Säkerhet & integritet
Molntjänster är ett samlingsnamn för olika typer av tjänster som levereras via Internet. Det kan handla om programvara, lagring, databaser, nätverk eller analys. Molntjänster kan ha olika egenskaper beroende på vem som tillhandahåller dem och hur de är uppbyggda. Det kan vara svårt att veta vilken molntjänst som passar bäst för ens verksamhet och vilka leverantörer som är mest pålitliga. Vi på Storegate erbjuder full transparens och en bra metod för att jämföra molntjänster är att följa flödet av affärsdata som skickas från en enhet till en server. Nedan berättar vi mer om hur det ser ut hos oss på Storegate.
Datasäkerhet hos Storegate
Molngaranti med integritet och säkerhet i fokus
Storegates kunddata lagras i en tillförlitlig miljö där kunder kan utnyttja tjänsterna maximalt på ett tryggt, säkert och effektivt sätt. Utrustningen ägs av Storegate och datahallarna är belägna i Sverige.
Såväl faciliteter, system och personal möter hårda krav och vi erbjuder en full redundant miljö med optimala förutsättningar vad gäller strömförsörjning, kyla, klimat, branddetektering och släcksystem.
Storegates tjänster monitoreras dygnet runt via övervakningssystem. Om störningar uppstår i driften larmas jourhavande tekniker automatiskt. Inpassage till datahallar skyddas genom passerkontrollsystem, inre sektioneringar samt inbrottslarm.
Storegate jobbar tillsammans med oberoende konsulter för löpande penetrationstester, sårbarhetsgranskning och tester enligt standarder som t ex OWASP TOP TEN.
Storegate har ett forum kallat ISWG (Information Security Work Group) som arbetar med att utforma och implementera processer för Storegates ISMS-system. Kontakta oss för mer information.
Storegate skannar aldrig information i affärsutvecklingssyfte eller för att sälja reklam.
Åtkomst till konto och autentisering
När ni skapar ert konto på Storegate har vi skapat förutsättningar för att ni själva ska kunna välja ett starkt användarnamn och lösenord som är anpassad efter ert företags policy.
- Lösenordsfaktorer (minsta antal tecken som krävs av siffror, specialtecken versaler etc.)
- Lösenordsåterställning från administratören eller via support
- Begränsat antal inloggningsförsök (brute force)
- Automatisk utloggning vid inaktivitet
- Tokenbaserad Oauth-inloggning för klienter och webb
- Tvåstegsverifiering med appar som har stöd för TOTP-protokollet, ex. Microsoft- samt Google Authenticator
Single Sign On
För Enterprise-kunder erbjuder Storegate stöd för Single Sign on. Detta ger företag en centraliserad kontroll över användarkonton i Storegate. Om ett företag stänger av en användare centralt kan inte personen längre logga in på tjänsten. På liknande sätt kan du som administratör styra och kontrollera dina användare. Detta görs genom att logga in på ditt administratörskontot på Storegate.com.
Mobil åtkomst
Mobila användare kan komma åt sina Storegate konton via mobila webbläsare eller en specifik Storegate-app. När en användare ansluter via en mobiltelefon (iPhone, iPad, Windows, Android m.m) appliceras HTTPS krypterad autentisering. All data som skickas mellan servern och den mobila applikationen är krypterad med bankstandarden TLS. Om en mobil enhet blir stulen eller förloras, kan administratören blockera personens konto så att tillgång till informationen i tjänsten blockeras i realtid.
Uppladdning och överföring
När du har loggat in på tjänsten via någon av våra gränssnitt kan du ladda upp filer och mappar. Själva uppladdningen är enkel när man ser det från användarens perspektiv, men vi på Storegate optimerar prestanda och säkerhet i själva överföringen. All data krypteras med 128-bitars TLS-kryptering. Detta innebär att du inte behöver använda VPN-tunnlar eller liknande för att komma åt er data från olika geografiska platser. Samma förfarande är omvänd när ni laddar ned filer till era enheter.
Behörighetsnivåer och delning av information
När era filer har nått Storegate och är redo för delning, samarbete eller lagring finns möjligheter att bestämma vem och vilka som ska få tillgång till informationen. Varje användare kan exempelvis sätta delningsbehörigheter i samarbetsmappar. Genom att dela ut mappar externt går det också bestämma vem och vilka partners som får ta del av er information och ladda upp information till ert konto. Utdelningar kan begränsas med tidsintervall samt lösenord som mottagaren behöver för att kunna komma åt innehållet.
Globala inställningar
På en global nivå kan administratörer ange vissa begränsningar på en eller flera användare. Dessutom kan administratören bestämma:
- Vem som kan skapa mappar eller ladda upp filer
- Vilka användare som skall bjudas in till kontot
- Hur mycket varje användare får lagra i hemma-katalogen och i backup-delen
- Vilka filer som skall raderas permanent (aktiv/inaktiv papperskorg)
- Hur många versioner av varje fil som skall finnas på kontot
- När och vem som ska ha rapporter om status på backup
- När en användare skall tas bort
Lagring och kryptering
Alla filer som laddas upp till Storegate lagras i realtid på två separata system placerade i två fysiskt skilda datarum och krypteras på disk med AES 256-bitars kryptering. Vidare lagras alla filer i systemen med förvrängda sökvägar och filnamn. Detta innebär att man aldrig kan spåra vilka filer och hänvisningar som hör ihop med filernas ägare, dvs. kontoinnehavaren. För alla tjänster och protokoll på Storegate appliceras även 128-bitars TLS kryptering vid överföring. För Backup Pro krypteras filerna valfritt med en användargenerad krypteringsnyckel (256-bitars AES-kryptering). Systemet har inbyggd skydd mot SQL-injektion och brute force-attacker. Systemet kommer automatiskt blockera misslyckade inloggningsförsök som upprepas baserade på IP-adress och användarnamn.
Delat ansvar för dataskydd och efterlevnadskrav
Säkerhet och tillgänglighet är vår högsta prioritet på såväl organisation- som funktionsnivå i tjänsterna vi erbjuder. Många företag omfattas dock av lokala eller branschspecifika regelkrav för datalagring och säkerhetskopiering, vilket kan kräva säkerhetskopierings- och lagringsprinciper, som du som kund måste tillgodose. Storegate arbetar liksom andra ledande molntjänster enligt en modell med delat ansvar för dataskydd och efterlevnad. Detta innebär att Storegate ansvarar för att skydda tjänsten och infrastrukturen, medan kunden ansvarar för att skydda sina egna data för regelefterlevnad eller mot åtkomstproblem, oavsiktlig borttagning, skadlig aktivitet samt andra dataförlusthändelser. Därför rekommenderar vi att varje enskild kund ombesörjer en backup till en tredjepartslösning eller till en lokal disk på hemmaplan. Genom tilläggstjänsten Utökad åtkomst kan alla filer och mappar (inklusive underanvändares katalog Mina filer) säkerhetskopieras lokalt eller till tredje part. Kontakta oss för mer information.
Radering av lagrad information
Då filerna befinner sig i papperskorgen ligger de kvar tills ni väljer att tömma hela eller delar av papperskorgen. Tar ni bort filer från papperskorgen kan dessa aldrig mer återskapas. Om ni väljer att avsluta ett konto så sparas uppgifterna i 60 dagar, därefter raderar Storegate alla uppgifter i enlighet med GDPR.
Våra riktlinjer
Säkerheten kring er information börjar på vårt kontor, i våra datahallar och med våra rutiner. Samtliga anställda på Storegate har ett anställningsavtal som omfattar sekretess gentemot våra partners och kunder. Liksom de flesta online-tjänster, har vi ett litet antal anställda med registerutdrag från polisen som måste kunna få tillgång till användardata av de skäl som anges i vårt användaravtal (tex när vi är juridiskt skyldiga att göra så). Men det är sällsynta undantag, inte regel. Vi har en strikt policy och teknisk åtkomstkontroll som förbjuder arbetstagarnas tillgång utom i dessa sällsynta fall. Dessutom använder vi ett antal fysiska och logiska säkerhetsåtgärder för att skydda användarinformation från obehörig åtkomst.
Storegate arbetar också för att upprätthålla säkerheten i det egna kontorsnätverket med:
- Detekteringssystem för nätverksintrång
- Applikationsloggning, rapportering, analys, arkivering och bevarande av data
- Kontinuerlig övervakning
Administration av er data
Tekniker eller kundsupport hos Storegate kan tillfälligtvis behöva åtkomst till kunders konton för att hantera tekniska ärenden och support. Även här har vi upprättat noggranna policys och fullmakter som hjälper oss att hjälpa er med så lite insyn som möjligt.
Applikations- och hårdvaruarkitektur
I varje datahall håller Storegate full redundans vad gäller lastbalanserare, routrar, servrar, switchar och failover-konfigurationer m.m. Data som skrivs replikeras i realtid på flera servrar.
Summering
Storegates system är en komplex miljö som kräver flera olika lager av säkerhet. Från hårdvara som lagringsystem till mjuka värden som den personal som arbetar på Storegate. Storegates högsta prioritet är och förblir säkerheten kring kundernas digitala information. Om ni behöver mer information inom ett specifikt område vänliga kontakta Storegate så svarar vi gärna på era frågor.
Rapportera sårbarhet
Våra principer
Säkerheten i våra system har högsta prioritet. Men oavsett hur mycket arbete vi lägger ner på systemsäkerhet kan det fortfarande finnas sårbarheter.
Om du upptäcker en sårbarhet vill vi att du meddelar oss om det så att vi kan vidta åtgärder för att åtgärda den så snabbt som möjligt. Genom att meddela oss hjälper du att bättre skydda våra kunder och våra system.
Vänligen gör följande:
- Skicka ett meddelande till info[at]storegate.com så får du en unik länk för att ladda upp information.
- Dra inte fördel av den sårbarhet eller det problem du har upptäckt, t.ex. genom att ladda ner mer data än nödvändigt för att demonstrera sårbarheten eller radera eller modifiera andras data.
- Berätta inte om problemet för andra förrän det har lösts.
- Använd inte attacker mot den fysiska säkerheten, social ingenjörskonst, distribuerad överbelastning, skräppost eller tredjepartsapplikationer.
- Lämna tillräcklig information för att reproducera problemet, så att vi kan lösa det så snabbt som möjligt. Vanligtvis räcker det med IP-adressen eller webbadressen till det berörda systemet och en beskrivning av sårbarheten, men komplexa sårbarheter kan kräva ytterligare förklaringar.
Vad vi lovar:
- Vi kommer att svara på din anmälan inom 5 arbetsdagar med vår utvärdering av anmälan och ett förväntat datum för beslut.
- Om du har följt instruktionerna ovan kommer vi inte att vidta några rättsliga åtgärder mot dig med anledning av rapporten.
- Vi kommer att hantera din rapport med strikt sekretess och inte vidarebefordra dina personuppgifter till tredje part utan ditt tillstånd.
- Vi kommer att hålla dig informerad om hur arbetet med att lösa problemet fortskrider.
- I den offentliga informationen om det rapporterade problemet kommer vi att ange ditt namn som den som upptäckte problemet (om du inte önskar något annat) och som ett tecken på vår tacksamhet för din hjälp erbjuder vi en belöning för varje rapport om ett säkerhetsproblem som ännu inte var känt för oss. Belöningens storlek kommer att bestämmas utifrån hur allvarlig läckan är och kvaliteten på rapporten. Den lägsta belöningen är ett presentkort på 50 euro.
Vi strävar efter att lösa alla problem så snabbt som möjligt, och vi vill gärna spela en aktiv roll i den slutliga publiceringen av problemet efter att det har lösts.
GDPR
När Storegate lagrar dina uppgifter
Storegate följer GDPR och vi har en DPO (Data Protection Officer) som kan nås på dpo@storegate.se. Vi har även tagit fram en incidenthanteringsplan, en integritetspolicy och önskar du ett personuppgiftsbiträdesavtal kan du beställa det här. Om du inte längre är kund hos oss kan du ändra eller ta bort informationen när du vill genom att anmäla och höra av dig till oss. Vår ambition är att hela tiden arbeta med relevant innehåll, integritet, ärlighet, transparens och ansvar.
När ni lagrar andras personuppgifter
Som kund hos Storegate har vi sett till att du kan följa GDPR. Först och främst så finns all data lagrad i Sverige (GDPR kräver lagring inom EU). Att det är svensk lagring skyddar även din data från att drabbas av utländska lagar. Utöver detta finns en loggningsfunktion på alla företagskonton. Detta innebär att man kan följa vad som hänt med en specifik fil och vem som har gjort det. Ovärderligt om man jobbar flera med samma filer och vill ha full kontroll. Nedan kan ni läsa mer om viktiga punkter för ert företag när det gäller GDPR.
Att tänka på
Personuppgifter som ni behandlar måste ha laglig grund. För att behandla personuppgifter måste det alltid finnas stöd i dataskyddsförordningen. Laglig grund kan vara ett samtycke innan ni behandlar en personuppgift.
Rätt att veta. Era kunder och medarbetare har utan kostnad rätt att veta vilken information ni behandlar om dem, syftet med behandlingen och var någonstans behandlingen sker.
Rätt att invända. Rätten att invända omfattar t.ex. rätten att kunna avbryta alla dina nyhetsbrev, lagen är särskilt tydlig här. Ni får heller inte använda personuppgifter som ni har behandlat på en faktura för att skicka mail med erbjudanden, om inte ni specifikt meddelat kunden att göra just detta och har ett bekräftat samtycke.
Rätten att bli bortglömd. Denna regel är kanske den som blir jobbigast att hantera då det ställer mycket speciella krav på er verksamhet. Har ni adresser till kunder i t.ex. en excel.fil eller i ett mail så ska dessa raderas om kunden begär detta. Det finns ett begrepp som benämns laglig grund och den kan oftast gälla före kundens önskan om att bli bortglömd. Har man t.ex. fått samtycke att lagra en faktura med namn och adress är detta en laglig grund. Men då måste man efter 7 år radera denna faktura eftersom uppgiften då kommer att sakna laglig grund. Det kan alltså finnas olika syften med din behandling av personuppgifter där lagringen av fakturor lyder under en, och kontakten i ert adressregister lyder under en annan.
Rätten att bli meddelad vid dataintrång. Skulle ert lagringskonto bli hackat och ni har personuppgifter så har berörda personer under vissa omständigheter rätt att inom skälig tid bli underrättade.
Det kan bli dyrt om man inte följer GDPR. De företag som inte följer GDPR riskerar stora böter med upp till 4% av företagets totala omsättning. Det handlar inte bara om IT utan all hantering av personuppgifter. Har ni t.ex. ett löneregister innehåller detta personuppgifter, och det är ert ansvar att ha regler för hur dessa rensas om personer slutar på företaget.
Här kommer lite tips om hur ert företag ska klara efterfölja GDPR. Tänk på alla personuppgifter som lånade och att när ni inte har något syfte med dem, ska de tas bort. Ert företag ansvarar för alla personuppgifter, oavsett vart de lagras. Det är ert ansvar att leverantörer av IT-system har de rätta säkerhetssystemen för att skydda era kunders data. Ni måste ha rutiner för att ta bort personuppgifter samt dokumentera var och hur din data förvaras och hanteras.
Kontrollfrågor man kan ställa i sitt arbete med att uppfylla GDPR:
- Varför lagrar vi uppgifterna istället för att radera dem?
- Har kunden/individen verkligen gett sitt samtycke till lagring?
- Varför sparar vi uppgifterna? Ni får t.ex. inte lagra onödig information som t.ex. ålder om ni inte kan motivera detta som nödvändigt för din verksamhet och din kund.
- Vad är syftet med behandlingen? Kategorisera dessa syften.
- Hur länge är det motiverat att lagra uppgifterna? Skaffa rutiner som rensar ut gamla data.
- Om en kund vill bli bortglömd hur agerar vi då? (Om ni raderar en fil med persondata, tänk på att den fortfarande kan ligga i papperskorgen)
- Om en kund vill veta vad som finns lagrat, vilka besked ger ni då?
- Hur vet ni att den som begär uppgifterna verkligen är den person som den utger sig för att vara?
Observera att ni själva måste säkra just er verksamhet juridiskt och att texten ovan är förenklad. Vill ni redan nu läsa mer om vad Datainspektionen säger om molntjänster så kan ni hitta det här.
CLOUD Act
De flesta svenska företag och organisationer har processer och rutiner för att följa den nya hårdare EU-lagstiftningen för hantering av personuppgifter (GDPR) som infördes den 25 maj 2018. Det finns dock andra aspekter som är minst lika viktiga att tänka på när ett företag väljer molntjänst för att lagra, dela och samarbeta med företagets filer.
Samma år, 2018, den 23 mars trädde nämligen en ny amerikansk lag i kraft, CLOUD Act (Clarifying Overseas Use of Data), som innebär att amerikanska myndigheter ska ges tillgång till data som lagrats på amerikanska molntjänster, även om denna lagras utomlands, och att amerikanska molntjänster därmed inte kan vägra lämna ut sådana data.
För att uppnå kraven enligt GDPR har amerikanska molntjänster tvingats erbjuda lagring inom EU till svenska företag. Med CLOUD Act betyder det att amerikansk lagstiftning gäller för data som lagras hos en amerikansk molntjänst även om det sker inom EU och det kan stå ett svenskt företag mycket dyrt att ignorera dessa risker.
Privacy Shield
Vad innebär ogiltigförklarandet av Privacy Shield och vilka konsekvenser får det?
För en tid sedan meddelade EU-domstolen att dataskyddsavtalet ”Privacy Shield” som tillät överföringar av EU-medborgares personuppgifter till USA, har ogiltigförklarats. Detta skedde i samband med avgörandet i domen Schrems ll vs Facebook den 16 juli 2020.
Domen innebär att det inte längre är tillåtet att överföra personuppgifter som tillhör EU-medborgare till amerikanskt ägda molntjänster.
Min leverantör säger att vår nuvarande överföring kan luta sig mot standardavtalsklausuler?
Flera amerikanska leverantörer av molntjänster påstår att överföringen av personuppgifter kan anses som laglig då man kan luta sig mot standardavtalsklausuler, precis som många företag gjorde 2015 när EU-domstolen ogiltigförklarade Safe Harbour (föregångaren till Privacy Shield).
För att bedöma om en sådan överföring med stöd av standardavtalsklausuler är laglig krävs en bedömning av rättssystemet i det land som personuppgifterna överförs till. Det vill säga i detta fall om USA ger ett tillräckligt bra skydd för de registrerades personuppgifter. Något som få, om än några företag och organisationer i världen har möjlighet att bedöma.
Dataskyddsmyndigheten har utifrån domen uppdaterat sina rekommendationer gällande överföringar av personuppgifter till USA. De förklarar att varje organisation som tidigare lutat sig mot Privacy Shield gällande överföringar nu måste kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till USA. Om uppgifter överförs till molntjänster med amerikanskt ägande bör man kunna påvisa hur skyddet hos det mottagande landet ser ut i det specifika fallet. Därefter måste företaget ta ställning till om det finns stöd för överföringen eller inte.
Planera långsiktigt och välj en hållbar IT-aktör och en säker molntjänst
En logisk följd till EU:s nya direktiv och bestämmelser kring digital information är att många svenska företag nu är i behov av andra alternativ till amerikanska molntjänster och IT-lösningar. Organisationer inom Europa söker nu efter lokala leverantörer och på längre sikt kan detta ge positiva effekter för hela den Europeiska unionen. Vi är på väg mot en digital transformation där företag väljer tjänster som erbjuder lagring av data som följer europeiska lagar samt värderingar. I sin tur värnar detta både mänskliga rättigheter, såväl som Europas och Sveriges egna innovationsgrad kring molntjänster.
Vi på Storegate är ett svenskt alternativ på den europeiska marknaden. Storegate gör det enkelt och säkert för företag och privatpersoner att lagra och dela filer. Vi värnar om allas integritet och lagrar all information i Sverige i enlighet med GDPR, under svensk lag. Självklart ingår svensk support.
Du är välkommen att prova våra tjänster eller kontakta oss för mer information.