SÄKERHET PÅ VIRTA

Tillförlitlighet och pålitlighet hos våra system och tjänster är våra prioriteringar

På Virta har vi ett 360-graders synsätt på säkerhet. Alla våra aktiviteter syftar till tillförlitliga, robusta och säkra tjänster. Detta arbete stöds och främjas av företagets ledning och Virta har etablerat ett ledningssystem för informationssäkerhet (ISMS) som leds av ett ledningsteam för informationssäkerhet. Dagliga säkerhetsuppgifter och aktiviteter leds av företagets Chief Information Security Officer. Virtas ledningssystem för informationssäkerhet är certifierat enligt ISO 27001:2013.

Att säkerställa säkerhet är en kontinuerlig process och Virta har definierat en riskhanteringsprocess för att säkerställa att säkerheten håller jämna steg med den föränderliga hotbilden. Alla identifierade risker tilldelas alltid en ägare och behandlas.

Certifikat

ISO 27001-certifiering

Virta är ett ISO 27001-certifierat fordonsladdningsföretag. ISO 27001 är en internationellt erkänd standard för informationssäkerhet som säkerställer att strikta säkerhetskontroller finns på plats för att skydda kunddata och att driften av produkter och tjänster är säker.

SOC 2-certifiering

Virta har erhållit en Service Organizations Controls (SOC) 2 Type 2-certifiering för säkerhet och tillgänglighet. SOC 2 är en internationellt erkänd revisionsstandard som utvecklats av American Institute of Certified Public Accountants (AICPA). SOC 2 är granskningsuppdrag som utförs av en extern revisor som noggrant undersöker alla kontroller och processer som är involverade i att lagra, hantera och överföra data på ett säkert sätt.

SOC 2-certifieringen för säkerhet och tillgänglighet stärker Virtas åtagande att upprätthålla de strängaste kontrollerna för att skydda och säkra kundinformation.

Säkerhet för tjänster online

Virtas offentligt tillgängliga kundsystem utvecklas enligt Virtas interna riktlinjer, inklusive säkerhetskrav. För applikationsutveckling används OWASP ASVS som referens och utbildning i säker utveckling tillhandahålls för utvecklare. Alla ändringar granskas innan de distribueras och testas i testmiljö innan de tas i produktionsanvändning. Alla ändringar i koden kan spåras tillbaka och det finns en fullständig verifieringskedja för ändringar.

Virta genomför regelbundet sårbarhetsskanningar, säkerhetsbedömningar och penetrationstester. Sårbarhetsskanningar körs automatiskt varje vecka och grundliga penetrationstester utförs regelbundet av oberoende cybersäkerhetsföretag mot offentliga gränssnitt. Alla problem som upptäcks analyseras och lämpliga korrigeringar och mildringar implementeras.

Offentligt tillgängliga applikationer och gränssnitt hostas i Amazon AWS och åtkomst till dessa system är strikt begränsad till namngiven och godkänd personal. AWS ger hög tillförlitlighet och skalbarhet för våra tjänster. Alla hemligheter (nycklar, tjänstelösenord och liknande information) lagras i krypterad form. Endast kryptografiska lösningar enligt branschstandard används.

Ansvarsfull rapportering

Säkerheten för kundernas data är vår högsta prioritet. Vi ägnar stor uppmärksamhet åt detta under utvecklingsfasen, men ibland kan buggar och sårbarheter undgå vår uppmärksamhet. Om du tror att du har upptäckt en sårbarhet eller säkerhetsbugg i våra system skulle vi uppskatta om du meddelar oss så snart som möjligt. Det hjälper oss att snabbt åtgärda problemet och skydda de uppgifter som lagras i våra system.

För mer information eller för anmälan av eventuella säkerhetsproblem kan du kontakta vårt säkerhetsteam via mejl på responsible-disclosure@virta.global.

Respektera den personliga integriteten. Försök i god tro att inte komma åt eller förstöra en annan användares data när du rapporterar eller verifierar ditt resultat. Utnyttja aldrig andra utan deras tillstånd.

Datalokalisering & skydd

Kund- och användardata lagras i EU. Onlinetjänster och databaser lagras i Amazon AWS-molnets EU-regioner. Åtkomst till dessa resurser är strikt begränsad till specifik personal som har ett direkt affärsbehov för åtkomst. Alla åtkomsträttigheter begärs och beviljas endast baserat på validerade affärsbehov, dokumenterade i ett separat verktyg och åtkomsträttigheter granskas årligen.

Virta samlar endast in PII (personligt identifierbar information) som är nödvändig för att tillhandahålla tjänsterna. Insamlade data lagras så länge som det finns ett giltigt behov. Virta har infört riktlinjer för dataskydd, inklusive intern utbildning för personal som har tillgång till kunddata, intern dataskyddshandbok och anmälningspraxis.

För mer information om registrerade rättigheter och andra integritetsdetaljer, se Virtas integritetspolicy.

Modern & säker infrastruktur

Alla Virtas tjänster körs i moderna, skyddade och skalbara molntjänster med olika certifieringar som ISO 27001:2013, SOC 2 och liknande (för en fullständig lista, se här: https://aws.amazon.com/compliance/programs.

Systemen är inte beroende av ett enda datacenter. Vår automatiserade pipeline för driftsättning ser till att produktionsmiljön alltid körs med de senaste säkerhetsuppdateringarna installerade och eventuella avvikelser övervakas med hjälp av kontinuerliga sårbarhetsskanningar.

Säkra betalningar

Uppgifter om betalkort (kredit-/betalkort) hanteras och lagras av vår PCI-DSS-certifierade partner Payment Highway.