Personvern og informasjons­sikkerhet

Fram Web arbeider kontinuerlig med informasjons­sikkerhet og personvern. Denne siden inneholder beskrivelser av sikkerhetsplattform, personvern og vår rolle som databehandler. Ved behov vil vi oppdatere informasjon om våre rutiner forsikkerhet og personvern. 

Sikkerhet

Her finner du fysisk og logisk sikring av Fram Web’s skytjenester.

Datasenter og fysisk sikring

Varsling 24 primære datasenter er lokalisert hos DigiPlex utenfor Oslo. Dette er en av Norges best fysisk sikrede anlegg. Datasenteret på Fet er ISO sertifisert 9001, 27001, 14001 og OSHAS 18001.

Hovedanlegget

Datasenteret har redundans på områder som strømforsyning, nettverk m.m.

  • Doble linjer med strøm
  • 4 stk dieselgeneratorer (2,5 MVA).
  • Skalerbar UPS 8,4MVA utvidbar til 12,6 MVA
  • Selvforsynt luft-til-luft kjøleanlegg ligger eksternt ved siden av datahallen
  • Overvåket automatisk røykvarsling i hele anlegget.
  • Deox-hypoksisk brannforebygging

Fiber infrastruktur

  • Flere uavhengige fiberbærere
  • 12 x 100 mm fiberkanaler for tilgang til to sikre transportørforbindelsesrom i hver bygning

Fysisk sikring

  • På stedet 24/7 bemannet sikkerhetstilstedeværelse
  • Interne og eksterne kamerasystemer for overvåking
  • Fysiske hindrer, inntrengingsdeteksjon og tilgangssystemer i hele anlegget

Reserveanlegget er plassert hos Webhuset i Bergen. Alle inngangspunkter, korridorer og rack videoovervåkes. Vaktselskap kontrollerer lokasjonene kontinuerlig. Webhuset benytter SAN (SolidFire) til lagring av data for Varsling 24. Dette ligger på et lukket nettverk og er kun tilgjengelig for replikering av vertsmaskiner. Kun enkelte ansatte har tilgang via personlig nøkkelkort.

Logisk sikring

Varsling 24 kjører på IBM Cloud plattformen. IBM Cloud er ISO sertifisert 9001, 27001, 14001 og OSHAS 18001. Tilgang på datasentrene er begrenset til to navngitte ansatte i selskapet. Fram Web har avtale med ansatte knyttet til konfidensialitet og be

Her finner du fysisk og logisk sikring av Fram Web’s skytjenester.

Datasenter og fysisk sikring

Varsling 24 primære datasenter er lokalisert hos DigiPlex utenfor Oslo. Dette er en av Norges best fysisk sikrede anlegg. Datasenteret på Fet er ISO sertifisert 9001, 27001, 14001 og OSHAS 18001.

Hovedanlegget

Datasenteret har redundans på områder som strømforsyning, nettverk m.m.

  • Doble linjer med strøm
  • 4 stk dieselgeneratorer (2,5 MVA).
  • Skalerbar UPS 8,4MVA utvidbar til 12,6 MVA
  • Selvforsynt luft-til-luft kjøleanlegg ligger eksternt ved siden av datahallen
  • Overvåket automatisk røykvarsling i hele anlegget.
  • Deox-hypoksisk brannforebygging

Fiber infrastruktur

  • Flere uavhengige fiberbærere
  • 12 x 100 mm fiberkanaler for tilgang til to sikre transportørforbindelsesrom i hver bygning

Fysisk sikring

  • På stedet 24/7 bemannet sikkerhetstilstedeværelse
  • Interne og eksterne kamerasystemer for overvåking
  • Fysiske hindrer, inntrengingsdeteksjon og tilgangssystemer i hele anlegget

Reserveanlegget er plassert hos Webhuset i Bergen. Alle inngangspunkter, korridorer og rack videoovervåkes. Vaktselskap kontrollerer lokasjonene kontinuerlig. Webhuset benytter SAN (SolidFire) til lagring av data for Varsling 24. Dette ligger på et lukket nettverk og er kun tilgjengelig for replikering av vertsmaskiner. Kun enkelte ansatte har tilgang via personlig nøkkelkort.

Logisk sikring

Varsling 24 kjører på IBM Cloud plattformen. IBM Cloud er ISO sertifisert 9001, 27001, 14001 og OSHAS 18001. Tilgang på datasentrene er begrenset til to navngitte ansatte i selskapet. Fram Web har avtale med ansatte knyttet til konfidensialitet og behandling av data. Ansatte bruker personlig pålogging til både egne arbeidsstasjon og datasentrene.

Alle data lagres på Varsling 24 servere i Norge.

Sikkerhetsrutiner for servere

Applikasjonsserverer og databaseserver kjører på separate og dedikerte servere.

Varsling 24 servere kjører i et såkalt «virtuelt» miljø som gjør det mulig å ta «snapshots» aven server. Et snapshot vil ta sikkerhetskopi av data og tilstanden til en virtuell maskin. Detteer nyttig i forbindelse med større oppgraderinger ettersom en da vil ha muligheten til åreversere tilbake til forrige snapshot.

Note: Fram Web planlegger en overgang til nytt datasenter hos Intility i 1. halvår 2021. Dette skal gi enda bedre sikkerhet for Varsling 24 tjenesten og våre kunder.

Adgangskontroll

Fram Web begrenser adgangskontroll til kun eget personell. Vi har ikke innleide konsulenter, eller outsouring av drift utenfor Norge. Kun personer i Fram Web som må ha tilgang har tilgang. Kun noen få har tilgang på våre datacenter. Kun ansatte kan få innsyn i kunders kontoer.

Overvåking/alarm

Det brukes en monitor som gir oversikt over CPU, minne, nettverkstrafikk for alle servere. Ved feil/advarsel på hardware blir varsel automatisk sendt til driftsavdelingen. Alle feil angående Varsling24 systemet blir sendt som SMS til vår vakttelefon.

Kundeadministrasjon

Alle kunder som oppbevarer egne data i Varsling 24 inngår en databehandleravtale med Fram Web. Fram Web oppretter en sluttbruker med administrator-rettigheter hos kunden. Administrator hos kunden er selv ansvarlig for opprettelse, tilgangskontroll og sperring av egne sluttbrukere.

Autorisasjon

Ved pålogging til Varsling 24 benyttes 2 fase pålogging. Ved utsendelse av varsling måsluttbruker oppgi et «master» passord.

Datalagring

Varsling 24 oppbevarer personopplysninger i 3-12 måneder fra personopplysningene ble innhentet. Lagringsperioden avtales i hvert enkelt tilfelle med våre kunder. Etter utløpt lagringstid blir alle personopplysninger slettet automatisk. Dette gjelder opplysninger som navn på mottaker, kontaktinformasjon (mobil, e-post) og melding som ble sendt til mottaker.

14 dager etter utløpt lagringstid er personopplysningene slettet fra alle sikkerhetskopier. Dvs at etter utløpt lagringstid + 14 dager er det ikke mulig å spore eller gjenfinne personopplysninger i Varsling 24.

Varsling 24 lagrer andre typer opplysninger, som generell adresseinformasjon og opplysninger om en utsendelse, over lengre tid mht til statistikk og andre rapporter.

Sikkerhetskopi

Hver natt utføres sikkerhetskopiering av alle kundedata. Kopiene lagres «utavhuset» og det oppbevares inntil 14 generasjoner av sikkerhetskopier. Dvs. at etter 14 dager bli den eldste sikkerhetskopien overskrevet.

Underdatabehandlere

Varsling 24 benytter tjenester fra underleverandører for spesifikke formål. Disse underleverandørene er å anse som underdatabehandlere som mottar personinformasjon.

Våre underdatabehandlere oppbevarer data i inntil 90 dager. Dette omfatter kontaktinformasjon og meldingsinformasjon. Dvs. meldingstekst og mottaker for e-post, talke og SMS meldinger. Etter utløpt lagringstid vil meldingene blir automatisk slettet. M.a.o. det vil ikke være mulig å gjennfinne innholdet i meldinger som er sendt til mottakere hos våre underdatabehandlere. Informasjon om mottaker (e-postadresse og mobilnr.) kan bli oppbevart over lengre tid, dette for å ivareta krav til monitorering, spam-filter etc.

Tabellen nedenfor inneholder alle underdatabehandlere for Varsling 24:

Underdata­behandler
Land
Behandling
Persondata som deles
GDPR
Target 365
Norge
Leverandør av tjeneste for utsendelse av SMS meldinger
Mobilnr. for mottaker. Meldingstekst kan inneholde persondata

Ja

Puzzel
Norge
Leverandør av tjeneste for utsendelse av SMS meldinger
Mobilnr. for mottaker. Meldingstekst kan inneholde persondata
Ja
Twilio
USA
Leverandør av tjeneste for utsendelse av talemeldinger og telefonkonferanse
Mobilnr. for mottaker. Meldingstekst kan inneholde persondata
JA*
Mandrill
USA
Leverandør av tjeneste for utsendelse av e-post
E-postadresse for mottaker. Meldingstekst kan inneholde persondata
JA*

Schrems II

Som kjent ble det fattet en dom i EU-domstolen sommeren 2020 vedrørende overføring av personopplysninger fra EØS-land til USA. Dommen innebærer at Privacy Shield ikke er gyldig lenger som overførings-grunnlag til USA etter GDPR Kapittel V. 

Fram Web benytter i dag ingen leverandører eller underleverandører til leverandører i USA hvor overføring skjer etter Privacy Shield. All overføring skjer etter EUs standardvilkår for overføring til tredjeland (SCC) basert på beslutning av EU-kommisjonen 5. februar 2010. SCC er et godkjent overføringsgrunnlag. 

De databehandlere vi benytter i USA er underlagt overvåkningslovene i USA, og har iverksatt tiltak for å sikre at kunder varsles om innsyn fra myndighetene og for å sikre at personvern-nivået hos leverandøren er tilsvarende som innenfor EØS. 

Vi har vurdert hvordan de registrertes rettigheter ivaretas ved å vurdere sikkerhetstiltakene for våre leverandører i tredjeland, og da spesielt USA. Vi mener de tiltak som leverandørene har iverksatt for verne om personopplysningene som overføres er tilstrekkelig for å ivareta personvernet. 

Fram Web AS følger utviklingen tett på dette området, og vil iverksette de tiltak og råd som myndighetene, herunder EUs Personvernråd (EDPB) og Datatilsynet kommer med. Fram Web ser også på, i den grad det er mulig, å flytte leverandører fra tredjeland til land innenfor EØS for ytterligere vern av de registrertes personvern. 

Endringer

Fram Web vil informere våre kunder om eventuelt fremtidige endringer i underdatabehandlere I forkant iht. til gjeldende databehandleravtale.

Databehandleravtale

Fram Web benytter EUs standard databehandleravtale som Datatilsynet har gjort tilgjengelig. For mer informasjon, se denne siden hos Datatilsynet.

Vi ønsker å benytte samme databehandleravtale til våre kunder. Dette bidrar til å gjøre forvaltningen av databehandlerforholdet konsistent. I tilfelle ettersyn av Datatilsynet vil en slik avtale være å anse som godkjent.

 

DatatilsynetlogoRGBpng

 

For å signere Varsling 24 Databehandleravtale, oppgi dine kontaktdata nedenfor og trykk på «signer avtalen». Etter kort tid mottar du en digital DBA til digital signering via din e-postadresse. 

Sikkerhet og personvern

Sikkerhet og personvern

Informasjon om sikkerhetstiltakene vi har for tjenesten Varsling 24.

Underdata­behandlere

Underdatabehandlere

Gjeldende underdatabehandlere for tjenesten Varsling 24. Oppdatert informasjon om Schrems II og EU’s arbeid med nye avtalevilkår for bruk av 3.parts land (SCC).

Databehandleravtale

Databehandleravtale

Signer databehandleravtalen for Varsling 24 digitalt og få den tilsendt pr. e-post.