Informasjonssikkerhet

På Brevio.com er ditt personvern og din datasikkerhet et av våre fokusområder. Vi vil alltid behandle dine personopplysninger:

  • Med konfidensialitet.
  • På riktig måte, i henhold til egne erklæringer.
  • På lovlig vis, i samsvar med gjeldende lover og forskrifter om personvern og informasjonssikkerhet.

Introduksjon

Brevio er en web-applikasjon utviklet og driftet av Brevio AS. Systemet er designet for tilnærmet 100% oppetid og skalerbar kapasitet (både horisontalt og vertikalt).

Løsningen bruker Heroku som sin applikasjonsplattform, som bidrar med redundans, lastbalansering, og elastisk skalering. All data lagres i en PostgreSQL-database som leveres som en tjeneste av Heroku der de garanterer oppetid på minst 99.9% med kontinuerlig logisk og fysisk backup.

Alt av datatrafikk mellom brukerens nettleser og applikasjonen krypteres, og alle operasjoner mot API-endepunkter er beskyttet med CSRF-token.

Sikkerhetsvurderinger og etterlevelse (datasentre og applikasjon)

Brevio's fysiske infrastruktur baserer seg på Amazons (AWS) sikre datasentre og teknologi. Amazon håndterer kontinuerlig risiko og gjennomgår periodiske vurderinger for å sikre samsvar med industristandarder.

Datasenteret som Brevio benytter seg av, er lokalisert i Frankfurt (Tyskland) og er akkreditert etter:

  • ISO 27001
  • SOC 1 and SOC 2/SSAE 16/ISAE 3402 (Previously SAS 70 Type II)
  • PCI level 1
  • FISMA Moderat
  • Sarbanes-Oxley (SOX)

Utover akkreditering av datasentre, er det også gjennomført kontrollhandlinger av drift- og kontrollmiljøet hos Brevio AS av en uavhengig part.

Penetrasjonstesting og sårbarhetsvurderinger

I tillegg til penetrasjonstesting og sårbarhetsvurderinger utført av Heroku & Amazon, gjennomfører Brevio årlig sikkerhetstesting av applikasjonen. Testingen utføres av uavhengige og anerkjente sikkerhetskonsulentfirmaer. Her blir funn fra sikkerhetstester gjennomgått, risikovurdert og utbedret.

Fysisk sikkerhet

Brevio benytter ISO 27001 og FISMA-sertifiserte datasentre hos Amazon. Amazon har mange års erfaring med å designe, bygge og drive store datasentre. AWS-datasentre er plassert på uangitte lokasjoner, og kritiske deler av anlegget har omfattende beskyttelse, herunder militærkvalitets perimeterkontroll, og annen naturlig grensevern.

Fysisk tilgang er strengt kontrollert både på områdebasis og byggets inngangspunkter. Her benytter fagpersonell videoovervåkning, moderne deteksjonssystemer og andre elektroniske midler. Autorisert personale må passere tofaktorautentisering tre ganger for å få tilgang til datasentergulv. Alle besøkende og entreprenører må vise identifikasjon og er innlogget og kontinuerlig eskortert av autorisert personale.

Amazon tilbyr bare datasentertilgang og informasjon til ansatte som har et legitimt forretningsbehov for slike privilegier. Når en ansatt ikke lenger har forretningsbehov for disse rettighetene, blir hans eller hennes tilgang straks tilbakekalt, selv om de fortsatt er ansatt hos Amazon eller Amazon Web Services. All fysisk og elektronisk tilgang til datasentre av Amazon-ansatte logges og revideres rutinemessig.

Ved spørsmål rundt sikkerhet generelt, eller enkeltssaker spesielt - kontakt oss på [email protected].