Säkerhetsåtgärder

Senast uppdaterad: december 18, 2021

Personalsäkerhet

  • Sekretess – Appointlets personal måste genomföra ett sekretessavtal och måste bekräfta mottagandet av och efterlevnaden av Appointlets interna policyer.
  • Säkerhetsutbildning och utbildning i medvetenhet – Anställd personal måste delta i säkerhets- och integritetsutbildning vid anställning och årligen därefter.

Organisationssäkerhet

  • Åtkomstkontroller – Appointlet implementerar åtkomstförsörjning baserad på principen om minsta privilegium och kontroller för åtkomstborttagning omedelbart vid uppsägning. Dessa kontroller ses över hela företaget två gånger per år.
  • Multi-factor Authentication (MFA) – Appointlet använder multifaktorautentisering för åtkomst över vår produktionsmiljö och interna system som innehåller kunddata.
  • lösenord – Appointlet kräver och upprätthåller krav på lösenordskomplexitet där lösenord används för autentisering (t.ex. inloggning på arbetsstationer). Dessa krav inkluderar restriktioner för återanvändning av lösenord och tillräcklig lösenordsstyrka.
  • Information Security - Appointlets personal måste erkänna och följa Appointlets policyer och standarder för informationssäkerhet. Underlåtenhet att följa är föremål för disciplinära åtgärder, upp till och inklusive uppsägning av anställning.
  • Övervakning och incidenthantering – Appointlet upprätthåller funktioner för incidentdetektering och ett dokumenterat incidentresponsprogram. I händelse av en incident kommer Appointlet omedelbart att vidta rimliga åtgärder för att minimera skadan och säkra kunddata.

Datahosting & praxis

  • Branschstandardkryptering – Data under överföring krypteras med TLS 1.2+ och data i vila krypteras med AES-256. Appointlet hashar användarlösenord med PBKDF2 innan de lagras i en krypterad databas.
  • Retention och radering – Appointlet behåller säkerhetskopieringsdata i upp till 7 dagar efter att någon data har raderats av en slutanvändare. Efter den perioden raderas uppgifterna permanent.
  • lagring - Appointlet lagrar data i en multi-tenant-miljö som är värd på AWS-servrar och isolerar logiskt kunddata.
  • datacenter – Appointlet är värd för data på Amazon Web Services (AWS), som upprätthåller internationellt erkända efterlevnadscertifieringar och rapporter i världsklass. AWS upprätthåller branschledande säkerhetspraxis, erbjuder toppmoderna miljö- och fysiskt skydd för de tjänster och infrastruktur som utgör Appointlets driftsmiljö.
  • Säkerhetskopior – Appointlet gör periodiska säkerhetskopieringar av databasen. Säkerhetskopior bevaras i 7 dagar under normal drift.
  • replikation – Appointlet replikerar också databaser och säkerhetskopior av databaser i alternativa tillgänglighetszoner. Vi utför regelbundna säkerhetskopieringar och återställningstester.
  • redundans – Appointlets infrastruktur har utformats för att eliminera enskilda felpunkter och minimera påverkan av förväntade miljörisker. Denna design tillåter Appointlet att utföra underhåll och förbättringar av infrastrukturen med minimal påverkan på produktionssystemen.

Nätverksskydd

  • brandväggar – Appointlet konfigurerar brandväggar enligt branschens bästa praxis och onödiga portar och protokoll blockeras genom att konfigurera AWS Security Groups och NACL (Network Access Control Lists). Konfigurationer övervakas regelbundet med hjälp av automatiserade verktyg för hantering av molnsäkerhet.
  • Övervakning, loggning och larm – Appointlet loggar applikationsloggar för att övervaka misstänkta aktiviteter. Detta görs med hjälp av ett SIEM-verktyg (Security Incident and Event Management). Alla larm triageras av Appointlets säkerhetsteam och en säkerhetsincident tas upp efter loggintrospektion.

Underprocessorer

  • Sekretess – Appointlet vidtar lämpliga åtgärder för att säkerställa att vår säkerhetsställning bibehålls genom att upprätta avtal som kräver att underprocessorer och serviceorganisationer följer konfidentialitetsåtaganden.

Säkerhetscertifieringar och rapporter

  • Penetrationstestning – Appointlet samarbetar med oberoende tredjepartsföretag för att genomföra penetrationstester på applikationsnivå och nätverksnivå minst årligen. Resultaten av dessa tester delas med den högsta ledningen, triageras, prioriteras och åtgärdas i tid.
  • Independent Security Disclosure Program – Appointlet driver ett "Bug Bounty"-program för oberoende säkerhetsrevisorer utformat för att tillåta säkerhetspersonal att avslöja säkerhetsproblem genom lämpliga kanaler så att vi kan lösa dem snabbt. Mer information kan hittas här.