SIKKERHED HOS VIRTA
Pålidelighed og troværdighed i vores systemer og tjenester er vores prioriteter.
Hos Virta har vi en 360-graders tilgang til sikkerhed. Alle vores aktiviteter sigter mod pålidelige, robuste og sikre tjenester. Dette arbejde støttes og fremmes af topledere, og Virta har etableret et ledelsessystem for informationssikkerhed (ISMS), der ledes af et ledelsesteam for informationssikkerhed. De daglige sikkerhedsopgaver og -aktiviteter ledes af vores Chief Information Security Officer. Virtas ledelsessystem for informationssikkerhed er ISO 27001:2013-certificeret.
At sikre sikkerheden er en kontinuerlig proces har Virta defineret en risikostyringsproces, der skal sikre, at sikkerheden følger med det skiftende trusselsbillede. Alle identificerede risici får altid tildelt en ansvarlig og behandles derefter
Certifikater
ISO 27001-certificering
Virta er et ISO 27001-certificeret elbilopladningsselskab. ISO 27001 er en internationalt anerkendt informationssikkerhedsstandard, der sikrer, at der er strenge sikkerhedskontroller på plads for at beskytte kundedata, og at driften af produkter og tjenester er sikker.
SOC 2-certificering
Virta har opnået en Service Organizations Controls (SOC) 2 Type 2-certificering for Sikkerhed og Tilgængelighed. SOC 2 er en internationalt anerkendt revisionsstandard udviklet af American Institute of Certified Public Accountants (AICPA). SOC 2-undersøgelser udføres af en ekstern revisor, der nøje gennemgår alle kontrolforanstaltninger og processer, der er involveret i sikker lagring, håndtering og overførsel af data.
At opnå SOC 2-certificeringen for Sikkerhed og Tilgængelighed styrker Virtas engagement i at opretholde de strengeste kontrolforanstaltninger for beskyttelse og sikring af kundedata.
Sikkerhed for onlinetjenesterne
Virtas offentligt tilgængelige kundesystemer udvikles i henhold til Virtas interne retningslinjer, herunder sikkerhedskrav. Til applikationsudvikling bruges OWASP ASVS som reference, og udviklere uddannes i sikker udvikling. Alle ændringer gennemgås, før de implementeres, og testes i et testmiljø, før de tages i brug i produktionen. Alle ændringer i koden kan spores tilbage, og der findes et fuldt revisionsspor for ændringer.
Virta gennemfører regelmæssigt sårbarhedsscanninger, sikkerhedsvurderinger og penetrationstest. Sårbarhedsscanninger køres automatisk hver uge, og grundige penetrationstests udføres regelmæssigt af uafhængige cybersikkerhedsvirksomheder mod offentlige grænseflader. Alle fundne problemer analyseres, og passende rettelser og afhjælpninger implementeres.
Offentligt tilgængelige applikationer og grænseflader hostes i Amazon AWS, og adgangen til disse systemer er strengt begrænset til navngivet og godkendt personale. AWS giver vores tjenester høj pålidelighed og skalerbarhed. Alle hemmeligheder (nøgler, serviceadgangskoder og lignende oplysninger) opbevares i krypteret form. Der anvendes kun kryptografiske løsninger af industristandard.
Ansvarlig offentliggørelse
Sikkerheden af kundens data er vores højeste prioritet. Vi er meget opmærksomme på dette i udviklingsfasen, men nogle gange kan fejl og sårbarheder undslippe vores opmærksomhed. Hvis du mener, at du har opdaget en sårbarhed eller sikkerhedsfejl i vores systemer, vil vi sætte stor pris på, at du giver os besked så hurtigt som muligt. Det hjælper os med at afhjælpe det hurtigt for at beskytte de data, der er gemt i vores system.
For mere information eller for at underrette om mulige sikkerhedsproblemer kan du kontakte vores sikkerhedsteam via e-mail responsible-disclosure@virta.global
Respekter privatlivets fred. Gør en indsats i god tro for ikke at få adgang til eller ødelægge en anden brugers data, når du rapporterer eller verificerer dit fund. Udnyt aldrig andre fuldt ud uden deres tilladelse.
Placering og beskyttelse af data
Kunde- og brugerdata opbevares i EU. Onlinetjenester og databaser opbevares i Amazon AWS-skyens EU-regioner. Adgang til disse ressourcer er strengt begrænset til specifikt personale, der har direkte forretningsbehov for adgang. Alle adgangsrettigheder anmodes om og tildeles kun baseret på validerede forretningsbehov, dokumenteret i et separat værktøj, og adgangsrettighederne gennemgås årligt.
Virta indsamler kun PII (personligt identificerbare oplysninger), som er nødvendige for at levere tjenesterne. Indsamlede data gemmes, så længe der er et gyldigt behov. Virta har indført retningslinjer for databeskyttelse, herunder intern uddannelse af personale, der har adgang til kundedata, intern databeskyttelseshåndbog og underretningspraksis.
For mere information om registrerede rettigheder og andre detaljer om privatlivets fred, se Virtas privatlivspolitik.
Moderne og sikker infrastruktur
Alle Virta-tjenester kører i moderne, beskyttede og skalerbare cloud-tjenester med forskellige certificeringer som ISO 27001:2013, SOC 2 og lignende (se den fulde liste her: https://aws.amazon.com/compliance/programs/). Systemerne er ikke afhængige af ét datacenter. Vores automatiserede implementeringspipeline holder altid produktionsmiljøet kørende med de seneste sikkerhedsrettelser installeret, og eventuelle afvigelser overvåges ved hjælp af kontinuerlige sårbarhedsscanninger.
Sikre betalinger
Betalingskortoplysninger (kredit- og betalingskort) håndteres og opbevares af vores PCI-DSS-certificerede partner Payment Highway.