Allmänna villkor | Personuppgiftspolicy | Personuppgiftsbiträdesavtal | Informationssäkerhetspolicy

VAIA Digital AB
Strandvägen 13
924 32 Sorsele
Organisationsnummer: 556331-2809
info@vaia.se

Informationssäkerhetspolicy

Beslutad 2022-01-20 och gäller tills vidare.

Inledning

VAIA erbjuder konsulttjänster, internet- och driftstjänster till företag sedan 1997. Då vi förvarar information och uppgifter på uppdrag av våra kunder arbetar vi aktivt för att skapa och upprätthålla ett gott informationssäkerhetsskydd.

Informationssäkerhet

Informationssäkerhet innebär i vår verksamhet att vi:

  • tillser att information och tjänster är tillgängliga i förväntad utsträckning och önskad tid
  • har riktlinjer för driften av våra tjänster vad gäller backup, övervakning och åtgärd
  • har funktioner för användarbehörigheter för att tillse att information enbart är tillgänglig för de med behörighet samt skyddar information från oönskad och/eller obehörig förändring eller förstörelse
  • följer upp att information inte är i strid med lagkrav eller lokala överenskommelser eller delges obehörig
  • har påminnelsefunktioner i våra system så att uppgifter hålls aktuella och korrekta
  • erbjuder spårbarhet på användarnivå så att det i efterhand entydigt går att härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare enligt principen vem, vad, när så är möjligt

Målsättningar

Våra målsättningar är att:

  • vår verksamhet följer och efterlever de lagkrav som finns inom informationssäkerhetsområdet, inklusive GDPR för personuppgiftsbehandling
  • verksamheten efterlever de krav som ställs genom avtal
  • vi tillhandahåller tillgängliga, pålitliga och korrekta tjänster till våra kunder
  • information endast delges behöriga personer och kan levereras vid rätt tidpunkt
  • informationen ses som en tillgång och skyddas i paritet med dess värde
  • all personal ges kunskap om gällande informationssäkerhetsregler

Ansvar och roller

VD har det övergripande ansvaret för att informationssäkerhetsarbetet sker på ett strukturerat och ordnat sätt. Uppföljning ska ske minst en gång per år. VD har även ansvaret för att det tas fram instruktioner och anvisningar för hur informationssäkerhetspolicyn ska bedrivas i praktiken utifrån policy och riktlinjer. Projektledare, utvecklare och tekniker ska aktivt arbeta för att införa sådana system och funktioner som tas upp i denna policy. Alla medarbetare ska aktivt arbeta för att informationssäkerhetspolicyn efterlevs och lämna förslag på åtgärder för att förbättra arbetet.

Hantering av avvikelser

För vår verksamhet är informationssäkerhet en naturlig och viktig del för att tillhandahålla våra tjänster och bibehålla våra kunders förtroende. Utgångspunkten för vårt informationssäkerhetsarbete är därför att på ett strukturerat sätt proaktivt förebygga att informationssäkerhetsincidenter inträffar. Om incidenter ändå inträffar ska skadorna minimeras så långt som möjligt genom tydliga riktlinjer och incidenthanteringsplaner.

Samtliga avvikelser ska dokumenteras och följas upp för att kontinuerligt förbättra vårt säkerhets-arbete.

Avvikelser som innebär avbrott eller allvarliga informationssäkerhetsincidenter i de tjänster vi tillhandahåller ska snarast kommuniceras till berörda parter.

Informationssäkerhetsincidenter där anmälningsskyldighet finns enligt lag eller förordning ska anmälas till ansvarig myndighet.

Säkerhetsdokumentation VAIA Digital AB

Övevakning

Våra system övervakas kontinuerligt och all information är publika för vem som helst att se på vår sida status.vaia.cloud. Om något tekniskt problem inträffar har vi en beredskapsgrupp som blir aviserade per automatik i händelse av störningar.

VAIA använder inte underbiträde eller behandling i tredje land som inte uppfyller gällande villkor för överföring enligt tillämplig dataskyddslagstiftning eller som inte motsvarar Personuppgiftsbiträdes¬avtalet. VAIA har avtal med samtliga av sina partners och underbiträden som hanterar person¬uppgifter. All data lagras hos AWS (Amazon Web Services) som vi anlitat för våra produktionssystem.

Information om datasäkerhet från AWS: aws.amazon.com/compliance/data-protection/

Information om dataintegritet från AWS: aws.amazon.com/csiteompliance/data-privacy/

Indirekt påverkan

I händelse av incidenter där kunder påverkas utan att det direkt hänvisas till vår driftsmiljö kan manuella incidenter skapas och presenteras på status.vaia.cloud exempel på detta kan vara leveransproblem av epost till specifika domäner.

Incidenthantering

Ett problem uppstår eller en kund skapar ett ärende via vårt supportsystem.

En tekniker får avisering om ärendet och bestämmer om det är kritiskt eller inte. Vid kritiska ärenden påbörjas arbetet med att åtgärda problemet omgående. Är ärendet komplext och påverkar flera kunder kommer notering om detta att göras på status.vaia.cloud om ärendet påverkar en eller ett fåtal kunder upprättas lämplig kommunikationskanal för ärendets natur.

Incidenten kan eskaleras i händelse av att det är svårlöst eller annan kompetens behöver ansluta. När ärendet är löst kommuniceras det ut till berörda parter direkt eller noteras på status.vaia.cloud