Bilaga II: Tekniska och organisatoriska åtgärder

Strife upprätthåller följande tekniska och organisatoriska åtgärder.

Åtkomstkontroll

• Rollbaserad åtkomstkontroll enligt principen om minsta behörighet

• Lösenordsfri autentisering till Strife-tjänsten. Strife lagrar inte lösenord.

• Multifaktorautentisering för Strife-personal med åtkomst till produktionssystem

• Centraliserad identitetshantering och åtkomstloggning

Kryptering

• TLS-kryptering av all data under överföring

• Kryptering i vila för känsliga datakategorier

• Hanterad nyckelrotation

Infrastruktursäkerhet

• Driftsättning på infrastruktur med branscherkända certifieringar (Microsoft Azure, Hetzner)

• Primär databaslagring i EU-regioner

• Nätverkssegmentering och brandväggskontroller

• Kontinuerlig övervakning och loggning

Operativ säkerhet

• Regelbundna säkerhetsgranskningar

• Processer för sårbarhetshantering och patchhantering

• Rutiner för incidenthantering

• Bakgrundskontroller för Strife-personal med åtkomst till produktionssystem

• Sekretessåtaganden för all personal

Organisatoriska åtgärder

• Interna dataskyddspolicyer

• Personalutbildning inom dataskydd och informationssäkerhet

• Rutiner för verksamhetskontinuitet och säkerhetskopiering

• Hantering och tillsyn av underbiträden

• Rutiner för hantering av personuppgiftsincidenter

Stöd för de registrerades rättigheter

• Verktyg inom Strife-tjänsten för att Kunden ska kunna hämta, rätta eller radera personuppgifter tillhörande registrerade

• Export av data i maskinläsbara format (JSON, CSV)