ISAE 3000 og sikkerhetsspørsmål

Intempus ISAE 3000 TYPE 2-erklæring

Personvernforordningen (GDPR), eller på dansk “Personvernforordningen”, er navnet på EUs lovgivning om databeskyttelse. GDPR har som mål å beskytte EU-borgere mot misbruk av personopplysningene deres. Siden 25. mai 2018 må derfor alle europeiske selskaper ha styrket sine prosesser for hvordan personopplysninger samles inn og behandles på en sikker måte. Intempus har følgende sertifiseringer:

  • ISEA 3000-erklæring
  • ISEA 3000 TYPE 2-erklæring

Intempus APS' uttalelse

Intempus ApS håndterer behandling av personopplysninger i forbindelse med Intempus tidsregistreringsplattform for våre kunder som er behandlingsansvarlige i henhold til Europaparlamentets og Rådets forordning om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personvernforordningen) og lov om utfyllende bestemmelser til personvernforordningen (databeskyttelsesloven). Den vedlagte beskrivelsen er utarbeidet til bruk for behandlingsansvarlige som har benyttet Intempus tidsregistreringsplattform, og som har tilstrekkelig forståelse til å vurdere beskrivelsen sammen med annen informasjon, herunder de tekniske og organisatoriske sikkerhetstiltakene og andre kontroller som de behandlingsansvarlige selv har iverksatt, ved vurdering av etterlevelse av kravene i personvernforordningen og personvernloven.

Intempus ApS bruker underdatabehandlere. De relevante kontrollmålene og tilhørende tekniske og organisatoriske sikkerhetstiltak og andre kontroller hos disse underbehandlerne er ikke inkludert i den medfølgende beskrivelsen. Intempus ApS bekrefter at den vedlagte beskrivelsen i punkt 3 gir en sannferdig beskrivelse av Intempus' tidsregistreringsplattform og de tilhørende tekniske og organisatoriske sikkerhetstiltakene og andre kontroller per 15. november 2021.

Se ISAE 3000 TYPE 2-erklæring her

Spørsmål og svar

Vanlige spørsmål om databehandling og personvern

Hvordan sikkerhetskopierer Intempus kundedata?

Intempus utfører sikkerhetskopiering av data ved hjelp av to uavhengige backup-systemer. Hvert backupsystem sender sikkerhetskopier til to forskjellige lagringssteder, slik at det totalt finnes fire separate backupsteder.

En daglig full sikkerhetskopi opprettes ved hjelp av verktøyet pg_dump. Disse sikkerhetskopiene lagres på to forskjellige servere i 12 måneder. En gang i uken gjenoppretter vi en av disse sikkerhetskopiene til et testsystem for å sikre at vi alltid har gode sikkerhetskopier.

Kontinuerlige sikkerhetskopier opprettes ved hjelp av barman-verktøyet. Dette sikrer at nye data sikkerhetskopieres i løpet av få minutter etter at de er opprettet. Disse sikkerhetskopiene lagres på to forskjellige servere i 2-3 uker. Barman overvåker at de nødvendige sikkerhetskopiene er til stede og varsler oss hvis sikkerhetskopier ikke blir utført.

Hvordan beskytter Intempus brukerpassord?

Passord lagres i databasen vår ved hjelp av en iterert saltet hashalgoritme. Dette betyr at selv ikke Intempus' systemadministratorer kan lese passordet ditt fra databasen. Algoritmen som brukes kalles PBKDF2-SHA256.

Intempus utfører en beregning av kompleksiteten til passordene som brukerne skriver inn. Dette kalles et entropiestimat. Beregningen bruker en tredjepartsdatabase med passord som tidligere har blitt lekket fra andre systemer. Denne databasen heter Have I Been Pwned. Intempus bruker offline-versjonen av databasen for å beskytte mot potensielle lekkasjer gjennom HIBP API.

Hver Intempus-kunde kan velge en minimum passordstyrke for sine brukere. Intempus vil håndheve denne policyen når en bruker oppdaterer passordet sitt. Den beregnede entropien lagres ikke av Intempus etter at valideringen er utført.

For å beskytte mot brute force-angrep og "credential stuffing" vil Intempus håndheve en global grense for ugyldige påloggingsforsøk. Når grensen overskrides, blir klientens IP-adresse midlertidig blokkert av Intempus. Om nødvendig blokkeres et område med flere IP-adresser. Beslutningen om å blokkere basert på IP-adresser ble tatt fordi dette er mer nøyaktig enn blokkering basert på brukernavn.

Støtter Intempus enkel pålogging?

Intempus har støtte for Microsoft SSO. En kunde som bruker SSO, kan velge å enten kreve at brukerne bruker SSO, eller å gi brukerne valget mellom SSO og passordinnlogging.

Hvordan krypterer Intempus kundedata?

Kommunikasjonen mellom Intempus og brukerne krypteres ved hjelp av TLS (Transport Layer Security). Kundedata som utveksles mellom ulike deler av Intempus, krypteres enten ved hjelp av TLS eller SSH.

Lagringsserveren som brukes av databasen vår, krypteres av hostingleverandøren på en måte som er transparent for Intempus.

Hvilke sertifiseringer har Intempus?

Vi bruker informasjonskapsler

Vi bruker informasjonskapsler og lignende teknologier for å gi deg en personlig tilpasset handleopplevelse, personlig tilpasset reklame og for å analysere nettrafikken vår. Klikk på ‘Godta alle og lukk’ hvis du vil tillate alle informasjonskapsler. Alternativt kan du velge hvilke typer informasjonskapsler du vil godta eller deaktivere ved å klikke på Tilpass nedenfor. I samsvar med kravene i Googles nettsted for ansvarlighet for bedriftsdata sikrer vi åpenhet og kontroll over dataene dine.
Retningslinjer for informasjonskapsler og personvern

Innstillinger for informasjonskapsler

Dette verktøyet hjelper deg med å velge og deaktivere ulike tagger, trackere og analyseverktøy som brukes på dette nettstedet.

Tilbake

Beskrivelse av tjenesten

Innholdsstyringssystem for bygging av nettsteder og blogger.

Bearbeiding av selskaper

Automattic Inc, 60 29th Street #343, San Francisco, CA 94110, USA

Databehandlerens personvernombud

Nedenfor finner du e-postadressen til behandlingsansvarlig i selskapet.

. privacy@wordpress.com

Formålet med dataene

Denne listen representerer formålene med innsamling og behandling av data.

. AutentiseringBrukerinnstillingerKommentarfunksjonalitetSpråkinnstillinger

Anvendt teknologi

Denne listen representerer alle teknologier som denne tjenesten bruker for å samle inn data. Typiske teknologier er informasjonskapsler og piksler som plasseres i nettleseren.

. Informasjonskapsler

Innsamlede data

Denne listen representerer alle (personlige) data som samles inn av eller gjennom bruk av denne tjenesten.

. AutentiseringsdetaljerBrukerinnstillingerBrukerkommentarer dataSpråkinnstillinger

Juridisk grunnlag

I det følgende oppgis det nødvendige rettslige grunnlaget for behandling av opplysninger.

. Samtykke i henhold til GDPR

Oppbevaringsperiode

Oppbevaringsperioden er den tiden de innsamlede opplysningene lagres for behandlingsformål. Opplysningene skal slettes så snart de ikke lenger er nødvendige for de angitte behandlingsformålene.

. * Session til 1 år

Oversikt over teknikker for lagring av informasjon

Tjenesten som er skissert her, omfatter ulike metoder for lagring av informasjon på brukerens enhet. I det følgende gis en detaljert beskrivelse av disse teknikkene, med vekt på hvordan de bidrar til å forbedre brukeropplevelsen og overholde etablerte protokoller for databeskyttelse.

wordpress_[hash] Lagrer autentiseringsdetaljer. Begrenset til området for administrasjonsskjermen.
Type Første part
Varighet Sesjon
wordpress_logget_inn_[hash] Angir når du er logget inn, og hvem du er.
Type Første part
Varighet Sesjon
wp-settings-{time}-[UID] Brukes til å tilpasse visningen av administratorgrensesnittet og eventuelt hovedgrensesnittet for nettstedet.
Type Første part
Varighet 1 år
comment_author_{HASH} Lagrer kommentatorens navn for å unngå å skrive det inn på nytt.
Type Første part
Varighet 1 år
comment_author_email_{HASH} Lagrer kommentatorens e-postadresse for å unngå å skrive den inn på nytt.
Type Første part
Varighet 1 år
comment_author_url_{HASH} Lagrer kommentatorens URL for å unngå å skrive den inn på nytt.
Type Første part
Varighet 1 år
wordpress_test_cookie Tester om informasjonskapsler kan settes.
Type Første part
Varighet Sesjon
wp_long Lagrer språknøkkelen for det valgte språket.
Type Første part
Varighet Sesjon

Beskrivelse av tjenesten

Informasjonskapsler som brukes til generell drift og funksjonalitet på nettstedet.

Bearbeiding av selskaper

Adressen finner du i bunnteksten

Databehandlerens personvernombud

Nedenfor finner du e-postadressen til behandlingsansvarlig i selskapet.

. Conact-nettstedet

Formålet med dataene

Denne listen representerer formålene med innsamling og behandling av data.

. Nettstedets funksjonalitet

Anvendt teknologi

Denne listen representerer alle teknologier som denne tjenesten bruker for å samle inn data. Typiske teknologier er informasjonskapsler og piksler som plasseres i nettleseren.

. Informasjonskapsler

Innsamlede data

Denne listen representerer alle (personlige) data som samles inn av eller gjennom bruk av denne tjenesten.

. Brukerpreferanser og innstillinger

Juridisk grunnlag

I det følgende oppgis det nødvendige rettslige grunnlaget for behandling av opplysninger.

. Berettiget interesse i henhold til GDPR

Oppbevaringsperiode

Oppbevaringsperioden er den tiden de innsamlede opplysningene lagres for behandlingsformål. Opplysningene skal slettes så snart de ikke lenger er nødvendige for de angitte behandlingsformålene.

. * Vanligvis opptil 1 år

Oversikt over teknikker for lagring av informasjon

Tjenesten som er skissert her, omfatter ulike metoder for lagring av informasjon på brukerens enhet. I det følgende gis en detaljert beskrivelse av disse teknikkene, med vekt på hvordan de bidrar til å forbedre brukeropplevelsen og overholde etablerte protokoller for databeskyttelse.

nødvendig Kontrollerer hvilke informasjonskapsler brukeren har godtatt.
Type Første part
Varighet Permanent
popupCookie Angir om brukeren har lukket popup-vinduet for informasjonskapsler.
Type Første part
Varighet Permanent
woocommerce_items_in_cart Hjelper WooCommerce med å fastslå når innholdet/dataene i handlekurven endres.
Type Første part
Varighet Permanent
SESSION (variat) Husker det valgte produktet hvis skjermen oppdateres.
Type Første part
Varighet Sesjon
nødvendig Kontrollerer hvilke informasjonskapsler brukeren har godtatt.
Type Første part
Varighet Permanent
popupCookie Angir om brukeren har lukket popup-vinduet for informasjonskapsler.
Type Første part
Varighet Permanent
woocommerce_items_in_cart Hjelper WooCommerce med å fastslå når innholdet/dataene i handlekurven endres.
Type Første part
Varighet Permanent
SESSION (variat) Husker det valgte produktet hvis skjermen oppdateres.
Type Første part
Varighet Sesjon
SESSION (pro_id) Husker det valgte produktet, slik at det er konsistent på tvers av sideoppdateringer.
Type Første part
Varighet Sesjon
SESSION (wc_fragments_*) Opprettholder øktinformasjon og husker innholdet i handlekurven.
Type Første part
Varighet Sesjon
SESSION (wc_cart_hash_*) Sporer endringer i innholdet i handlekurven for effektiv administrasjon.
Type Første part
Varighet Sesjon
SESSION (wc_cart_created) Indikerer når en ny vare er lagt til i handlekurven.
Type Første part
Varighet Sesjon
SESSION (wc_fragments) Brukes for å sikre at innholdet i handlekurven huskes på tvers av økter.
Type Første part
Varighet Sesjon
SESSION (wc_cart_hash) Hjelper med å spore endringer i innholdet i handlekurven.
Type Første part
Varighet Sesjon
SESSION wp_woocommerce_session_ Inneholder en unik kode for hver kunde for å finne vogndata i databasen.
Type Første part
Varighet 2 dager
Historie
Avgjørelse Dato
Ikke satt ennå

Beskrivelse av tjenesten

Denne tjenesten gjør det mulig for brukerne å måle trafikk og engasjement på tvers av nettsteder og mobilapper ved hjelp av tilpassede rapporter.

Bearbeiding av selskaper

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Databehandlerens personvernombud

Nedenfor finner du e-postadressen til behandlingsansvarlig i selskapet.

. [Din kontakt-e-post]

Formålet med dataene

Denne listen representerer formålene med innsamling og behandling av data.

. NettstedsanalyseSporing av brukereAnalyse av data

Anvendt teknologi

Denne listen representerer alle teknologier som denne tjenesten bruker for å samle inn data. Typiske teknologier er informasjonskapsler og piksler som plasseres i nettleseren.

. SporingskodeInformasjonskapsler

Innsamlede data

Denne listen representerer alle (personlige) data som samles inn av eller gjennom bruk av denne tjenesten.

. Informasjon om enhetenGeografisk plasseringInformasjon om nettleserenOperativsystem for enhetenSkjermoppløsningHenvisende URLData om brukerinteraksjonDato og klokkeslett for besøketBrukeratferdSider besøktOnline identifikatorerAvkortet IP-adresseBruker-IDAnnonseidentifikator

Juridisk grunnlag

I det følgende oppgis det nødvendige rettslige grunnlaget for behandling av opplysninger.

. Artikkel 6(1)(a) i den generelle personvernforordningen (GDPR)

Behandlingssted

Dette er det primære stedet der de innsamlede opplysningene behandles. Hvis opplysningene også behandles i andre land, vil du bli informert om dette separat.

. * The European Union

Overføring til tredjeland

Denne tjenesten kan videresende de innsamlede opplysningene til et annet land. Merk at denne tjenesten kan overføre data til et land som ikke har de nødvendige databeskyttelsesstandardene. Nedenfor finner du en liste over landene som dataene overføres til. Du kan få mer informasjon om sikkerhetstiltak i leverandørens personvernerklæring eller ved å kontakte leverandøren direkte.

. USASingaporeChileTaiwan

Oppbevaringsperiode

Oppbevaringsperioden er den tiden de innsamlede opplysningene lagres for behandlingsformål. Opplysningene skal slettes så snart de ikke lenger er nødvendige for de angitte behandlingsformålene.

. * Lagringsperioden avhenger av hvilken type data som lagres. Kundene kan velge hvor lenge Google Analytics skal oppbevare data før de slettes automatisk. Den maksimale lagringsperioden er 14 måneder.

Klikk her for å lese databehandlerens retningslinjer for informasjonskapsler

.

https://policies.google.com/technologies/cookies?hl=en

Oversikt over teknikker for lagring av informasjon

Tjenesten som er skissert her, omfatter ulike metoder for lagring av informasjon på brukerens enhet. I det følgende gis en detaljert beskrivelse av disse teknikkene, med vekt på hvordan de bidrar til å forbedre brukeropplevelsen og overholde etablerte protokoller for databeskyttelse.

_ga Brukes til å skille mellom brukere.
Type informasjonskapsel
Varighet 2 år
_ga_ Brukes til å opprettholde øktstatus.
Type informasjonskapsel
Varighet 2 år
Historie
Avgjørelse Dato
Ikke satt ennå
Historie
Avgjørelse Dato
Ikke satt ennå