tilgang for å løse en spesifikk sak får tilgang, og alt slikt arbeid logges.
  • Logging av administrative tiltak og sentralisert loggoppfølging.

Personopplysningsbehandler og GDPR

Når en kunde bruker Tidvis, er kunden behandlingsansvarlig og Tidvis personopplysningsbehandler. Vi inngår databehandleravtale (DPA) med samtlige kunder og redegjør for våre underbehandlere på forespørsel. Les mer i vårt personvern.

Sikkerhetskultur og opplæring

  • Alle medarbeidere er underlagt taushetsplikt og sikkerhetspolicy.
  • Gjentakende opplæring i cyberhygiene, GDPR og hendelseshåndtering.
  • Tydelige rutiner for rapportering av mistenkelige avvik og hendelser.

Hendelseshåndtering

Tidvis har dokumenterte rutiner for å oppdage, klassifisere, eskalerer og utbedre sikkerhetshendelser. Ved et brudd på personopplysningssikkerheten informerer vi berørt kunde uten unødig opphold, slik at kunden i sin tur kan melde fra til Datatilsynet innen 72 timer i henhold til GDPR.

Sårbarhets- og leverandørstyring

  • Gjentakende sårbarhetsskanning og ekstern penetrasjonstesting.
  • Informasjon klassifiseres etter sensitivitet og håndteres deretter.
  • Underleverandører blir kontrollert før ansettelse og følges opp regelmessig med hensyn til informasjonssikkerhet og databeskyttelse.

Kontinuitet og backup

Tidvis driftes med redundans på flere nivåer. Sikkerhetskopier tas daglig, lagres geografisk atskilt innen EU og testes regelmessig. Vi har en kontinuitetsplan for å kunne gjenopprette tjenesten selv ved større avbrudd.

Kontakt for sikkerhetsspørsmål

Har du oppdaget en sårbarhet eller har spørsmål om vårt sikkerhetsarbeid, når du oss på security@tidvis.se.