Gagnaöryggi

Við leggjum ríka áherslu á að tryggja öryggi þeirra gagna sem við vinnum með. Hér má sjá yfirlit yfir þær ráðstafanir sem við höfum gert í þeim tilgangi.

1. Persónuvernd

Moodup fylgir ákvæðum GDPR og lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga í allri sinni starfsemi. Moodup vinnur einungis með persónuupplýsingar á grundvelli skjalfestra fyrirmæla ábyrgðaraðila.

Skyldur Moodup þegar kemur að því að tryggja persónuvernd eru útlistaðar í vinnslusamningi sem undirritaður er áður en til vinnslu persónuupplýsinga kemur fyrir hönd ábyrgðaraðila. Nánari upplýsingar um persónuvernd hjá Moodup má lesa hér: persónuvernd

2. Dulkóðun

Öll gögn sem Moodup vinnur með fyrir hönd ábyrgðaraðila eru vistuð dulkóðuð með AES-staðlinum (e. Advanced Encryption Standard). Þá eru öll samskipti inn og út af vefþjónum Moodup dulkóðuð með TLS v1.2 staðlinum.

Vefþjónar Moodup eru búnir eldveggjum sem tryggja að einungis dulkóðuð samskipti geti átt sér stað.

Lykilorð notenda Moodup eru vistuð á tættu (e. hashed) formi og eru þannig aldrei aðgengileg starfsfólki.

3. Öryggisafrit

Gagnagrunnar Moodup eru afritaðir daglega og afritin vistuð á dulkóðuðu formi til að minnka hættu á að gögn tapist. Öryggisafrit eru vistuð á aðskildum vefþjónum sem eru einungis aðgengilegir starfsfólki Moodup í gegnum SSH-samskipti sem eru dulkóðuð með lykilorði og öryggislykli útbúnum samkvæmt SHA-256 staðlinum.

Öryggisafritum er eytt eftir 30 daga til að persónuupplýsingar séu ekki geymdar lengur en ákvæði gagnavinnslusamninga leyfa.

4. Álagsvarnir

Moodup notar nafnaþjóna og sérstaka vefþjóna sem útbúnir eru vörnum gegn álagsárásum (e. Distributed Denial-of-Service / DDoS attacks). Öll samskipti notenda og gesta við vefþjóna Moodup fara fyrst í gegnum þessa nafna- og vefþjóna til að koma í veg fyrir að álagsárásir geti ógnað öryggi þeirra gagna sem vistuð eru í gagnagrunnum Moodup.

Samskipti í gegnum þá vefþjóna sem verja gagnagrunna Moodup gegn álagsárásum eru dulkóðuð, rétt eins og samskipti við aðra vefþjóna Moodup.

5. Gagnaver

Vefþjónar og gagnagrunnar Moodup eru hýstir í gagnaverum sem eru hönnuð, byggð og undir eftirliti allan sólarhringinn til að tryggja öryggi gagnvart óheimilum aðgangi og náttúruhamförum.

Gagnaverin eru umlukin girðingum með aðgangsstýrðum hliðum. Öryggismyndavélar eru notaðar til að fylgjast með því hverjir fá aðgang að byggingunum og öryggisstýrðum svæðum innan þeirra.

Moodup notast einungis við gagnaver sem staðsett eru innan Evrópusambandsins og undirritar gagnavinnslusamning við rekstraraðila þeirra til að tryggja að ákvæðum GDPR sé framfylgt.

6. Aðgangur starfsmanna

Allir starfsmenn Moodup undirrita trúnaðaryfirlýsingu áður en þeir fá aðgang að gagnagrunnum og vefþjónum fyrirtækisins. Aðgangur að gögnum er veittur á grundvelli þess leiðarljóss um að starfsfólk hafi einungis aðgang að þeim gögnum sem nauðsynleg eru til að það geti sinnt verkefnum sínum.

Aðgangsheimildir starfsmanna eru endurskoðaðar með reglubundnum hætti í því skyni að loka aftur fyrir aðgang að þeim gögnum sem viðkomandi starfsmaður þarf ekki lengur að vinna með.

Moodup gerir kröfu um að starfsmenn verji þær vinnustöðvar sem þeir nota til að sækja og vinna með gögn með lykilorði sem uppfyllir lágmarkskröfur um lengd og flækjustig. Þá þurfa starfsmenn ávallt að læsa vinnustöðvum sínum þegar þeir fara frá þeim.

7. Aðgangur notenda

Allir notendur Moodup þurfa að setja upp tveggja þátta auðkenningu (e. 2-factor authentication) þegar þeir stofna aðgang að þjónustunni. Ef notandi reynir að skrá sig inn frá nýrri staðsetningu eða oftar en eðlilega þarf viðkomandi að staðfesta auðkenni sitt með báðum auðkenningarþáttum.

Moodup gerir kröfu um lágmarkslengd og flækjustig lykilorða sem notendur búa til í því skyni að gera jarðýtuárásir (e. brute force attacks) ófýsilegar. Moodup lokar jafnframt tímabundið fyrir aðgang IP-tölu að vefþjónum sínum ef margar innskráningartilraunir eiga sér stað á stuttum tíma.

Moodup er útbúið aðgangsstýringarkerfi til að vinnustaðir geti tryggt að stjórnendur hafi einungis aðgang að þeim gögnum sem þeim er heimilt að vinna með. Til dæmis er hægt að takmarka aðgengi stjórnenda að niðurstöðum við tiltekin svið eða deildir innan vinnustaðarins.

8. Skrásetning

Aðgangur bæði starfsfólks og notenda að vefþjónum og gagnagrunnum Moodup er skrásettur í gegnum skrásetningarkerfi (e. logging system) í hvert sinn sem viðkomandi sækir eða vinnur með gögn.

Starfsmenn sem hafa skilgreinda heimild til að skoða færslur í skrásetningarkerfinu fara reglulega yfir færslur þar til að tryggja að aðgengi að gögnum sé í samræmi við heimildir viðkomandi starfsmanna og notenda.

Skrásetningarkerfið geymir ekki persónuupplýsingar heldur einungis upplýsingar um auðkennisnúmer Moodup fyrir viðkomandi notanda/starfsmann, tímasetningu og tilvísunarnúmer fyrir þau gögn sem viðkomandi sótti eða vann með.

9. Endurskoðun

Moodup endurskoðar árlega stefnur sínar og ferla þegar kemur að bæði gagnaöryggi og persónuvernd. Við slíka endurskoðun vinnur Moodup með sérfræðingum á viðkomandi sviðum, til dæmis lögfræðingum og sérfræðingum í gagnaöryggi, eftir því sem þörf krefur til að tryggja að hvort tveggja sé í samræmi við bestu vinnubrögð sem tíðkast (e. industry-best practices).