pa|Find vulnerabilities, lower your risks and follow regulations like PCI DSS, PA DSS and GDPR. Move sensitive data out of your systems and improve the way you do business. Simplify compliance and reduce PCI scope. Ensure that your most valuable assets have the highest possible protection through crypto processing. Get your company up and running with Complior’s hosting packages! We are experts on compliance and certified to safeguard business critical data di|Innovative solutions that solve the biggest challenges in data protection and information management. Learn about how we have helped other companies MeaWallet MeaWallet needed a trusted cloud security hosting platform. With security, professionalism and pricing as their top three criteria MeaWallet set out to find a worthy partner for their business Learn more Tic-Tac Mobile As Tic-Tac Mobile continued to scale they found a growing need for a secure, reliable and manageable way to fulfil their IT infrastructure requirements Learn more Tokenization Channel Manager Uses Tokenization To Remove Cardholder Data Learn more PSD2 Secure Hosting Of A Revolutionary PSD2 Solution Learn more Good architecture and cost-effective set-up in AWS. Complior is there to help you throughout the journey from pre-study to full establishment in AWS. And yes, we are certified We would like to hear more about your challenges and goals h1|CLOUD HOSTING FOCUSING ON SECURE OPERATION h2|Experts in IT operations, IT security and compliance. Cloud Hosting Platform SECURITY SERVICES Compliant Cloud Services Get started today h3|Customer Case Compliant Cloud Services Amazon Web Services HSM Find your fit sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Make sure to keep your most business critical application and data secure and available 24/7/365 Compliance platform Our services Our products Compliance platform Our services Our products Learn more Previous Next Learn more Learn more More on HSM Learn more very Our Compliance Contact us Sign up for our newsletter pa|Hitta sårbarheter, sänk dina risker och efterlev standarder som PCI DSS, ISO och GDPR. Flytta ut känsligt data från dina system och ersätt med en säkerhetstoken. Förenkla regulatorisk efterlevnad mot standarder som PCI DSS och GDPR. Säkerställ att din mest värdefulla data också har det högsta möjliga skyddet genom kryptering. Kom igång med Complior's molnpaket! Vi är duktiga på regulatorisk efterlevnad och själva certifierade mot flera branschstandarder. di|Innovativa lösningar för dataskydd och informationssäkerhet. Mer information om hur vi hjälpt andra företag MeaWallet MeaWallet sökte en pålitligt molnleverantör med; säkerhet, professionalism och pris som deras högsta prioritet och gav sig ut för att hitta en värdig partner för deras ändamål Läs mer Tic-Tac Mobile När Tic-Tac Mobile fortsatte att växa ökade behovet av ett säkert, pålitligt och hanterbart sätt att uppfylla sina IT-infrastrukturkrav Läs mer Tokenisering Channel Manager använder tokenisering för att ersätta kreditkortsdata Läs mer PSD2 Säker hosting av en revolutionerande PSD2 lösning Läs mer Bra arkitektur och kostnadseffektiv uppsättning i AWS. Complior är där för att hjälpa er genom hela resan från förstudie till full etablering i AWS. Vi är självklart certifierade Vi vill höra mer om just era utmaningar och önskemål h1|MOLNLEVERANTÖR MED FOKUS PÅ SÄKER DRIFT h2|Experter inom IT-drift, IT-säkerhet och compliance. Molnplattform Säkerhetstjänster Molntjänster Säkerhetstjänster Kom igång redan idag h3|Kundcase Compliant Cloud - tjänster Amazon Web Services HSM Vilken molnlösning passar dig? sp|Meny SV EN Meny SV EN Se till att era mest affärskritiska applikationer och data är säker och tillgänglig 24/7/365 Compliance Plattform Säkerhetstjänster Molntjänster Compliance Plattform Säkerhetstjänster Molntjänster Läs mer Föregående Nästa Läs mer Läs mer MER OM HSM Läs mer själva Vår efterlevnad Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Bra arkitektur och kostnadseffektiv uppsättning i AWS, det är vad många företag strävar efter. Att välja att lyfta ut sin miljö i molnet blir allt vanligare men det är inte helt okomplicerat. Det ställs ofta krav på att branschstandarder som PCI DSS och ISO27001 ska efterlevas, för en säker och pålitlig arkitektur med drift 24 timmar om dygnet, det gäller även i AWS. En lyckad resa till molnet ställer höga krav på organisationer, samtidigt som det är resurskrävande och kostnadsdrivande. Det är en utmaning för många att förstå omfattningen och därför finns Complior för att hjälpa er genom hela resan från förstudie till full etablering i AWS. AWS utvecklas ständigt med nya tjänster och möjligheter, för att optimera resurser och kostnader så krävs därför ett kontinuerligt arbete att förvalta miljön och att förbättra. Vi vill arbeta nära och erbjuda en transparent dialog för att bli er partner och rådgivare, oavsett om det är första steget eller om ni redan är på plats och önskar optimera er miljö. di|Oavsett om AWS är nytt för er eller inte, våra experter finns här för att stötta er med alla typer av frågor och önskemål. Best practice är att alltid skapa infrastruktur som kod, ett smidigt sätt för er att komma igång och underlätta efterlevnad av standarder som PCI DSS och ISO 27001. Vi har ett team av certifierade AWS tekniker som monitorerar och agerar 24x7 vid incident. Vårt team granskar löpande din miljö för att kontinuerligt vara kostnadseffektiv och optimerad. Vi försäkrar att din miljö är säker och efterlever uppsatta mål och standarder som PCI DSS eller ISO27001. För en bekymmersfri tillvaro ser vi till att din dagliga drift utförs professionellt och enligt uppsatta kriterier och mål. Vi utgår från många års erfarenhet av säker drift mot IT-miljöer som uppfyller branschstandarder som PCI DSS. Detta har gjort oss till något av experter inom just denna typ av mer krävande managerad IT-drift. Ni som kund har alltid nära och direkt kontakt till våra tekniker och servicevärdar, detta så att ni skall ha rätt förutsättningar att lyckas med en säker och kostnadseffektiv drift i AWS. Vi vill höra mer om just era utmaningar och önskemål h1|Amazon Web Services h2|Vi finns här för dig hela vägen: Rådgivning Arkitektur Monitoring Resurs- och Kostnadsoptimering SÄKER DRIFT och efterlevnad Daglig drift, support och underhåll Kom igång redan idag sp|Meny SV EN Meny SV EN Vad är ert ansvar i AWS? Hur ska man gå tillväga för att uppfylla regulatoriska krav i AWS? Vad är viktigt att tänka på? Vilka krav ställs på er och vad förväntar sig era kunder? Vad gör en AWS partner egentligen? Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Minska mängden känslig data i dina system. Compliant Cloud Services använder tokenisering för att förenkla regelefterlevnad mot PCI DSS och GDPR. En Hardware Security Module (HSM) hjälper dig att uppnå hög säkerhet genom att kryptera din kritiska data. Vi hjälper företag och organisationer att säkerställa säkerhetskopior av data i Office365, vilket ger er tryggheten att alltid kunna återställa er data vid händelse av oavsiktlig radering eller förlust. di|Vi vill höra mer om just era utmaningar och önskemål h1|MOLNTJÄNSTER h2|Vill du göra det enklare att hantera kortdata och känslig information? Vi erbjuder lösningar som förbättrar informationshantering och gör det lättare att följa regelverk. Compliant Cloud - tjänster HSM som tjänst BACKUP AV OFFICE365 Kom igång redan idag sp|Meny SV EN Meny SV EN Läs mer Läs mer Läs mer Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Våra produkter och tjänster hjälper företag med daglig drift av IT-system, skydda känsliga uppgifter och följa säkerhetsstandarder som PCI DSS, ISO27001 och GDPR. Personliga data driver samhällsutveckling, innovation och ekonomi. Att förvalta personligt data ger ett gemensamt ansvar och skyldighet att garantera säkerhet, integritet och konfidentialitet. Standarder som PCI DSS, GDPR och ISO 27001 är ledstjärnor för oss som respekterar och skyddar personligt data. Christer har lång erfarenhet av att leda företag inom flera branscher till framgång. Ronnie har lång erfarenhet av försäljning, affärsutveckling och inom IT-säkerhet, Ronnie är även certifierad PCIP (Payment Card Industry Professional) Carina tillträdde rollen som ekonomichef 2014 och har omfattande kunskap och erfarenhet inom företagsekonomi. Johan har arbetat inom IT-branschen sedan 1994 och innehar en Ph Lic inom Data-systemvetenskap. (Licentiatexamen) Jonas säkerställer att Complior och våra kunder uppnår kraven mot säkerhetsstandarder som PCI DSS och GDPR. PCI-DSS (Payment Card Industry Data Security Standard) är säkerhetsregler för drift och förvaltning av IT-system som hanterar kreditkortsuppgifter. Security Standards Council (SSC) har certifierat Complior som en PCI DSS nivå 1 leverantör och vår tekniska plattform möter kraven för PCI DSS nivå 1. Vi var första företaget i Sverige att uppnå den certifieringen, vilket vi gjorde redan 2010. ISO 9001 är en ledningssystemstandard för kvalitetsprocesserna i ett företag eller en organisation. Ett ledningssystem beskriver hur man ständigt förbättrar och justerar sin verksamhet för att möta kundernas behov. ISO 9001 innefattar bland annat ledarskap, kundfokus, process inriktning, medarbetarnas engagemang och en modell för införande av ständiga förbättringar. ISO 14001 är samlingsnamnet för de standarder som handlar om miljöledning. Dessa standarder skapar i sin tur ett miljöledningssystem som integreras i den befintliga verksamheten. Miljölednings-systemet utgör därefter ett frivilligt verktyg som ska underlätta arbetet och standarderna ger en arbetsmodell för ständiga förbättringar. ISO 27001 anger de krav som ska följas för att införa, underhålla och förbättra ett ledningssystem inom informationssäkerhet. Ett ledningssystem som ger ett strukturerat och effektivt arbetssätt för förbättrad intern kontroll över informationssäkerheten. Ett nära samarbete med innovativa IT och säkerhetsföretag gör att vi kan erbjuda lösningar i framkant +46 8 535 24 100 +46 8 535 24 199 556608-2268 Läs våra senaste nyheter och blogginlägg Öka din kunskap med nedladdningsbara guider och mallar Vill du veta hur vi har hjälpt andra företag di|är att hjälpa företag och organisationer att fortsatt vara samhällsutvecklande, innovativa och ledande inom sitt verksamhetsområde utan att kompromissa med säkerheten. Vi strävar efter att vara er rådgivande säkerhetspartner och ge det stöd ni behöver för att lyckas i er affärsstrategi. Vi är ett team av experter inom dataskydd och molnlösningar. Vårt fokus är att ge våra kunder de verktyg som krävs för att nå framgång. Vill du bli en del av Vi vill höra mer om just era utmaningar och önskemål st|ÖVRIGA FRÅGOR: info@complior.se VÄXEL: FAX: ORG. NO.: h1|Complior h2|Complior är en molntjänstleverantör och experter inom IT-drift, IT-säkerhet, hög tillgänglighet och regulatorisk efterlevnad. LEDNING Vår efterlevnad PCI DSS 3.2.1 ISO 9001​ ISO 14001 ISO 27001 Partners och leverantörer MER KUNSKAP Kom igång redan idag h3|Christer Nilsson Ronnie Johansson Carina Lönn Johan Kummeneje Jonas Gharanfoli Skicka oss ett meddelande Blogg Kunskapscenter KUNDCASE h4|VD Sälj- och marknadschef Ekonomichef CTO Compliance Manager Kontakta oss sp|Meny SV EN Meny SV EN VÅR POLICY PERSONUPPGIFTSPOLICY COOKIE POLICY vårt team? Läs mer Föregående Nästa Läs mer Läs mer Läs mer Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy bo|Vår mission pa|Just nu har vi inga positioner tillgängliga, men skicka gärna ett mail och beskriv varför du vill bli en del av vårt team di|Vi vill höra mer om just era utmaningar och önskemål h1|Joina teamet h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Läs våra senaste nyheter och blogginlägg Öka din kunskap med nedladdningsbara guider och mallar. Mer information om hur vi hjälpt andra företag di|Vi vill höra mer om just era utmaningar och önskemål h1|Resurser Läs vår blogg, senaste nyheter och ta del av guider och mallar. Bli inspirerad och öka din kunskap! h2|Blogg Kunskapscenter KUNDCASE Kom igång redan idag sp|Meny SV EN Meny SV EN Läs mer Läs mer Läs mer Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Complior måste ha ett starkt fokus på regelefterlevnad och IT-säkerhet för att behålla sin position som Nordens säkraste leverantör av IT-tjänster. Vi har ett ledningssystem för att säkerställa att vi bedriver vår verksamhet enligt gällande standarder, praxis och lagkrav, samt att vi gör det i enlighet med våra mål avseende kvalitet, IT-säkerhet och miljö. Effektiv säkerhet, samt kontinuerlig förbättring, är ett lagarbete som kräver engagemang och stöd från alla anställda som använder processerna och de som påverkas av dem. Alla anställda är skyldiga att känna till dessa riktlinjer, och jobba i enlighet med dem. För att ständigt kunna förbättra måste verksamheten, dess processer och rutiner regelbundet utvärderas gällande kvalitet, informationssäkerhet och miljö. Det är viktigt att ledningsgruppen leder med gott exempel när det gäller att följa processer och att de ger input till ledningssystemet för att få alla anställda att bidra på ett liknande sätt. Ledningssystemet måste vara en integrerad del av den dagliga driften av verksamheten. Ledningssystem presenteras för alla anställda vid början av sin anställning. Alla policyer och processer gäller för all personal under hela anställningstiden och är obligatoriska. Alla medarbetare skall årligen bekräfta att de har läst och förstått dokumentationen. Alla anställda förväntas bidra till den kontinuerliga utvecklingen av ledningssystemet genom att föreslå förbättringar, rapporterar avvikelser och delta i aviserade händelser. Våra kvalitetsmål skall kommuniceras och finnas tillgängliga för alla intressenter.. Våra säkerhetsmål skall kommuniceras och finnas tillgängliga för alla intressenter.. Våra miljömål skall kommuniceras och finnas tillgängliga för alla intressenter.. di|Vi vill höra mer om just era utmaningar och önskemål li|Vi strävar efter att erbjuda tjänster med högsta möjliga tillgänglighet. Vi vill tillhandahålla tjänster av en kvalitet som överträffar våra kunders förväntningar. Vi anser att goda kundrelationer och kundnöjdhet är avgörande för vårt företags fortsatta framgång eftersom våra kunder är våra viktigaste partners. Vi ska utvärdera vår verksamhet kontinuerligt, alltid sikta på att förbättra kvalitén på våra tjänster och vara lyhörda för feedback från våra kunder. IT-säkerhet är grundläggande och viktigt för vår verksamhet och för vår framgång på våra marknader. Att kunna erbjuda något unikt på marknaden bygger på att vi uppfattas som experter inom säkerhet och compliance. Vi anser att kunskapsdelning och bra internkommunikation är viktigt för att säkerställa att vår personal upprätthåller en hög medvetenhet. Vi gör regelbunden uppföljning för att säkerställa att alla IT-enheter på vårt kontor håller minst minimumkrav på säkerhet. Granskning av potentiella leverantörer, vilket ska inkludera miljöaspekter, är obligatoriskt före alla typer av samarbeten. Att frångå av granskning av miljöaspekter vid val av potentiella leverantörer är endast tillåtet efter ett dokumenterat beslut av ledningsgruppen. Alla leverantörer av IT-hårdvara bör följa miljöstandarder, såsom, men inte begränsat till, Energy Star, Epeat Återvinning ska prioriteras och underlättas i den mån det går. Vår miljöpolicy ska användas inom vår marknadsföring. Vi skall till den mån det är möjligt jobba mot att våra kunder, partners, leverantörer och konkurrenter också prioriterar miljöfrågor. Vi utvärderar regelbundet effekten vår verksamhet har på miljön och försöker att minska vår miljöpåverkan. h1|VÅR POLICY h2|Läs mer Kom igång redan idag h3|Vi lever som vi lär med våra ledningssystem h4|Kvalitet IT-säkerhet Miljö sp|Meny SV EN Meny SV EN COMPLIOR OM OSS Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Företag runt om i världen behöver en IT-infrastruktur för att fungera. Att ha en nyckelfärdig infrastruktur är emellertid ofta inte tillräckligt för att möta företags specifika behov, utmaningar samt krav. Complior erbjuder skräddarsydda molntjänster anpassade efter dina specifika behov. Våra molnlösningar ger dig hög tillgänglighet och kapacitet, hög säkerhet, flexibilitet och skalbarhet. Compliors skräddarsydda molntjänster har hjälpt företag inom många olika industrier att övervinna utmaningarna i sin bransch. Placera din hårdvara i några av de säkraste datacentralerna i Sverige. : Hybrid IT ger dig det bästa av det publika molnet och det privata molnet. : På Complior kan vi anpassa din kapacitet till dina behov och vi kan enkelt skala våra infrastrukturtjänster för att skräddarsy våra lösningar specifikt för dig. Vi kommer att se till att våra säkra molntjänster uppfyller dina krav, både under perioder med lågt utnyttjande till perioder med oväntade trafikspetsar, så att din IT-miljö alltid levererar. di|Vi vill höra mer om just era utmaningar och önskemål h1|CUSTOM CLOUD h2|TAILOR MADE CLOUD HOSTING FÖR ATT MÖTA DINA BEHOV Vad är utmaningarna för ditt företag? Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev bo|CO-Location: Hybrid IT Scalability pa|Vi använder cookies på våra webbsidor för att samla in statistik och för att anpassa användarupplevelsen. Genom att använda våra webbsidor, samtycker du till användning av cookies i enlighet med villkoren i denna policy. Cookies är små textfiler som skickas av webbservrar till webbläsare och lagras på din dator. Informationen skickas sedan tillbaka till servern varje gång webbläsaren begär en sida från servern. Det hela gör det möjligt för en webbserver att identifiera och spåra webbläsare. Det finns två huvudsakliga typer av cookies: sessionscookies och permanenta cookies. Sessionscookies försvinner från din dator när du stänger din webbläsare, medan permanenta cookies lagras på datorn tills de tas bort manuellt, eller tills de når sitt utgångsdatum. Google Analytics genererar statistik och annan information om webbsidebesök med hjälp av cookies som lagras på användarens dator. Informationen som genereras i samband med våra webbsidor används för att skapa rapporter om beteende vid besök på webbsidan. Google sparar och använder data. Googles sekretesspolicy hittar du på: http://www.google.com/privacypolicy.html. Har du en fråga om sekretess är du välkommen att kontakta oss. Den primära kontakten för integritetsfrågor är vår . You can reach him at . Om du inte är befintlig kund kontakta vår direkt. +46 8 535 24 100 www.complior.com di|Vi vill höra mer om just era utmaningar och önskemål st|Compliance Manager Jonas Gharanfoli Compliance Manager Complior h1|COOKIE POLICY h2|Läs mer Kom igång redan idag h4|Kontakta h5|Vi använder Google Analytics för att analysera användningen av våra webbsidor. sp|Meny SV EN Meny SV EN COMPLIOR OM OSS Kontakta oss Anmäl dig till vårt nyhetsbrev em|För allmänna frågor eller förfrågningar, kontakta vår avdelning enligt nedan: pa| di|Blogg Blogg Blogg Blogg Blogg Nyheter Blogg Blogg Blogg Blogg Blogg Blogg Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka « Previous Sida 1 Sida Sida Sida Sida Sida Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Complior värnar om din personliga integritet. Denna informationstext riktar sig till dig som besöker vår webbplats, är registrerad som kontaktpersonen hos oss eller har kommit i kontakt med någon av våra säljare. Personuppgiftspolicyn förklarar hur Complior samlar in och använder dina personuppgifter. Den beskriver också dina rättigheter gentemot oss och hur du kan göra dina rättigheter gällande. Du kan alltid kontakta oss vid frågor kring integritets- och dataskydd genom att skicka ett e-postmeddelande till oss på Personuppgifter är all information som direkt eller indirekt kan kopplas till din person. Det kan vara självklara uppgifter som ditt namn eller ditt personnummer, men även uppgifter som t.ex. e-postadress eller telefonnummer. Även bilder är en form av personuppgift, om du tydligt kan urskiljas på bilden. Med behandling menas allt som vi i Complior gör med dina personuppgifter. Till exempel när vi samlar in, sorterar eller bearbetar personuppgifter. Hos Complior kan dina personuppgifter registreras till exempel när du ringer till oss, skickar e-post, beställer informationsmaterial, lämnar en synpunkt eller en fråga via vår webbchatt, fyller i kontaktformulär, eller när ditt företag är kund hos oss och våra företag utbyter kontaktinformation. Om du kontaktar oss via kontaktformulär eller e-post kommer kan vi ibland komma att skicka relevant marknadsföringsinformation till dig. Tänk på att inte skicka integritetskänslig information till oss t.ex. via e-post och sociala medier. Integritetskänsliga uppgifter är exempelvis information om etniskt ursprung, religiösa och politiska åsikter, hälsotillstånd, personnummer eller medlemskap i fackföring. Complior är personuppgiftsansvarig för behandlingen av dina personuppgifter eftersom vi bestämmer medlen och ändamålen med behandlingarna. Vi använder oss även av personuppgiftsbiträden, externa leverantörer, som hjälper oss med behandlingarna. Detta kan du läsa mer om under rubriken ”Vilka kan se mina personuppgifter”. För att Complior ska kunna erbjuda sina tjänster och fullgöra sina åtaganden mot dig behöver vi hantera uppgifter om dig. I hela hanteringen av personuppgifter värnar vi din personliga integritet. Nedanför finns en tabell som beskriver de syften Complior har med sin behandling, de rättsliga grunderna som rättfärdigar behandlingen enligt nuvarande dataskyddslagstiftning, hur länge vi har kvar personuppgifterna. Complior gör ingen profilering eller automatiserat beslutsfattande med dina personuppgifter. Automatiserat beslutsfattande innebär att dina personuppgifter behandlas för att göra beslut utan någon mänsklig påverkan på beslutet, detta kan exempelvis vara ett program som gör beslutet enligt en algoritm. Vi kommer endast att behålla personuppgifter om det finns ett syfte med att ha kvar informationen. Vi är dessutom skyldiga att behålla personuppgifter en viss tid enligt krav från olika författningar som bokföringslagen. Dina personuppgifter är bara tillgängliga för personer som behöver dem för att kunna utföra sina arbetsuppgifter. Personuppgifter kan även överföras till våra systemleverantörer som hjälper oss med IT-drift och support. Complior kan dessutom komma att lämna nödvändig information till myndigheter såsom polisen, skatteverket eller andra myndigheter om vi är skyldiga att göra det enligt lag. Complior strävar alltid efter att behandla dina personuppgifter inom EES (Europeiska Ekonomiska Samarbetsområdet). Uppgifterna kan dock i vissa situationer komma att överföras till, och behandlas i, länder utanför EES eftersom en del av våra leverantörer eller underleverantörer är internationella organisationer. Complior kommer att vidta alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att dina personuppgifter hanteras säkert och med en adekvat skyddsnivå både inom och utanför EES. Vill du veta om eller var dina personuppgifter överförs utanför EES kan du kontakta oss på . Du har vissa rättigheter som Complior är skyldig att iaktta under vissa omständigheter. Enligt nuvarande dataskyddslagstiftning har du nedanstående rättigheter som du kan åberopa. För att åberopa dina rättigheter kan du kontakta . Innan du kan åberopa någon av dina rättigheter måste du först identifiera dig, vår personal kommer då att ställa några kontrollfrågor till dig. Enligt dataskyddsförordningen har du alltid rätt att få information om vilka personuppgifter som Complior har registrerade om dig. Om du skickar en förfrågan på kommer Complior att skicka ett registerutdrag till dig som innehåller dina personuppgifter som vi behandlar samt en text som beskriver hur vi behandlar personuppgifterna. Det kommer normalt att ta maximalt en månad innan ett sådant registerutdrag skickas till dig. Om du anser att någon personuppgift om dig är felaktig eller missvisande, kan du begära att den rättas eller används på ett mer begränsat sätt i vissa fall. Kontakta i sådana fall och förklara vad du anser är felaktigt och varför. Du har rätten att begära gallring av dina personuppgifter som lagras av Complior om minst ett av följande villkor är uppfyllt: Du har däremot inte rätt att få dina personuppgifter raderade ifall Complior exempelvis: Behöver behandla personuppgifterna för att utföra en uppgift inom ramen för en avtalsrelation med dig, för arkivändamål, för att utöva rätten till yttrande- och informationsfrihet, för att fullgöra en rättslig förpliktelse eller försvara rättsliga anspråk. Du har ibland rätt att få ut dina personuppgifter i ett allmänt, strukturerat och maskinläsbart format och dessutom få dina personuppgifter förflyttad till en annan organisation (om tekniskt möjligt) ifall behandlingen grundar sig på samtycke eller på ett avtal och sker automatiserat (med IT-medel). Kontakta oss på . Du har rätt att göra invändningar mot Complior behandling av dina personuppgifter och att lämna in klagomål till tillsynsmyndigheten (Datainspektionen). Du kan när som helst invända mot direktmarknadsföring och då kommer 24 Solutions att upphöra med marknadsföringen. di|Vi vill höra mer om just era utmaningar och önskemål td|Identifiering och hantering av prospekter och kunder för kontakt med våra säljare. Namn, e-post, telefonnummer (arbete), jobbnamn, säljarens anteckningar. Berättigat intresse. Samtycke Komplettering av skyldigheter i ett avtal. Så länge vi har en kundrelation med dig och du inte gör invändningar mot behandlingen. Kundrelationen upphör ett år efter fullgörandet av förpliktelserna i avtalet. Vi behåller information om framtidsutsikter så länge vi tror att det finns ett solid intresse för våra produkter och tjänster, som inte varar mer än två år. Nyhetsutskick tili kunder och marknadsutskick till kontakter och Prospekt. Om personer laser vår marknads- eller nyhetsutskick kan vi även se ifall per sonen i fråga klickar vidare till vår webbplats. Namn och e-post arbete. Berättigat intresse (soft Opt-in). Samtycke (Opt-in). Så länge vi har ett kundförhållande med dig och du inte gör invändningar eller avbokning (borttagning). Kundrelationen upphör ett år efter fullgörandet av förpliktelserna i avtalet. För dem som har gett oss samtycke, raderingen sker i händelse av att abonnemanget upphör (Opt-out). För att svara på frågor från besökare på webbplatsen via vår webbchatt behandlar vi personuppgifter för att hitta potentiella möjligheter. Om webbplatsbesökare chatta med oss kan vi se sidorna personen i fråga har besökt på vår webbplats. IP-adress, inlämnad e-postadress och namn, land och stad / stad. Berättigat intresse. Uppgifterna lagras i högst 6 månader om inte personen i fråga har registrerats som prospekt (se ovan). Hantera och kontakta våra kunders kontaktpersoner. Detta inkluderar till exempel: ärendehantering, administration av besök, kontraktssignering, e-postkontakt, möteanmärkningar, mötesbokningar, operationell dokumentation. Namn, titel, email (arbete), telefonnummer (arbete), personnummer (endast för besökare av våra datacenter för säker identifiering) Fullgörande av forpliktelser i avtal. Berättigat intresse. Denna information sparas si länge tjänsteavtalen mellan kunder är aktuella. Personnummer gallras när ärendet är slutfört. Kundfakturering för uppfyllande av skyldigheter i serviceavtal och slutförande av andra tjänster och produkter som konsultation och försäljning av mallar. Namn, telefonnummer, e-post, organisationsnummer. Uppfyllelse av skyldigheter i ett avtal. Berättigat intresse Vi sparar uppgifterna så länge det behövs enligt bokföringslagen (7 år). Därefter tar det max ett är innan uppgifterna har gallrats. Hantering av jobbapplikationer. Standardinformation i CV, till exempel namn, personnummer, bild, telefon, e-post, adress, erfarenhet, tidigare yrken. Berättigat intresse. Samtycke Personuppgifter som samlas in under rekryteringen lagras medan rekryteringsprocessen pågår. Om vi ser potential hos kandidaten, kan vi hålla informationen bortom detta. Vi gör detta bara om vi får ditt samtycke, och sedan behåller vi uppgifterna i högst tre år. th|Ändamäl och behandling Personlig information som används Rättslig grund Bibehållande period li|uppgifterna inte längre behövs för de ändamål som de samlades in för behandlingen grundar sig på samtycke och du återkallar ditt samtycke behandlingen sker genom direktmarknadsföring och du invänder mot att uppgifterna behandlas för det ändamålet du invänder mot behandling med den lagliga grunden ”berättigat intresse” eftersom det inte finns berättigade skäl som väger tyngre än ditt intresse personuppgifterna har behandlats olagligt radering krävs för att uppfylla en rättslig skyldighet st|Personuppgiftspolicy Vad är personuppgifter? Behandling av personuppgifter Hur samlar vi in personuppgifter om dig? Vem har ansvaret för personuppgifterna? Varför behandlar vi dina personuppgifter? Hur länge behåller vi dina personuppgifter? Vilka kan se dina personuppgifter? Var behandlar vi dina personuppgifter? Dina rättigheter enligt dataskyddsförordningen Rätt till tillgång Rätt till rättelse och begränsning Rätt till radering (”rätten att bli bortglömd”) Rätt till dataportabilitet Rätt att göra invändningar h1|PERSONUPPGIFTSPOLICY h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN COMPLIOR OM OSS Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Sida Sida 2 Sida Sida Sida Sida Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Nyheter Nyheter Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Sida Sida Sida 3 Sida Sida Sida Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Nyheter Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Sida Sida Sida Sida 4 Sida Sida Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Ransomware är ett skadligt program som låser en användare för att få tillgång till deras information/data vilket görs genom att låsa hårddisken. Själva låsningen fungerar normalt genom att kryptera disken med en privat nyckel, som bara angriparen har tillgång till. Angriparens första steg är att få systemet infekterat av en skadlig kod, det andra är att kryptera data för att begränsa användarnas åtkomst och det tredje och sista är att kräva en lösensumma för att ta bort begränsningen. Systemet har fungerat riktigt bra på sistone och vi har sett en stor ökning av Ransomware-attacker under 2016. Målen är inte bara privata användare, utan även företag och sjukhus. Så sent som i februari betalade Medical Canter i Los Angeles $ 17,000 i Bitcoins för att återfå åtkomst till sitt data. Antalet hot ökar och Apple-användare har också börjat påverkas. Från vad jag har läst och hört, är Ransomware en mycket sofistikerad typ av attack. Den är dock väldigt lätt att genomföra eftersom att det numera finns crimeware-tjänster som tillhandahåller angriparen med en plattform. Då kan det räcka med att angriparen anger endast en e-postadresser på dem de vill angripa, och sedan är det bara att luta sig tillbaka och vänta på att pengarna rullar in. Var smart och klok! Undvik att öppna konstiga e-postmeddelanden och adware, uppdatera antivirus och se till att ditt antivirusprogram även skyddar mot Ransomware. Använd inte opålitlig programvara och se ALLTID till att göra säkerhetskopior. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad är ransomware? Vad kan man göra för att skydda sig mot detta? h1|Ransomware-intro h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Sida Sida Sida Sida Sida 5 Sida Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Blogg Vi vill höra mer om just era utmaningar och önskemål h1|Blogg h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Sida Sida Sida Sida Sida Sida 6 Next » Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Hanterar du kortdata? Complior erbjuder PCI DSS QSA-tjänster som hjälper dig skydda kortdata och uppnå kraven mot PCI DSS. Är din IT-miljö säker? Låt oss hitta dina sårbarheter innan någon annan gör det. Vi erbjuder kunskap och hjälp att upprätta efterlevnad mot dataskyddsförordningen (GDPR) Läs våra senaste nyheter och blogginlägg Öka din kunskap med nedladdningsbara guider och mallar Vill du veta hur vi har hjälpt andra företag di|Vi vill höra mer om just era utmaningar och önskemål h1|Säkerhetstjänster Compliors erfarna säkerhetsexperter kan hjälpa ditt företag med alla dina efterlevnadsbehov! h2|Uppfylla kraven mot säkerhetsstandarder som PCI DSS, GDPR och ISO. Qualified Security Assessor (PCI DSS QSA) Info sec GDPR-tjänster MER KUNSKAP Kom igång redan idag h3|Blogg Kunskapscenter KUNDCASE sp|Meny SV EN Meny SV EN Läs mer om QSA Läs mer om Info sec Läs mer om GDPR-tjänster Läs mer Läs mer Läs mer Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Private Secure Cloud är en privat molnlösning framtagen för dig som har krav på hög säkerhet och tillgänglighet. Infrastrukturen är placerad i några av Sveriges säkraste datacenter för skydda dina affärskritiska tillgångar och skapa de bästa förutsättningarna för ditt företag. Hantera ditt företag kortdata? Då måste ni efterleva PCI DSS. Compliant Cloud är en privat molnleverans som hjälper dig att snabbt uppnå PCI DSS Standard. Lösningen kombinerar hög säkerhet, regulatorisk efterlevnad med molnets kostnadsfördelar och flexibilitet. Förenkla din PCI DSS utmaning genom att placera din IT-miljö i vår molntjäns Spara kostnader, tid och resurser. betala endast för det du använder. Din affärskritiska data lagras alltid i Sverige PCI DSS Level-1 certifierad molnplattform, efterlev kraven för din verksamhet. Världen rör sig snabbt, innovativa organisationer och företag i framkant kräver infrastruktur och drift som säkerställer tillgänglighet, flexibilitet och hög säkerhet samtidigt som de regulatoriska kraven fortsätter att öka. Vi finns för att du som kund enklare och säkrare ska kunna uppfylla kraven, vare sig det är PCI DSS, ISO 27001, GDPR eller era egna högt ställda säkerhets- och tillgänglighetsmål. Vår kunskapsbank med erfarenheter och säkerhetsmedvetenhet är något vi alltid delar med oss av, så att ni har de bästa förutsättningarna för en säker driftmiljö. Molnerbjudanden är framtagna med fokus på tillgänglighet, skalbarhet och hög säkerhet, där vi tillsammans skapar en anpassad arkitektur för just era krav och ändamål. Complior ansvarar för att leverera en säker plattform för era affärskritiska tjänster, vi är din IT avdelning som tar hand om din drift, så att du kan koncentrera dig på att just din tjänst utvecklas och behåller marknadsledande position. Du väljer alltid själv vilken nivå av service som önskas från oss, allt från ett helhetsåtagande där vi tar fullt ansvar för din drift, till en ren infrastrukturleverans där ni tar hand om resten. Vår tekniska plattform är certifierad enligt PCI DSS Level-1 samt ISO godkänd. Skydda dina webbapplikationer med beteende analys och trafikövervakning, en applikationsbrandvägg (WAF) analyserar logik, beteenden och mönster i trafiken mot din applikation. Den upptäcker inte bara kända attacker utan hindrar även okända genom trafikanalys. Våra tjänster levereras från katastrofskyddade datacenter i Sverige. De är byggda med förstklassig hårdvara, helt redundant arkitektur och en väldig hög säkerhetsnivå. Starka standardiserade övervakningssystem i kombination med kundanpassade baslinjer för att säkerställa effektiv incidenthantering. Vi ser till att rätt åtgärder utförs 24/7/365. Säkerställ driften av din applikation så att du alltid har svar på frågor som vad, när och hur? Central loggning underlättar uppföljning, rapportering och säkerställer spårbarhet i dina system. Detta hjälper dig att efterleva PCI DSS, ISO och GDPR. Vill du ha stark kryptering för ditt data och applikationer? Kryptera känsligt data med vår HSM-tjänst (Hardware Security Module). Våra molnlösningar levereras med härdade säkra servrar för att säkerställa er tillgänglighet och data. 99,9% garanterad tillgänglighet. Som standard använder vi alltid saker som lastbalansering, replikering, klusterprogram och sunt förnuft för att se till att dina system är tillgängliga. Vi kan både skydda dig vid oförutsedda driftstopp och underlätta det dagliga arbetet, t.ex. uppdateringar. Öka tillgängligheten! Lastbalansering förbättrar fördelningen av trafik och optimerar resursanvändning. Våra tekniska specialister kan se till att din applikation driftas så effektivt som möjligt. Med Complior som leverantör säkerställer vi att din operativa plattform arbetar dygnet runt och din programvara är uppdaterad med det senaste och bästa av den ständigt utvecklande tekniken. Våra rutiner och skyddsåtgärder kan garantera att ditt data är skyddat, samtidigt som vi säkerställer hög prestanda och hög tillgänglighet. Complior är certifierade enligt ISO 27001, ISO 14001, ISO 9001 och PCI DSS. Fokusera på din kärnverksamhet och lämna resten till oss. Complior erbjuder lösningar inom Drift av operativsystem, Databasdrift och Managed Procedure. Läs våra senaste nyheter och blogginlägg Öka din kunskap med nedladdningsbara guider och mallar Vill du veta hur vi har hjälpt andra företag di|Spåra filändringar i dina system. Systemintegritet är avgörande för tillgänglighet, säkerhet och compliance. Filintegritet (File Integrity Monitoring) hjälper dig att upptäcka filer som har ändrats, uppdaterats eller manipulerats. Detta underlättar efterlevnad med kraven i standarder som PCI DSS och HIPAA Vi vill höra mer om just era utmaningar och önskemål h1|MOLNPLATTFORM h2|SÄKER, TILLGÄNGLIG OCH SKALBAR Fokusera på din kärnverksamhet, Vi säkerställer dina affärskritiska tjänster. Vilken molnlösning passar dig? PCI DSS Compliant Cloud Custom Cloud Kostnad Säkerhet i Sverige PCI DSS-certifierad Rådgivare MOLNTJÄNSTER Konfidentialitet WAF Datacenter Monitoring Integritet Logghantering HSM Kryptering Övervakning filintegritet Säker Server Tillgänglighet Redundans Lastbalansering Drift Dataskydd Managed services MER KUNSKAP Kom igång redan idag h3|Private Secure Cloud Blogg Kunskapscenter KUNDCASE sp|Meny SV EN Meny SV EN Kundsupport 24/7/365 Drift operativsystem Databasdrift Managed procedure Uppdateringar Monitoring Support & Konsultation Läs mer PCI DSS Level 1-Certifierad infrastruktur PCI DSS operations och support-team 24/7 Säkra PCI DSS-härdade servrar Övervakning Logghantering Sårbarhets-skanning Läs mer Världen rör sig snabbt, innovativa organisationer och företag i framkant kräver infrastruktur och drift som säkerställer tillgänglighet, flexibilitet och hög säkerhet samtidigt som de regulatoriska kraven fortsätter att öka. Helt skräddarsydda lösningar Läs mer   Fördelar Vi är inte bara er leverantör, vi är er rådgivare och partner som hjälper er uppnå regulatorisk efterlevnad mot standarder som PCI DSS och ISO27001. Tillgång till ett team specialister Full kontroll Data lagras i Sverige Privat segmenterad driftmiljö Ingen investering i hårdvara Betala endast för det du använder Övervakning och support 24 timmar om dygnet Läs mer Läs mer Läs mer Läs mer Läs mer Läs mer Läs mer Läs mer Läs mer Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Complior kan erbjuda en Web Application Firewall (WAF) – en av många åtgärder vi använder för att garantera säkerheten för ditt företags IT-miljö och skydda dig mot dataintrång. En applikationsbrandvägg kan definieras som en brandvägg för webbapplikationer. Det är ett sätt att skydda nätverkstrafik på en applikationsnivå. Web Application Firewall analyserar webbtrafik och motverkar attacker som till exempel SQL-injektioner, cross-site scripting, parameter eller URL-manipulation, sessionskapning och buffertöverskrivning. En WAF gör att du på en mycket detaljerad nivå kan kontrollera åtkomst och bestämma vilken trafik som ska blockeras. Med WAF får man ett extra skydd mot hot från cyberrymden som ett Intrusion Protection System (IPS) inte kan förhindra. Vi kan erbjuda en WAF som inte bara upptäcker angrepp mot webbapplikationer som är kända sedan tidigare, utan som även upptäcker och förhindrar nya okända sorters attacker. Genom att övervaka trafik och de förfrågningar som görs för inkommande och utgående paket skapar WAF ett normalläge för vad som är normal aktivitet. Den kan sedan hålla uppsikt efter ovanliga trafikmönster och därmed upprätthålla ett skydd mot tidigare okända attacker. Vår Web Application Firewall kombineras alltid med vår Network Load Balancer (LB) som är en hårdvarubaserad lastbalanseringstjänst med SSL-acceleration. Vi kan alltid erbjuda högsta möjliga tillgänglighet för dina känsliga program då vår WAF tillsammans med lastbalanserare hanterar failover och därmed förhindrar störningar. Båda är kritiska komponenter för att kunna garantera säkerheten i en PCI-miljö. Krav 6.6 i PCI DSS (Payment Card Industry Data Security Standard) säger att man bör ’’Installera en automatiserad teknisk lösning som upptäcker och förhindrar webb-baserade attacker’’. En WAF hjälper företag att uppfylla detta PCI krav. di|Vi vill höra mer om just era utmaningar och önskemål st|Vill du ha ett skydd som kan stoppa attacker innan de händer? Vad är en WAF En WAF stoppar kända attacker och förhindrar de okända WAF-tjänst alltid i kombination med lastbalanserare Web Application Firewall hjälper dig nå kraven i PCI DSS h1|WAF h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Complior erbjuder PCI DSS-certifierad privat molnleverans, en fullständig tjänst för dig som vill ha en managerad och hostad IT miljö där infrastruktur ligger i några av Sveriges säkraste datacenter. Våra två datacenter är byggda med förstklassig hårdvara, helt redundant arkitektur och en säkerhetsnivå som gör oss PCI DSS-kompatibla. Complior har två helt redundanta datacenter i Stockholm, Våra datacenter är katastrofskyddade och fysiskt separerade. Complior erbjuder aktiv-aktiv drift i två fysiskt separerade datacenter, vilket möjliggör mycket hög tillgänglighet. Våra datacenter är bägge inom Sveriges gränser. Säkerhetskopiering av viktiga data är ett sätt att skydda en organisation från dataförlust. Många företag har krav på sig att utföra regelbunden säkerhetskopiering för att uppnå och bibehålla säkerhetsstandarder som PCI DSS. Hos Complior lagras all data inom Sveriges gränser i våra datacenter, vilket möjliggör att vi kan erbjuda högsta möjliga skydd för din data och säkerhetskopior. di|Vi vill höra mer om just era utmaningar och önskemål st|Datacenter med kvalitetssäkrad infrastruktur Hög säkerhet och fullständig redundans Du är skyddad även om det oförutsedda träffar h1|Datacenter h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Applikationer som körs på virtuella säkra servrar i molnet ger en flexibel och effektiv lösning som i sin tur sänker IT-kostnader och ger hög säkerhet med hög tillgänglighet. Compliors egna molnlösningar är byggda med virtuella servrar på dedikerad hårdvara. Det gör att du kan dra nytta av fler resurser inom vår state-of-the-art infrastruktur och av vår proaktiva hantering av vår IT-miljö. Våra molntjänster ger dig ökad tillgänglighet, hög säkerhet, och inte minst full kontroll över din data. Med våra PCI DSS-certifierade infrastruktur och -tjänster har du ytterligare möjlighet att höja din säkerhet. I våra molntjänster har du full kontroll över din data. Detta gör att du lättare uppnår kraven i PCI DSS och GDPR. Complior har en förstklassig infrastruktur som gör det möjligt för oss att erbjuda optimerade servrar med hög säkerhet. Vi kan tillhandahålla virtuella server-enheter med en specifik vCPU och VRAM kapacitet för att tillgodose dina molnbaserade behov och även leverera fysiska servrar om det krävs för licensiering av din applikation och/eller databas. Vi erbjuder både Managed Server – vilket betyder att vi ansvarar för er IT-drift som du kan läsa mer om här– samt Unmanaged Server där kunderna ansvarar för och hanterar driften själva. di|Vi vill höra mer om just era utmaningar och önskemål st|VILL DU ATT DINA SERVRAR LEVER UPP TILL DAGENS SÄKERHETSKRAV? VIRTUELLA SÄKRA SERVRAR PÅ DEDIKERAD HÅRDVARA FÖRSTKLASSIG INFRASTRUKTUR h1|Säker Server h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Logghantering är en kritisk säkerhetskomponent inom många branscher. En liten förändring i datakod i ditt system skulle kunna äventyra dess integritet och ha en direkt påverkan på ditt företags förmåga att fungera som det brukar och förväntas av kunder. Loggning är en viktig säkerhetskomponent i betalindustrin. Att kunna indexera loggar, söka igenom dem och få regelbundna rapporter är därför ett måste för många företag. Complior erbjuder specialdesignade och egenutvecklade logghanteringstjänsten ULMS. Tjänsten samlar in klientapplikationsspecifika loggar till ett loggningssystem som även sköter all logghantering för Compliors infrastruktur och tjänster. Loggningsystemet ULMS gör det möjligt att indexera och spara applikationsloggar i sökbara format som sedan kan presenteras i tydliga rapporter vilket är ett krav för att kunna garantera säkerheten. Loggar lagras efter våra kunders individuella behov så att våra kunder kan uppnå kraven för PCI DSS och följa dess regelverk. Just för PCI DSS så måste indexerad loggdata granskas på daglig basis. Vårt system är ett SIEM-system (Security Information och Event Management) som hanterar långtidslagring, analys och rapportering av loggdata, övervakning i realtid, larm, samt konsolöversikt. Logghantering är inte bara kritiskt för att följa PCI DSS. Med logghantering kan du underlätta rapportering och säkra spårbarhet i dina system, vilket i sin tur underlättar efterlevnad av GDPR. Logghantering gör det lättare att rapportera vid personuppgiftsincidenter, och tillåter dig att kontrollera och övervaka åtkomst i dina system. Compliors sofistikerade logghantering förhindrar att ofrivilliga förändringar i kod sker, så att din drift är säkrad. Låt oss ta hand om ditt företags logghantering som är en kritisk komponent, inte minst i betalkortbranschen, så vet du med säkerhet att tjänsten alltid övervakas och att allt sker i enlighet med PCI DSS-krav. di|Vi vill höra mer om just era utmaningar och önskemål st|Logghantering så att du kan följa kraven i GDPR och PCI DSS Logghanteringstjänsten Unified Log Management System (ULMS) Logga för att bemöta krav Säkerställ spårbarhet enligt GDPR Förhindra ofrivilliga förändringar h1|Logghantering h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Det krävs mycket arbete för att upprätthålla en IT-miljö, både vad gäller kostnader och resurser. Complior kan erbjuda Managed Services där vi tar ansvar för funktioner och processer för dina tekniska system och applikationer. Vi arbetar proaktivt för att dina system ska fungera – så att du kan fokusera på din kärnverksamhet. Förenkla driften, minska kostnader och spara resurser med Compliors Managed Services. Vi erbjuder paket inom Drift av Operativsystem (OS), Databasdrift och Managed Procedure. Drift av Operativsystem (OS) kräver personal, resurser och kompetens. Patchning, uppdatering, felsökning, underhåll och prestandaoptimering kan vara kostsamt och besvärligt att göra i egen regi. Låt Complior förvalta ditt operativssystem vare sig det är Windows eller Linux. Vi tar hand om regelbunden patchning, uppdateringar, felsökningar, och kontinuerligt underhåll så att du är kan vara säker på att dina applikationer körs på ett säkert sätt. Med vårt proaktiva förhållningssätt till OS-drift ser vårt team till att din plattform är stabil och säker. De tekniska experterna här hos Complior kan öka funktionaliteten, prestanda och säkerheten för ditt operativsystem. Vi kan hantera operativsystem som Din databas behöver förvaltas med omsorg så att den kan utföra allt det den ska, som att lagra, hämta och dela data. Varje dag skapas enorma mängder av data som kunduppgifter, finansiell information, fakturor och kommunikation. Ett system som inte hanteras på ett bra sätt kan påverka ett företags prestanda och produktivitet negativt. Complior kan hantera din databas för dig och se till att ditt system alltid körs med optimal prestanda. Compliors databastjänster kan stödja ett företags affärskritiska och komplexa applikationer. Vi kan hantera kommersiella databasmotorer som: Med Managed Procedure övervakar, åtgärdar driftproblem och underhåller Complior dina applikationer, tjänster och databaser i vår säkra servermiljö enligt dokumenterade processer. Arbetet kan innebära övervakningstjänster, hantera störningar i verksamheten samt upprätthålla kundansökningar, tjänster och databaser. Du specificerar krav, loggnivåer och incidentprocedurer. När dokumentationen är på plats, blir Complior ansvarig för att verifiera att övervakningen av tjänster, schemalagda ändringar och åtgärder enligt dokumentation. Detta sker enligt standardprocesser och dokumentationen för hanterad procedur. Vi kan göra det mesta Med Managed Procedure blir det som om du gör jobbet själv, men kan istället ägna tid åt att fokusera på din kärnverksamhet. di|Vi vill höra mer om just era utmaningar och önskemål li|Drift Uppdateringar Monitoring Stöd och Support Windows Red Hat Debian CentOS MySQL MariaDB PerconDB MSSQL Oracle Server Övervakning Processer för hantering och statusuppdatering av tjänster Återkommande schemalagda åtgärder st|Du fokuserar på din kärnverksamhet - Vi sköter resten Detta ingår i alla Managed Services Förvaltning och support för ditt operativsystem Kompetens för olika system på ett ställe Stöd för olika databaser Dokumentation är nyckeln h1|Managed Services h2|Läs mer Kom igång redan idag h4|OS-drift Databasdrift Managed Procedure sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Genom att kombinera hög säkerhet och PCI DSS efterlevnad med molnets fördelar kring kostnad och flexibilitet, kunde vi erbjuda en effektiv och professionell lösning för MeaWallet. Med ett brett och tillförlitligt partnernätverk kunde vi även erbjuda att ta hand om certifieringsprocessen för PCI DSS som MeaWallet efterfrågade, tillsammans med en av våra partners för båda parter att dra nytta av. “Because they are relatively small, we benefit from a very direct and strong relationship with the experts. This makes resolution times shorter than with other providers.” Efter två år fortsätter MeaWallet att använda vår säkra, PCI DSS certifierade molnplattform för deras managerade tjänster och produktionsplattform. Våra molntjänsterbjudande är framtagna med fokus på tillgänglighet, skalbarhet och hög säkerhet, vilket gjorde att vi kunde leverera den specifika molntjänst, inklusive PCI DSS, som levde upp till MeaWallets affärsändamål. MeaWallet är nu trygga med att deras känsliga data lagras och hanteras på ett säkert sätt av vårt team av experter på Complior. Detta gör att de kan fokusera på sin kärnverksamhet utan att behöva oroa sig för hårdvaruinvesteringar eller om data lagras säkert, allt på ett kostnadseffektivt sätt. MeaWallets grundare, Geir Norlund, fortsätter berätta att MeaWallet "is very happy with Complior's services, attitude and service quality.” Vi gjorde det lilla extra för att leverera tjänster utanför vårt tjänsteerbjudande, genom att koppla samman MeaWallet med en branschpartner. Vilket är en självklarhet för oss med tanke på vår branschkunskap och fokus på kundservice. di|MeaWallet är en nyckelaktör av tokeniseringstjänster i FinTech-industrin som möjliggör för banker och handlare att snabbt och enkelt integrera digitala betalningslösningar för sina kunder. Företaget grundades i Norge 2013, sedan dess har MeaWallets tjänster använts av kunder världen över för tokenisering, Apple Pay, Google Pay, Fitbit Pay och är fortsatt i framkant inom digitala betaltjänster. Efter fem års arbete i en mycket föränderlig bransch där säkerhet och tillförlitlighet är högt prioriterat, behövde MeaWallet en pålitligt molnleverantör med; säkerhet, professionalism och pris som deras topp tre kriterier. Vi vill höra mer om just era utmaningar och önskemål h1|kundcase h2|Om MeaWallet Utmaningen Lösningen Kom igång redan idag h3|Geir Norlund h4|Medgrundare & CIO sp|Meny SV EN Meny SV EN Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|Vi vill höra mer om just era utmaningar och önskemål h1|Christmas card 2020 h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|En Privat molnleverans från Complior ger ditt företag en trygg tillvaro för er IT-miljö eller applikation. Vi garanterar att data lagras i Sverige och erbjuder en miljö med en fast månadskostnad som gör att ni enkelt kan förutse er kostnad. Om ditt företag behöver prestanda, säkerhet och skalbarhet är Private Secure Cloud det rätta valet för dig. Compliors privata molntjänst är en dedikerad miljö för ditt företag. Den ger dig hög säkerhet och flexibilitet, samtidigt som du behåller kontrollen. Molntjänsten levereras från våra säkra datacenters i Sverige. Du specificerar dina behov och utmaningar. Vi erbjuder en portfölj av tjänster och produkter för att underlätta och hantera den dagliga verksamheten, så att du får ut det mesta av din IT-investering. Med Private Secure Cloud kan du lita på att din data lagras säkert, och att dina applikationer är skyddade. Du får en dedikerad servermiljö som endast du och behörig personal har tillgång till. Molninfrastrukturen ligger i några av Sveriges säkraste datacenter. Du har full kontroll. Vi erbjuder 24/7/365 support. Våra tekniker står alltid redo med sin expertis för att vara till din hjälp. Vi hjälper dig med allt från arkitekturförslag till effektiv applikationsdrift. Hög tillgänglighet är kritiskt för affärsframgång. Complior kan säkerställa att dina applikationer alltid är tillgängliga. Vi har också de resurser och rutiner som krävs för att snabbt identifiera och lösa eventuella problem om de skulle uppstå. Vi vill höra mer om just era utmaningar och önskemål li|Fast kostnad ger full kontroll på driftskostnad Alltid data i Sverige Snabb väg till marknaden för er applikation Din applikation är alltid tillgänglig Skala ut och in vid behov 24/7 Övervakning och avhjälpning IT-drift upp till önskad nivå h1|PRIVATE SECURE CLOUD h2|Om ditt företag behöver prestanda, säkerhet och skalbarhet är Private Secure Cloud det rätta valet för dig Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev bo|Privat moln anpassad efter dina behov Högsta möjliga säkerhet i Sverige Tillgång till våra experter Hög prestanda pa|Complior driftar HSM:erna men har ingen åtkomst till dina nycklar eller känsliga data. Detta möjliggör en hög säkerhetsnivå. HSM står för Hardware Security Module och är en väldigt säker dedikerad hårdvara för att förvara krypteringsnycklar. Den utför kryptering, dekrypterings operationer samt skapar och lagrar krypteringsnycklar. Syftet med en HSM är att skydda känsliga data genom kryptering med nycklar som ligger säkrat utanför det data som skyddas. En HSM hjälper dig att säkra din mest värdefulla data genom att förvara dina krypteringsnycklar i dedikerad hårdvara. Du får tillgång till 2 helt privata HSM partioner som är fullt speglade mellan geografiskt åtskilda datacenters, detta för att försäkra dig om hög säkerhet och tillgänglighet. Dina nycklar lagras alltid i Sverige. General Purpose HSM är en härdad och manipulationsresistent enhet som ger företag ett extra hårdvarubaserat skydd kring sina affärskritiska applikationer, som databaser, PKI och applikationsservrar. Den används för säker kryptering, nyckelgenerering, skydd av nycklar och verifiering av olika slag. Med vår General Purpose HSM som tjänst kan du: En Payment HSM är en dedikerad säker maskinvaru-modul för betalningskortindustrin. Syftet med en Payment HSM är bland annat att auktorisera transaktioner. Payment HSM som tjänst gör att du bland annat kan: di|En HSM ger dig högsta möjliga säkerhet och kryptering för din känsliga data. HSM-tjänsten levereras från Compliors PCI DSS-certifierade plattform. Kryptera ditt data med Compliors redundanta HSM-tjänst så slipper du investera i hårdvara, licenser, support och kunskapsutveckling. Vi sköter det åt dig! Du kan ansluta dina applikationer direkt från ditt datacenter eller annan leverantörs service till vår HSM. Du kan även köra dina applikationer på vår Compliance Hosting Platform för ökad flexibilitet och prestanda. Vi vill höra mer om just era utmaningar och önskemål st|Vad är HSM (Hardware Security Module)? Skydda känslig data med vår HSM som tjänst h1|HSM SERVICE​ h2|Fördelar med HSM HÖGSTA MÖJLIGA SÄKERHETSNIVÅ Du kontrollerar krypto-nycklarna En HSM sparar både tid och kostnader Lätt att integrera Complior erbjuder flera olika HSM-tjänster: General Purpose HSM som tjänst Payment HSM som tjänst Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Produkter Ladda Ner Produktblad Uppfylla krav i säkerhetsstandarder som PCI DSS Säkerställa en hög nivå av säkerhet för dina kunder Öka tilliten hos dina kunder Verifiera kortinnehavarens PIN-kod mot kortutgivare Omkryptera ett PIN-block till behörighetsvärden Validera kort och kryptogram Terminal (POS) remote key injection Driftsätta en P2PE-komatibel PED enhet Kontakta oss Anmäl dig till vårt nyhetsbrev pa|You collect payment from your customers online and you know it’s your company’s responsibility to keep that information secure, confidential and from getting hacked and released into the world of the Internet. It’s your reputation, your brand and your customer’s trust all on the line. So what exactly do you need to do for your business to both meet customer’s expectations, the guidelines and standards set out by governing bodies? Do you need to hire an expert in-house or is there a reliable service you can partner with to outsource to comply? Below we outline the ultimate guide for all you need to know about the Payment Card Industry Data Security Standard (otherwise referred to as PCI DSS) and options for your business. The PCI DSS (Payment Card Industry Data Security Standard) is an information security standard for entities that handle payment card data from the major card companies including Visa, MasterCard, American Express, Discovery and JCB. The standard was created to increase controls around cardholder data to reduce credit card fraud and maintain payment security. Basically if you or your company provide goods or services to clients and collect payment, which most businesses do to stay operational, you must protect, by law, the personal and financial information of those clients to a certain standard. Cyber security is one of the top threats for businesses today whether you are a small ecommerce site or international conglomerate. It is your company’s responsibility to ensure a high level of security; especially when collecting and storing sensitive information like payment data and personal customer information. The Internet is flowing with personal information and in 2018 alone cybercrime cost the global economy over 600 billion dollars! PCI DSS (Payment Card Industry Data Security Standard) is a security standard designed to protect payment data, and every company that handles credit card data has to be PCI compliant. If your company does not meet the standard, you risk fines, a potential loss in revenue and the worst, harm to your reputation, which in today’s online Google reviews & Facebook recommendations world can shatter businesses. One thing to note is that compliance does not come cheap. The complexity, effort and cost required to ensure the safeguarding of sensitive data has led to an increasing number of companies looking for solutions to simplify compliance. Don’t underestimate the importance of PCI scope and accountability for your organization. Understanding the PCI DSS requirements and the benefits of outsourcing compliance hosting can save you and your company many headaches and potential legal battles down the road. There are options to outsource your IT environment to a PCI DSS certified cloud-hosting provider, knowing your customers and business are protected while you focus on scaling your business and achieving your goals and targets. Trusting this to experts can be especially beneficial to small merchants who have limited resources. When you have to comply with laws and regulations like PCI DSS, GDPR and ISO, it is natural to seek efficient solutions to fulfill the requirements. Solutions that simplify scope, simplify security, and simplify compliance without compromising the security level of your organization. Outsourcing operations to a PCI DSS certified cloud provider essentially means handing over some of the responsibility for PCI DSS compliance to someone else. It also means that you, through your hosting provider, automatically reach some of the requirements in PCI DSS. It should be noted that moving to the cloud and choosing a PCI DSS certified cloud provider doesn’t automatically make you PCI DSS compliant. But it does significantly simplify compliance. and see how Complior can partner with you to ensure you become and stay PCI compliant. di|Vi vill höra mer om just era utmaningar och önskemål st|The Ultimate Guide to PCI DSS Cloud Hosting What exactly is PCI DSS? So what’s the solution? Outsourcing hosting to a PCI DSS certified hosting provider They worry about compliance. You worry about your business. h1|Should you outsource? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|(McAfee) pa|Under de senaste åren har hackers varit ett hett ämne i media. De har tagit mycket plats i nyhetsrapporteringar men också inom underhållningsindustrin. I filmer finns det ett populärt tema med antagonisten som en allsmäktig hacker med förmågan att hacka nästan vad som helst. Men vad är en hacker egentligen? I cybersäkerhetsvärlden finns det ett flertal olika klassificeringar. Jag kommer att gå igenom dem i detta inlägg. Det vanligaste sättet att kategorisera hackers är genom att använda sig av färgade hatt kategoriseringen som är hämtad från gamla westernfilmer. Dessa är de goda hackarna. De är ofta etiska hackers som hackar organisationer för att sedan informera dem om deras säkerhetsbrister och ge råd om hur de kan åtgärda dem. Följande klipp är ett bra exempel på en vithatt, som pekade ut en XSS-sårbarhet i TweetDeck: Cybersäkerhetskonsulter kan antingen kategoriseras som vithattar eller blåhattar. De kan hjälpa till med identifiering och minimering av organisationers säkerhetsbrister. Dessutom kan de konsultera och revidera organisationer när det gäller efterlevnad av lagar och säkerhetsstandarder, men de är inte direkt gratis. Dessa hackers agerar i gränslandet mellan det goda och det onda. De kan exempelvis hacka en organisation utan tillåtelse, och sedan kräva betalning eller arbete i utbyte mot att inte avslöja organisationens säkerhetsbrister. Personligen placerar jag även Hacktivister i denna kategori. Hacktivister hackar människor/organisationer som går emot deras ideologiska värderingar. Den mest kända Hacktivist-gruppen är Anonymous. De är ett världsfenomen och har blivit en symbol för moderna hackers i allmänhet med sina Guy Fawkes masker. . They are a worldwide phenomenon and the poster boys for hackers in general, wearing their trademark Guy Fawkes’ masks. Dessa är de elaka hackarna, där somliga är ren ondska. Det finns ett antal underkategorier av svarthattar: : Script kiddies är amatörer och de får ingen som helst respekt från övriga hackers. De laddar ner programvara som andra har gjort och använder dem för hacking. Script-kiddies kan inte programmera, varför många inte ser dem som hackers utan bara wannabes. : Dessa människor hackar av monetära skäl. De kan vara en del av en maffia eller annan typ av brottssyndikat. De är ofta ute efter kortdata, hemlig information och annat som kan användas för utpressning eller för att få en orättvis fördel på aktiemarknaden. : Vem sa att hacking endast kräver tekniska färdigheter? Varför ödsla energi på att få tag på lösenord med hjälp av ”brute force scripts” när du istället kan lura människor att ge dem till dig? Social engineering handlar om att hacka människors hjärnor genom att använda psykologiska trick eller bara utnyttja sårbara människor. De använder en teknik som heter phishing, vilket ger offren en falsk känsla av förtroende och incitament som gör att de avslöjar användarnamn, lösenord, kreditkortsuppgifter etc. En vanlig metod är att skicka e-postmeddelanden till potentiella offer med en bilaga som innehåller skadlig kod. En annan metod är att skapa webbplatser som ser legitima ut (spoofing-webbplatser) och kräva att du skapar ett konto med din email och ett lösenord. Det är mycket vanligt att folk använder samma lösenord för många konton, vilket betyder att lösenordet som gavs till webbplatsen troligtvis kommer att vara samma för e-postkontot. E-postkontot hackas strax efteråt om så är fallet. : Kanske är den största fienden den som finns på insidan? Människor ges mycket ansvar och tillgång när de arbetar för organisationer. Ibland kan det leda till problem. Enligt Verizon 2016 Data Breach Investigations Report, orsakas 1/5 säkerhetsöverträdelser av insiders. Det är därför av största vikt att bibehålla loggar, ha åtkomstkontroll, dela upp arbetsuppgifter och ta bort tillträde från uppsagda anställda. : Det är ingen hemlighet att det finns statliga myndigheter som hackar allierade, neutrala och fientliga länder för att få användbar information och politiska övertag. Det finns hackers som hackar bara för att få en reaktion från offren 1 – 2 troll. Hacking har blivit lite av en sport, där status är kopplat till hur mycket kaos man kan skapa. di|Vi vill höra mer om just era utmaningar och önskemål st|Vithattar Gråhattar Svarthattar Script kiddies Organiserade kriminella hackers Bedragare/Svindlare/Social engineers Insiders Stater Hackers som gör det för skojs skull h1|Hackers - Vilka är de? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Svarthattar Känn din vän, känn din fiende. pa|Outsourcing operations to a third party means that you share responsibility for reaching the requirements in PCI DSS. Your hosting provider fulfills some requirements, and your company has to fulfill others. The PCI DSS requirements focus on 3 areas: technology, processes and people. Your provider provides the cloud infrastructure and is responsible for most of the technology-related requirements. You are responsible for the requirements related to people and processes. When using a third party PCI DSS certified service or hosting platform, your company will have to submit a responsibility matrix to the QSA. The responsibility matrix details who is responsible for what PCI requirements. As you research and evaluate the different potential cloud providers, there are 2 critical assets you will need to obtain from the provider: a document called an AOC and the Responsibility Matrix. The AOC (Attestation for Compliance) is a form that shows the results of the PCI DSS audit, signed by both the company and the PCI QSA. An AOC is the certificate that offers proof that the service provider or merchant is PCI compliant. If you’re a merchant, the service provider’s AOC shows that you fulfill some of the requirements in PCI DSS. An AOC is considered to be ‘Third Party Proof’ by the PCI Council. A responsibility matrix is a list of requirements and indicates which requirements are the responsibilities of the service provider, the merchant, – or two service providers – and which are shared between them. A responsibility matrix is a great way to get an overview as to how much PCI compliance is simplified when choosing to place your environment in a PCI DSS certified cloud. The responsibility matrix should for each requirement specify: It can look something like this: This allows everyone involved to understand their role, undertake and deliver on their responsibility and continually keep your organization PCI DSS certified. It requires a lot of effort to reach the requirements in PCI DSS. Outsourcing allows you to simplify your compliance efforts, saving you a lot on resources. Besides fulfilling the majority of requirements, there are other benefits of choosing a PCI DSS certified cloud platform: 1. One of the biggest motivations for any business decision is cost. You want the best you can get for the lowest price possible. The case is the same with PCI DSS. Using a third party provider for PCI Compliance and security can save your business money. Investing in an outsourced service allows for high levels of protection to be achieved without enormous investment in resources like staff and infrastructure. These cost savings can especially make a huge difference for small companies and startups. 2. Running a business is a lot like juggling. You juggle the different components that make up your business: products, profitability, costs, staff, etc. Add compliance and security to that and balls begin to drop. One of the major benefits of outsourcing to a PCI DSS certified cloud provider is that you gain access to compliance and security experts. Those who know the ins and outs of PCI DSS – this knowledge is part of the package. You can stay up to date with the latest in the industry, including PCI DSS updates, innovative new technology and the latest tactics used by cyber criminals targeting the payment industry. Having industry specialists on hand can also help you better identify vulnerabilities and weaknesses as well as improve incident response capabilities. This allows for a quick response to security and compliance issues. 3. Protecting sensitive data is a 24/7/365 job. Outsourcing IT-operations to a hosting provider means that you get support around the clock, and can respond to threats and incidents immediately. When your network is monitored continuously you significantly reduce potential downtime and its impact on your clients. 4. By choosing a PCI DSS certified provider, you can be sure that there is a high level of security where your data resides. The third party provider goes through the PCI DSS audit process every year, and has to have their security tested each quarter. Using a PCI DSS certified cloud solution validates your security posture as a company that prioritizes safeguarding payment data. This will improve trust among your customers, and can be a powerful tool in your marketing efforts. In fact many customers are now informing themselves prior to selecting where and to whom they provide credit card data, and actively seek out this stamp of security. 5. The goal for businesses is to grow, right? Cloud solutions are scalable in nature, and the same goes for PCI DSS-certified cloud hosting. You don’t have to invest in your own hardware, the hosting provider handles that for you. The solution is scalable as you grow, without affecting security. Ready to audit and ensure your organization is PCI DSS compliant and partner with a trusted Swedish cloud-hosting provider? to our team at Complior to get your free quote. di|Vi vill höra mer om just era utmaningar och önskemål li|How the service provider performs, manages and maintains the required control. How the control is implemented, and what the supporting processes are. How the service provider will showcase evidence as needed that controls are met. st|How does it work? What assets do you need from potential service providers? Attestation of Compliance Responsibility Matrix The 5 benefits of outsourcing to a PCI certified hosting provider Cost Effective Dedicated security specialists Support around the clock Stamp of security Easier to scale h1|PCI DSS Cloud Hosting h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Read previous post: Should you outsource? Continue reading: pa|PSD2 har beskrivits som direktivet som kommer att revolutionera betalningslandskapet. Det var tänkt att direktivet skulle börja gälla den 13 januari i Europa. Vi är nu en bit in i 2018, så det är dags att ställa frågan – var befinner vi oss nu med PSD2? Den Europeiska bankmyndigheten (EBA) tillkännagav det reviderade betaltjänstdirektivet (PSD2) i oktober 2015. Målet med direktivet är att underlätta och öka konkurrensen, stödja tillväxten av fintechföretag och övergången till open banking. Både banker och länder har haft svårt att möta tidsfristen för PSD2. I Sverige har regeringen gått in och skjutit på implementeringen till maj 2018. I Storbritannien uppfyllde endast 3 av 9 banker tidsfristen för Open Banking Regulation/PSD2. Direktivet medför tekniska utmaningar, men också stora möjligheter för banker, fintech-företag och konsumenter. PSD2 kräver att bankerna ska öppna upp sitt data. De måste bygga Application Programming Interfaces (API:er) för att ge tredjepartsleverantörer tillgång till kunddata. API:er är uppsättningar av kod som möjliggör säker åtkomst till backend-data. PSD2 tillåter alltså utvecklare att bygga produkter och tjänster runt bankernas plattform och data. Bankindustrin i Europa har länge kritiserats för att vara ett monopol, vilket i sin tur har lett till att fintech-företag haft liten chans att konkurrera med bankerna. Syftet med PSD2 är att öppna upp för mer konkurrens inom betalningsindustrin. En hel del banker har redan publicerat öppna utvecklingsportaler för att följa lagstiftningen. Några av dem är . HSBC har utvecklat en "HSBC Beta" app där användarna kan se all sin bankinformation, även om de har bankkonton hos flera olika banker. Att bankerna öppnar sina plattformar och ger tredjepartsleverantörer tillgång till kunddata möjliggör för en ökad förståelse av konsumenters vanor och beteenden, vilket i sin tur kan leda till skapandet av nya innovativa produkter och tjänster. Man kan framförallt förvänta sig att se nya tjänster inom pengaförvaltning, utlåning och betalningar. Finansiell information är mycket känslig. Öppna plattformar och ökad rörelse av data ställer höga krav på säkerhet. API:er är säkra, och det kommer att finnas krav på stark autentisering. EBA har publicerat säkerhetsriktlinjer som du kan läsa . Riktlinjerna betonar vikten av att ha processer och rutiner på plats som behandlar informationssäkerhet. Vidare bör banker och betaltjänstleverantörer, som alltid, vara proaktiva när det gäller säkerhetsfrågor. PSPs (payment service providers) kan ha nytta av att testa säkerheten av nya produkter och tjänster genom exempelvis sårbarhetsskanningar eller penetrationstester. Kommer PSD2 att leda till en revolution inom betalningar? Vi får vänta och se. Rom byggdes inte på en dag, och vi kan förvänta oss att se utvecklingen av nya tjänster under de kommande månaderna och åren. Vad vi vet är att utvecklingen mot open banking och skapandet av mer innovativa tjänster är spännande, både ur ett företags- och konsumentperspektiv. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad behöver bankerna göra? Möjliggör konkurrens och innovation Höga krav på säkerhet h1|PSD2 – Var är vi nu? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|En DPIA innebär att vi analyserar din verksamhet per system utifrån GDPR-kraven med hjälp av en matris där vi mappar krav mot status så att du får svart på vitt vad som behöver göras i detalj. Complior erbjuder tjänster och lösningar som hjälper ditt företag att uppfylla kraven i GDPR. di|Våra varje steg på vägen för att följa GDPR. Vi erbjuder som GDPR-utbildning och workshops, tips och råd samt projektledning. Enligt artikel 30 i GDPR bör organisationer dokumentera sin behandling av personuppgifter, och därför göra en registerförteckning. Complior erbjuder en . I mallen kan du fylla i och kartlägga dina behandlingsaktiviteter. vilket innebär att en kvalificerad person ur vårt team fungerar som DPO för din organisation. En praktisk lösning för de som inte har resurserna internt eller som helt enkelt vill outsourca funktionen för att underlätta sitt arbete. Du får en person som inte bara övervakar och agerar kontaktperson för tillsynsmyndigheter, utan även blir en löpande rådgivare inom organisationen i alla frågor som rör behandling av personuppgifter. Den 25 maj 2018 tillämpades GDPR (General Data Protection Regulation) i lag, och alla organisationer som behandlar personuppgifter tillhörande EU/EES-medborgare måste uppfylla kraven i förordningen. Efterlevnad med GDPR kräver juridisk, organisatorisk och teknisk kompetens, då förordningen omfattar alla dessa aspekter. Complior har erfarenhet av att hjälpa företag med lösningar och kunskap för att följa kraven dataskyddsförordningen GDPR. Vi kan hjälpa dig med det mesta kring GDPR! Förordningen har inneburit strängare regler för hur organisationer som är verksamma inom EU kan samla in, få tillgång till, lagra och hantera personuppgifter. Det innebär att företagen måste se till att se har processer, rutiner och tekniska lösningar på plats, så att de kan uppfylla kraven i GDPR. Nyheter i dataskyddsförordningen GDPR Till skillnad mot tidigare då konsekvenserna när man brutit mot reglerna varit försumbara kommer det nu att kunna innebära dryga böter på upp till €20 miljoner eller 4 % av globala omsättningen. Vi vill höra mer om just era utmaningar och önskemål li|Hårdare krav när berörda personer kräver tillgång till sina egna personuppgifter Hårdare krav på hur personuppgifter samlas in och vad som anses vara ett samtycke Berörda personer kan få sina uppgifter flyttade från en organisation till en annan Berörda personer kan få sina uppgifter borttagna under vissa omständigheter Organisationer som drabbats av en incident måste anmäla detta inom 72 timmar från det att dataintrånget upptäcks h1|GDPR h2|Vi kan hjälpa dig att uppfylla kraven i dataskyddsförordningen GDPR-konsultation och projektledning Registerförteckningsmall Data Privacy Impact Assessment (DPIA) DPO som tjänst GDPR TJÄNSTER Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Säkerhetstjänster Kontakta oss Anmäl dig till vårt nyhetsbrev bo|Behöver du hjälp med att upprätthålla efterlevnad med kraven i dataskyddsförordningen GDPR? Vad betyder GDPR för företag? pa|Complior erbjuder DPO as a Service, vilket innebär att en kvalificerad person ur vårt team fungerar som dataskyddsombud eller data protection officer (DPO) för ditt företag. En praktisk lösning för de som inte har resurserna internt eller som helt enkelt vill outsourca funktionen för att underlätta sitt arbete. Därmed får du en person som inte bara övervakar och agerar kontaktperson för tillsynsmyndigheten, utan även blir en löpande rådgivare inom organisationen i alla frågor som rör behandling av personuppgifter. Vissa organisationer måste anlita ett dataskyddsombud för att kunna efterleva dataskyddsförordningen. Dataskyddsombudet kan antingen anlitas externt eller vara någon inom organisation. Om dataskyddsombudet anlitas internt är det viktigt att det inte förekommer någon form av intressekonflikt, d.v.s. dataskyddsombudet får inte vara t ex CEO, CTO, CIO. Förordningen kräver dessutom att dataskyddsombudet har yrkesmässiga kvalifikationer och har sakkunskap om lagstiftning och praxis avseende dataskydd. Ett dataskyddsombud ska ha följande förpliktelser enligt förordningen: Även om du inte har ett formellt krav på att ha en DPO, så är det ändå en god idé att ha en extern person som hjälper till med GDPR-efterlevnad. Vår DPO-tjänst ger dig specialisthjälp utan stora investeringar i vare sig tid eller personal. di|Vi vill höra mer om just era utmaningar och önskemål li|En kompetent resurs som agerar kontaktperson mot datainspektionen samt för kunder/registrerade individer Agerar rådgivare och ger stöd inom organisationen gällande dataskydds- och integritets-frågor Löpande granskar efterlevnad av GDPR inom organisationen och rapporterar till ledningen Löpande utbildar personal Inhämtar relevant juridisk expertis vid behov Vägleda och utbilda organisationen rörande dataskyddsförordningen. Regelbundet kontrollera att förordningen och andra dataskyddsregelverk efterlevs. Agera som primär kontaktperson mot datainspektionen och registrerade. Ska rådgöras/medverka under konsekvensbedömningar. Detta är inget formellt krav, men dataskyddsombudet bör vara den som upprättar och förvaltar registret över behandling. st|DPO as a Service från Complior: Vad säger lagen? Har du inget krav på att ha en DPO? h1|DPO som tjänst h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster GDPR Kontakta oss Anmäl dig till vårt nyhetsbrev pa| di|PCI DSS-efterlevnad är ofta dyrt och komplext. Att utveckla och underhålla en egen PCI DSS-certifierad miljö är ännu mer komplext. Därför väljer många företag att outsourca sin tekniska miljö till en PCI DSS-certifierad molnleverantör. Complior erbjuder PCI DSS Compliant Cloud där vi hanterar din data och du fokuserar på din kärnverksamhet. Placering av din IT-miljö i en PCI DSS-certifierad molnplattform hjälper dig att sänka kostnaderna och uppnå kraven i säkerhetsstandarder. Complior är en PCI DSS nivå 1-tjänsteleverantör. Vi kan hantera ditt data oavsett storlek på ditt företag och antalet transaktioner per år. Vi kan ta ansvar för upp till 75% av kraven i PCI DSS, vilket gör att ditt företag lättare uppnår PCI DSS-efterlevnad. Genom att att flytta din IT-miljö till vårt PCI-certifierade moln minskar du dina efterlevnadskostnader betydligt. Complior is a PCI DSS level 1 certified provider. Our infrastructure, platform and processes are annually audited to ensure the highest level of security required for protecting payment card data. Ditt data finns i en säker privat molnbaserad hostingplattform i Sverige, vilket betyder att du alltid behåller kontrollen över kortdata. Med funktioner som logghantering har du full kontroll på vem som gjort vad och när. Du hostas i de säkraste driftsmiljöerna och dina affärskritiska data lagras i några av Sveriges säkraste datacenter. Våra datacenter är katastrofskyddade och fysiskt åtskilda, med maskinvara av högsta kvalitet och fullständigt redundant arkitektur. Vi ser till att dina operativsystem fungerar som det ska 24/7/365. Med tekniska experter, kunnig support, en dedikerad Service Manager och intern PCI DSS-kompetens, har du centrala kontaktpunkter som känner till dina behov och är till din tjänst. Vi vill höra mer om just era utmaningar och önskemål li|PCI DSS nivå 1-certifierad infrastruktur, plattform och processer som granskas varje år av en extern Quality Security Assessor (QSAs) Complior tar ansvar för nästan alla teknik-relaterade krav i PCI DSS såsom hårdvara och operativsystem PCI DSS operations och support-team 24/7 Complior ser till att alla hårdvaru- och operativsystem är härdade, penetrationstestade och skannade för sårbarheter Advise and help with the design of customer’s networks to ensure PCI DSS compliance Monitoring Daglig Hardware Security Module (HSM) för att underlätta kryptering h1|PCI DSS COMPLIANT CLOUD h2|Följ PCI DSS-kraven med en certifierad molnmiljö Läs mer FÖRDELAR MED PCI DSS COMPLIANT CLOUD Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy bo|Du uppfyller 75% av PCI DSS-Kraven Vad ingår i PCI DSS Compliant Cloud Kostnadseffektivt PCI DSS certifierad molnleverans är en snabbfil mot PCI DSS efterlevnad. Full kontroll på din data Infrastruktur i säkra datacenter i Sverige Intern expertis pa| di|TicTac Mobile är ett verktyg för tidrapportering och projektstyrning, så enkelt att använda att det faktiskt blir gjort. TicTac har sedan 2002, varit ett svenskt företag som gör det möjligt för kunder att enkelt spåra, projektleda och styra fakturering för tid på specifika uppgifter. Med en App som är enkel att ladda ner, en programvara som integreras med olika redovisningsprogram för fakturering och förmågan att budgetera och prognostisera intäkter, bemanning och laddningstid; tillgodoser TicTac sina kunders behov oavsett om det är frilansare, konsultföretag med få anställda eller organisationer med flera team. Som ett framgångsrikt, växande, familjeföretag insåg teamet på TicTac att de behövde hitta en partner som kunde göra mer än bara tillhandahålla servrar. Med TicTac´s fortsatta tillväxt fann de ett ökat behov av ett säkert, pålitligt och hanterbart sätt att uppfylla sina IT-infrastrukturkrav. Virtuella servrar som kunde tillåta TicTacs programvara att fungera i en hårdvaruoberoende miljö samtidigt som den är belastningsbalanserad. TicTac identifierade de tre främsta kraven hos en partner som: stabilitet, säkerhet och personlig service av kompetent personal. Nästan ett helt decennium har gått sedan TicTac inledde ett samarbete med oss på Complior. Under de tio åren har behoven anpassats och förändrats och det är flexibiliteten och viljan att göra det lilla extra som har främjat partnerskapet och byggt en stark relation. Vårt team av skickliga experter ser till att IT-kraven hanteras och att alltid sätta kunden först och finnas tillgängliga, vilket har uppskattats av TicTac. "Stabilitet är ett måste för att behålla våra kunders förtroende och Complior tillhandahåller det för oss." Carl Zetterberg, TicTacs VD lyfter fram förmågan att diskutera och rådgöra med kompetent personal som ett mycket värdefullt inslag i Compliors leverans. TicTac valde att hantera implementeringsprocessen själva och har idag till och med sin mjukvaruutvecklingsmiljö hos Complior. Carl fortsätter med att säga hur mycket detta har ökat effektiviteten eftersom han kan komma åt och arbeta oavsett var han befinner sig i världen. Teknikvärlden fortsätter att förändras och anpassas i en rasande takt och företag som TicTac måste följa med. En sak som inte förändras är att vårt team alltid finns tillgängligt för våra kunder, ästan som en förlängning av deras egna IT-avdelning som erbjuder den mest aktuella kunskapen i branschen, ett brett utbud av tjänster och kanske det viktigaste; att ta sig tiden att stanna upp och diskutera behov / utmaningar som har uppstått och tillsammans med kunden ta fram den bästa lösningen för dom. Vi vill höra mer om just era utmaningar och önskemål h1|kundcase h2|BAKGRUND Utmaningen Lösningen Kom igång redan idag h3|Carl Zetterberg, h4|VD sp|Meny SV EN Meny SV EN Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Alla företag är olika, och detsamma gäller era säkerhetsbehov. Förutom PCI DSS-tjänster kan våra PCI DSS experter fungera som din rådgivare i efterlevnad och säkerhetsfrågor. Vi kan hjälpa dig med PCI DSS konsulttjänster och utbildning. Detta säkerställer en hög säkerhetsnivå i hela organisationen. Genom vårt nära samarbete med PCI DSS QSA företag hjälper vi er genom hela resan från start till mål mot PCI DSS certifiering. Följ PCI-kraven till 100% med Complior Som en , kan Complior hantera infrastrukturen och erbjuda de tjänster som krävs över tid för att nå PCI DSS-certifiering och behålla den. QSA-tjänster i kombination med vår Compliance Hosting Platform säkerställer att du följer de 12 kraven i PCI DSS samt täcker upp mot 75% av din efterlevnad. Med andra ord en trygg och säker resa mot PCI DSS efterlevnad. PCI DSS (Payment Card Industry Data Security Standard) är en säkerhetsstandard för företag som hanterar kreditkortuppgifter. Syftet med PCI DSS är att skydda dessa uppgifter från stöld och bedrägerier, och efterlevnad av säkerhetsstandarden säkerställer en hög IT-säkerhet för användare och slutkunder. PCI efterlevnad är en kontinuerlig process som kan vara både tidskrävande och kostsam. Complior kan hjälpa ditt företag uppnå kraven i PCI DSS. Ta rätt steg för att skydda ditt företag och era kunder. Vi kan med ett nära samarbete med erfarna PCI QSA:er (Payment Card Industry Qualified Security Assessor) erbjuda PCI DSS-tjänster världen över och hjälpa dig validera efterlevnad med PCI DSS. Complior har ett nära samarbete oberoende QSA-företag och certifierade PCI QSA (Payment Card Industry Qualified Security Assessor) revisorer som är kvalificerade av PCI SSC-rådet att bedöma efterlevnad av PCI DSS-standarden hos företag och organisationer. Vi använder oss av QSAer som alltid uppdaterade med det senaste, så att du alltid kan känna dig säker på att din miljö utvärderas enligt de allra senaste kraven. di|Vi vill höra mer om just era utmaningar och önskemål st|Hanterar ditt företag kortdata och behöver följa PCI DSS? PCI QSA team av säkerhetsexperter h1|QUALIFIED SECURITY ASSESSOR (PCI DSS QSA) h2|Mer än QSA tjänster - Complior är er partner PCI QSA TJÄNSTER Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Säkerhetstjänster Kontakta oss Anmäl dig till vårt nyhetsbrev pa|När ett företag har fått en PCI DSS-certifiering börjar arbetet med att förbli certifierad. Med hjälp av ett nära samarbete med en godkänd ASV (Approved Scanning Vendor) kan Complior hjälpa företag med kvartalsvisa sårbarhetsskanningar för att uppfylla kraven i PCI DSS. Företag med PCI DSS-certifiering har som krav att utföra en Approved Scanning Vendor (ASV) Scan varje kvartal enligt direktiv 11 i regelverket. Det innebär bland annat att man kontrollerar publikt nåbara gränssnitt av kortdata (CDE) kvartalsvis, samt skannar publika och lokala gränssnitt när man utfört större förändringar i IT-miljön. Complior kan via ett nära samarbete med en partner erbjuda ASV Scan som tjänst. Vi erbjuder det som en tjänst med två olika metoder beroende på om du vill managera själv – Scan it Yourself (SIY) – alternativt att vi managerar åt dig – We Scan It For You (WSIFY). Kunden får ett konto till ASV-plattform där de själva hanterar sina scans kvartalsvis och bedömer eventuella sårbarheter och nödvändiga åtgärder på egen hand. Kunden ger Complior sina IP-adresser och våra erfarna säkerhetskonsulter utför scans kvartalsvis. Resultatet dokumenteras i en detaljerad rapport som levereras till kund. När Complior managerar processen behöver du som kund inte anlita ytterligare säkerhetsexperter eller assessors, eftersom vi sköter allt åt dig. Complior blir din centrala kontaktpunkt. di|Vi vill höra mer om just era utmaningar och önskemål li|Utföra externa sårbarhets-scan i enlighet med PCI DSS-direktiv 11.2.2. Upprätthålla säkerheten och integriteten av de system och verktyg som används för att utföra scan. Göra rimliga ansträngningar för att en scan: Inte påverkar kundens ordinarie verksamheten Inte gör intrång eller avsiktligen ändrar kundens IT-miljö Scan av alla IP-adresser och domäner som tillhandahålls av kund för att identifiera aktiva IP-adresser och tjänster. Konsultera med kunden om de IP-adresser som hittas, men som kunden inte har uppgett, bör ingå. Besluta huruvida scan av kundens komponenter har uppfyllt skanningskravet. Tillhandahålla adekvat dokumentation i rapporten som påvisar compliance eller icke-compliance av kundens komponenter i relation till krav. Lämna in ASV Scan Report Attestation of Scan Compliance. Behålla rapporter och relaterade arbetsprodukter i två år. Förse kund med medel för att kunna bestrida fynden i rapporten. Upprätthålla en intern kvalitetssäkrad ASV-process. st|Behöver du hjälp med kvartalsvisa sårbarhetsskanningar (ASV) för att följa PCI DSS? ASV Scan ett krav i PCI DSS TVÅ OLIKA METODER SCAN IT YOURSELF (SIY) WE SCAN IT FOR YOU (WSIFY) Ansvarsområden ASV h1|Sårbarhetsskanningar (ASV) h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster Qualified Security Assessor (PCI DSS QSA) Kontakta oss Anmäl dig till vårt nyhetsbrev pa|PCI DSS (Payment Card Industry Data Security Standard) är en säkerhetsstandard framtagen av Visa, MasterCard, Discover, American Express och JCB för att skydda kortdata. Att uppnå en PCI certifiering ställer höga krav på företagets kunskap om säkerhet. Complior kan tillhandahålla erfarna PCI QSA:er (Payment Card Industry Qualified Security Assessor) kan utvärdera din säkerhet enligt kraven i PCI DSS. En PCI QSA, certifierad av PCI SSC, utför revisionen. QSA:n granskar då om ditt företag följer de 12 kraven i PCI DSS. när de utvärderar företag som vill bli PCI DSS-certifierade. När ditt företag klarar valideringen kommer vår QSA att leverera en Report on Compliance (RoC) och Attestation of Compliance (AoC). Dessa intygar kundens efterlevnad med PCI DSS. PCI-standarden utvecklas ständigt, men våra QSA-säkerhetsspecialister har omfattande kunskaper inom området och kan granska dina IT-miljöer enligt de senaste kraven. di|Vi vill höra mer om just era utmaningar och önskemål li|Åtgärda gaps Åtgärda sårbarheter Validering st|VILL DU BLI PCI DSS-CERTIFIERAD? ELLER ÄR DET DAGS ATT UTVÄRDERA ATT DU UPPNÅR KRAVEN? HUR SER EN PCI VALIDERING UT? VAD HÄNDER EFTER PCI-GRANSKNINGEN? h1|PCI DSS Validering h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster Qualified Security Assessor (PCI DSS QSA) Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|En Gap-analys är ett vanligt verktyg som företag som befinner sig i processen att bli PCI DSS-certifierade använder för att identifiera vilka steg som behöver tas för att uppfylla kraven i säkerhetsstandarden. Complior kan erbjuda gapanalys som utförs av våra säkerhetsexperter. En PCI Gap-analys är en utvärdering av kundens nuvarande läge i relation till de 12 kraven i PCI DSS. Den identifierar även områden som behöver ses över och du får en rapport över vilka förändringar och/eller åtgärder som krävs för att ditt företag ska kunna få en PCI DSS certifiering. Att uppnå en så pass hög säkerhetsnivå som PCI DSS ger är en investering. Det är ett effektivt sätt att motarbeta attacker som kan komma att kosta miljontals kronor om kreditkortdata äventyras. En Gap-analys kan ge ditt företag en konkurrensfördel vad det gäller säkerhet, PCI DSS och skydd av slutkunders kreditkortsinformation. Gap-analys är en grundlig, objektiv granskning av din efterlevnad. Tjänsten tillhandahålls av erfarna PCI QSA:er. Analysen kan minska komplexiteten, förvirringen och kostnaden för PCI DSS-efterlevnad. PCI DSS-efterlevnad kan hjälpa till att undvika förluster efter cyberattacker som ofta kostar miljoner om kortinnehavarens data äventyras. Genom att utföra en Gap-analys kan vi erbjuda ditt företag en konkurrensfördel genom vår säkerhetskompetens inom PCI och skydd av känslig data. di|Vi vill höra mer om just era utmaningar och önskemål st|Hur nära är ni att följa kraven i PCI DSS? Ta reda på detta med hjälp av en Gap-analys Identifiera säkerhetshål i din miljö Fördelar med Gap-analys h1|GAP-ANALYS h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster Qualified Security Assessor (PCI DSS QSA) Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Det är flera steg i arbetsflödet för att uppnå PCI DSS compliance. Här presenterar vi en visuell överblick. di|Vi vill höra mer om just era utmaningar och önskemål h1|PCI DSS Arbetsflöde h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Att inte vara medveten om potentiella säkerhetsproblem är en av de största riskfaktorerna för företag. Så varför inte ha ett proaktivt förhållningssätt till IT-säkerhet? Ett penetrationstest kan belysa eventuella brister innan de blir potentiella hot som någon kan dra fördel av. Låt Compliors team av säkerhetsexperter testa säkerheten i din organisation! Ett penetrationstest är en simulerad men realistisk cyberattack som kan belysa hur djupt en angripare skulle kunna tränga in i en miljö. Pentester är ett viktigt steg mot att uppnå PCI DSS efterlevnad, och då simulerar man en attack specifikt mot en PCI-certifierad miljö. Under ett penetrationstest använder experter samma avancerade tekniker som en faktisk hackare använder för att ta sig in i en skyddad miljö i syfte att fastställa eventuella säkerhetshål och brister i system. Penetrationstestet avgör hur djup en skadlig angripare skulle kunna tränga in i en miljö, och om försvaret på plats är tillräckligt. Fördelen med dessa tester är att man kan få en bättre förståelse för sin sårbarhet, speciellt i relation till PCI DSS-regelverket, men även om man inte har som krav på sig att efterleva säkerhetsstandarder. Compliors team av säkerhetsexperter kan utföra pentest för att hitta dina säkerhetsbrister. Vi kan erbjuda olika pentest beroende på dina behov: En QSA testar servrar och externa tjänster för att identifiera sårbarheter och brister på en infrastruktur och applikationsnivå. När penetrationstestet är klart får kunden en rapport som listar säkerhetsproblemen, den potentiella inverkan dessa kan ha och åtgärder för att motverka dem. Det här hjälper dig att få en bättre förståelse för sårbarheter och hur hackare kan utnyttja dem. di|Vi vill höra mer om just era utmaningar och önskemål li|Penetrationstest i enlighet med kraven i PCI DSS Penetrationstest av webbapplikationer Penetrationstest av infrastruktur st|Känner du till svagheterna i dina system? Minska dina risker med ett Penetrationstest Vad är ett penetrationstest? Penetrationstest hjälper dig att få en bättre förståelse för dina system h1|Penetrationstest h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster INFOSEC Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|En hackerattack kan leda till både intäkts- och kundförluster, och i värsta fall även stöld av personuppgifter. Var proaktiv och låt Complior hitta dina sårbarheter innan någon annan gör det. Med en effektiv skanning av sårbarheter kan vi hitta säkerhetsrisker och brister i dina system innan någon annan upptäcker dem. En sårbarhetsskanning innebär att man skannar ett nätverk efter sårbarheter. Dessa sårbarheter listas i en rapport, och rangordnas efter allvarlighetsgrad. Med våra scanning-tjänster av servrar kan din organisation ha en proaktiv inställning till säkerhet genom att lokalisera de brister och hål som finns i dina system innan någon annan hinner dra fördel av dem. För företag som måste följa PCI DSS (krav 11.2) är utvärdering av sårbarheter ett krav. Dessa företag måste kvartalsvis göra sårbarhetsskanningar. Alla organisationer kan dock dra nytta av att göra en sårbarhetsskanning. Våra skanningstjänster innebär att din organisation kan ha ett proaktivt tillvägagångssätt när det gäller säkerhet, eftersom vi hjälper våra kunder att identifiera brister och utnyttjanden i sina system innan någon annan gör det. di|Vi vill höra mer om just era utmaningar och önskemål li|Vi går igenom IP-adresser för att upptäcka sårbarheter Vi erbjuder både interna och externa sårbarhetsskanningar - vi kan skanna både privata och publika IP adresser. Vi tar fram en rapport där sårbarheterna rangordnas efter allvarlighetsgrad Du får rapporten skickad till dig som en krypterad fil Du får en lista med rekommendationer över hur du kan lösa sårbarheterna Snabbt och enkelt sätt att ge din organisation en tydlig bild av hur säkerhet ser ut i dina system och vad du behöver göra för att förbättra säkerheten. En sårbarhetsskanning kan också identifiera de system som behöver patchas eller uppdateras. Kostnadseffektivt eftersom du bara betalar för tjänsten st|Vad är en sårbarhetsskanning? Det finns många fördelar med sårbarhetsskanning h1|Sårbarhetsskanning h2|Läs mer Kom igång redan idag h6|Hitta och åtgärda sårbarheter i dina system sp|Meny SV EN Meny SV EN Säkerhetstjänster INFOSEC Kontakta oss Anmäl dig till vårt nyhetsbrev pa|En applikation som är svag i något tekniskt område gör sig själv till ett mål för eventuella yttre hot, vilket ökar sannolikheten för att applikationen kommer att attackeras. Secure Code Review är en process som identifierar en osäker bit kod i en applikation som en skadlig användare skulle kunna utnyttja för att äventyra sekretess, integritet eller tillgängligheten av din applikation. Syftet med Secure Code Review är att säkerställa att koden skyddar tillgångarna som den har byggts för att hantera, såsom data, affärshemligheter och finansiell information. Complior erbjuder säkra tjänster där våra specialister granskar din kod för att säkerställa en hög teknisk säkerhet för dina applikationer. Företag bör göra en Secure Code Review före lansering av applikationer, så att kan man identifiera och åtgärda brister innan det är försent. Låt oss granska din kod så att du vet att dina applikationer är säkra och skyddade! di|Vi vill höra mer om just era utmaningar och önskemål li|Våra tekniska säkerhetsexperter med många års erfarenhet kan identifiera eventuella säkerhetsrisker som utvecklare kan ha missat. Secure Code Review förbättrar säkerheten av din applikation. Det är en kostnadseffektiv lösning för att verifiera applikationssäkerhet. st|Vad är Secure Code Review? Låt oss hjälpa dig att säkra din applikation h1|Secure Code Review h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster INFOSEC Kontakta oss Anmäl dig till vårt nyhetsbrev em|Kan det största säkerhetshotet för ditt företag finnas i din kod? Hitta brister och säkra din applikation med vår tjänst för kodgranskning. pa|En brandvägg är till för att förhindra icke-auktoriserad trafik från att nå ett nätverk. Därför blir det väldigt viktigt att du regelbundet granskar säkerheten för dina brandväggar. Complior kan erbjuda Firewall Ruleset Audits, för att säkerställa en hög brandväggssäkerhet och hjälpa ditt företag att följa kraven i PCI DSS. En Firewall Ruleset Audit är en utvärdering av hur säkert ett nätverk faktiskt är. En säkerhetsspecialist granskar brandväggens konfiguration och regler för att avgöra om de uppfyller kraven för efterlevnad. Firewall audit är ett krav i många säkerhetsstandarder, som ISO 27001, PCI DSS och HIPAA. Men det kan även ses som praxis att regelbundet granska sin brandväggssäkerhet. För att kunna uppfylla kraven i PCI DSS ska en utvärdering av brandvägssäkerhet utföras åtminstone en gång varje halvår, eller när ett företag har gjort stora förändringar i brandväggskonfigurationen eller brandväggsreglerna. Under en Firewall Ruleset Audit kommer kvalificerade säkerhetsspecialister att bland annat granska följande: Complior har tillgång till ett team bestående av erfarna PCI QSA:er som kan bedöma din efterlevnad av kraven i PCI DSS och genomföra Firewall Ruleset Audits. di|Vi vill höra mer om just era utmaningar och önskemål li|Djup analys av källa och destination Djup analys av protokoll Användaranalys Duplication eller ''ANY rules'' Regelordning ''Correct Deny All'' förfrågan inte specificerad st|Vad ingår i en revision av brandväggar? Låt oss genomföra din Firewall Ruleset Audit h1|Firewall Ruleset Audits h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster Qualified Security Assessor (PCI DSS QSA) Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Hjärtat av våra Compliant Cloud Services är tokenisering. Tokenisering-tekniken gör att all känslig information, såsom kortdata, flyttas ut ur dina system och ersätts med ett token. Ursprungsdatan förvaras i vår PCI DSS-certifierade infrastruktur, som erbjuder högsta möjliga säkerhet. Dina system lagrar aldrig CHD (Card Holder Data), utan endast token, vilket minskar ditt PCI DSS scope. Hanterar ditt företag känslig data såsom personuppgifter, kreditkortsinformation, användarnamn, lösenord? Om ni gör det så betyder det troligtvis också att ni måste uppfylla säkerhetsstandarder såsom PCI DSS eller GDPR för att säkerställa att data hanteras säkert. För att underlätta uppfyllandet av de krav som specificeras i säkerhetsstandarder är våra Compliant Cloud Services en kostnadseffektiv lösning. Du outsourcar känslig data till Complior, och slipper att tänka på lagring av känsliga uppgifter – det sköter vi! Det kan vara svårt och ansträngande för företag att själva att hantera lagring av känslig information. Våra Compliant Cloud Services underlättar behandling av känslig information genom att flytta ut känslig data från dina system utan att du behöver investera i hårdvara. Detta är perfekt för dig som vill vara säker på att din organisations känsliga data lagras säkert och kostnadseffektivt. Med Compliant Cloud Services drar du nytta av Complior’s PCI DSS-certifierade infrastruktur, som erbjuder högsta möjliga säkerhet. - Du tar emot dina kunders kreditkortsinformation precis som tidigare, men undviker risken med att lagra det i egna IT-system. Känslig data om kortinnehavaren, såsom kreditkortsnummer, utgångsdatum och namn, tas bort från dina system och ersätts med en token. Känslig data lagras i vår PCI DSS-certifierad infrastruktur. Det gör att dina system aldrig lagrar primära kontonummer (PANs) vilket minskar ditt scope för PCI DSS avsevärt. - Kan man hantera bokningar utan att hantera kortdata? Med Booking är det möjligt. Med hjälp av tokenisering-teknik tar vår bokningsmotor bort kortdata ur hotellbokningar, vilket underlättar efterlevnad av PCI DSS. - Underlätta din hantering av betalningar. Med Payment Hub kan du skapa betalningsflöden och enkelt byta kortinlösare – för ökad flexibilitet för dig och dina kunder. - Vi tar över ansvaret för dina profildata, såsom namn, telefonnummer och födelsedatum utan att slutanvändaren märker någon skillnad. Användare anger sin personliga information som vanligt, vi hanterar systemen i bakgrunden och du slipper tänka på data eller dess säkerhet. di|Vi vill höra mer om just era utmaningar och önskemål st|Vill du följa regelverken på ett kostnadseffektivt sätt? Outsourca känslig data TOKENIZATION SERVICE BOOKING PAYMENT HUB PROFILE SERVICE h1|COMPLIANT CLOUD-TJÄNSTER h2|Tokenisering så att du lättare uppnår kraven i PCI DSS COMPLIANT CLOUD-TJÄNSTER COMPLIANT CLOUD-TJÄNSTER Fördelar Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Produkter Lagras i PCI-certifierade moln WAF-skyddat Två-faktors autentisering tillgänglig PCI DSS-certifierad tjänst HSM-kryptering av data HSM PKI solution​ Easy integration​ 99.99% SLA​ Customisable user interface​ Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Booking hjälper OTAs, Channel Managers och andra aktörer inom hospitality och resebranschen att flytta ut kortdata från sina system. Lösningen förenklar bokningsprocessen, efterlevnad av PCI DSS och förbättrar ditt företags säkerhet. Booking utvecklades för att förenkla överföringen av känslig information mellan aktörer i bokningskedjan. Traditionellt har bokningsinformation och kreditkortsinformation skickats i klartext mellan aktörer i bokningsprocessen. Med Booking sätts våra system i mitten – vi söker och ersätter betalkortdata – så att du slipper hantera kortdata. Booking fungerar med hjälp av tokenization, där kortdata ersätts med ett token. Tokenization är extremt säkert, eftersom att du slipper riskerna med att ha kortdata i dina system. Lösningen flyttar betalkortdata ut ur dina system, och känslig data lagras istället i Compliors PCI DSS-certifierade plattform. Complior Booking flyttar ut kortdata från dina system med hjälp av tokenization - vilket gör att dina system inte längre omfattas av PCI DSS. Complior Booking ökar säkerheten då det inte finns något av värde att stjäla, samtidigt som du sparar in kostnader för efterlevnadsprojekt. Complior Booking är lätt att använda och integreras med ett par API förfrågningar. Lösningen kan även integreras med bokningsmotorn på din hemsida. I vår säkra booking-portal kan du få en överblick över bokningsdetaljer och betalinformation. di|Vi vill höra mer om just era utmaningar och önskemål li|En person gör en bokning på en resesajt online (Online Travel Agency). Resebyrån skickar bokningsinformationen, inklusive kreditkortinformation i klartext till vår bokningsmotor Bokning. Bokningsmotorn söker och ersätter kortdata med ett token, som sedan exempelvis skickas till en Channel Manager eller fastighetshanteringssystem (Property Management System). De skickar sedan bokningsinformationen till hotellet. Hotellet kan också hämta kortinformationen om det behövs för betalning. st|Förenkla ditt bokningssystem med hjälp av tokenization! Ett säkrare sätt att skicka bokningsinformation Hur funkar Booking? Fördelar h1|Booking h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN PRODUCTS COMPLIANT CLOUD-TJÄNSTER Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Betalningslandskapet idag är komplext. Ditt företag är en del av en kedja bestående av aktörer som PSPs, inlösare, banker och kortföretag – alla som vill ha sin bit av kakan. Complior kan erbjuda 366 Payment Hub, ett flexibelt verktyg där du återtar kontrollen över betalningar. Payment Hub är ett verktyg för betalningar som tillåter dig hantera transaktioner från olika kanaler, som butik och online. Lösningen låter dig även bestämma vilken kortinlösare som ska användas till vilka betalningar. Att byta inlösare är oftast krångligt. Payment Hub ger ditt företag friheten att skapa betalningsflöden och välja kortinlösare via en enda integrationspunkt – du kan även byta inlösare i realtid och vid varje enskild transaktion. Detta tillåter dig att jämföra och utvärdera kortinlösare utifrån kriterier som transaktionsavgift, räckvidd och nedtid – så att du alltid kan göra det bästa valet för ditt företag och dina kunder – Att kunna välja fritt mellan kortinlösare effektiviserar din verksamhet. Du kan minska transaktionskostnader, nå fler marknader och därmed öka din tillväxt. – Payment Hub minskar dina kostnader på ett flertal sätt. Integrationen av lösningen är enkel med hjälp av API-förfrågningar; du slipper investera i hårdvara. Lösningen är även skalbar och kan växa i takt med dig. – I Payment Hub Portal får du en skräddarsydd och detaljerad översikt över betalningar och transaktioner. – Payment Hub är byggd med hjälp av tokenization vilket låter dig genomföra betalningar utan att hantera kortuppgifter. Dina system lagrar aldrig kortdata, endast token – vilket förenklar efterlevnad av PCI DSS. di|Vi vill höra mer om just era utmaningar och önskemål st|Letar du efter en flexibel lösning för betalningar? Genomför transaktioner mer effektivt Välj den inlösare du vill – när du vill Nå fler kunde Spara tid och minska kostnader Portal för transaktioner och statistik Kortdata? Inga problem! h1|Payment Hub h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN PRODUCTS COMPLIANT CLOUD-TJÄNSTER Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Att hantera kortdata innebär många säkerhetsrisker för företag, och du blir en naturlig måltavla för kriminella. Och inte nog med det, du blir även hantera tillsynsmyndigheter och organisationer och följa säkerhetsstandarder som PCI DSS. Med kan du flytta ut känslig data från dina system och öka säkerheten och tryggheten för dig och dina kunder. Tokenisering är en teknik inom säkerhet för hantering och behandling av känslig data. Med tokenisering tas känsliga uppgifter bort från dina system och ersätts med ett token som inte har något eget värde. Detta token tillåter behandling utan att avslöja den värdefulla informationen. Känslig information som kortdata och personuppgifter lagras inte i dina system, vilket underlättar efterlevnad av PCI DSS. Tokenisering skyddar kortdata och annan känslig data, vilket hjälper dig följa säkerhetsstandarder som PCI DSS. Känsliga uppgifter om kortinnehavaren, såsom kreditkortsnummer, utgångsdatum, och namn, tas bort från dina system och ersätts med ett token som inte har något eget värde. Tjänsten funkar med hjälp av API-förfrågningar, vilket tillåter företag att skicka och ta emot data. - Tjänsten lagrar känslig data i vår PCI DSS-certifierade infrastruktur, krypterat i en databas och knutet till ett alias, en så kallad token, som inte har något egenvärde; det gör att dina system aldrig lagrar känslig data. – Du behöver inte investera i dyr hårdvara eller flytta några system. Kostnaden baseras på antalet PAN som lagras, och du betalar för det du behöver. När ditt företag växer kan kapaciteten justeras enkelt. - Skulle du utsättas för ett brott finns det ingen konfidentiell information att stjäla! - Tokenisering byggs med virtuella servrar på dedikerad hårdvara. Ditt känsliga data, t.ex. kortuppgifter är alltid skyddat eftersom vi följer en policy av ’least privilege’. Den tekniska integrationen av tjänsten har en minimal inverkan på ditt nuvarande system och består endast av några API-förfrågningar. För mer information . di|Vi vill höra mer om just era utmaningar och önskemål st|Är du trött på att lagra kreditkortdata? Bli inte en måltavla! Vad är Tokenisering? Skydda kortdata och förenkla PCI DSS-efterlevnad Säker lösning Kostnadeffektivt Inget att stjäla Business as usual h1|Tokenisering h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN PRODUCTS COMPLIANT CLOUD-TJÄNSTER Kontakta oss Anmäl dig till vårt nyhetsbrev bo|Tokenization Service pa|Profile Service är en perfekt lösning när du behöver lagra profildata som en del av din verksamhet, men inte vill utsätta dig för säkerhetsrisken det innebär att ha det i sitt eget IT-system. Det blir ingen skillnad för dina slutanvändare som anger sina personuppgifter som vanligt, men istället för att de hamnar hos dig tar vi ansvar för dem i vår PCI DSS-certifierade infrastruktur. Känslig data, såsom personnummer, adresser, telefonnummer, födelsedatum och namn, ersätts med en oläslig token i dina system som inte har något värde i sig. Skulle du utsättas för ett intrång finns det ingen konfidentiell information i systemet att stjäla. Det är faktiskt så enkelt Med Profile Service behöver du inte investera i hårdvara eftersom vi tillhandahåller en infrastruktur som uppfyller den högsta nivån av säkerhet. Du betalar bara för vad du behöver och lagrar, vilket är en bråkdel av kostnaden för egen hårdvara och underhåll. Den tekniska integrationen av tjänsten görs med ett antal API-förfrågningar som har en minimal inverkan på ditt nuvarande system. Efterlevnad av GDPR underlättas betydligt med Profile Service eftersom man inte själv lagrar något data av värde. Profile Service är en av Compliors Compliant Cloud Services som är byggda med virtuella servrar på dedikerad hårdvara i en PCI DSS-certifierad infrastruktur. De erbjuder bästa tillgänglig säkerhetspraxis och minimerar risken för läckage. Vi följer en policy av ’least privilege’ vilket innebär att vi alltid vet vem som har tillgång till exakt vilka uppgifter och när så att vi kan garanter att ditt känsliga data alltid är skyddat. Låt Complior ta ansvar för all känslig information som utgör en säkerhetsrisk och kan utsätta dig för böter. di|Vi vill höra mer om just era utmaningar och önskemål st|Letar du efter en enklare lösning för att följa EU:s nya lagar? Betala bara för det som behövs Molntjänst med bästa säkerhetspraxis h1|Profile Service h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN PRODUCTS COMPLIANT CLOUD-TJÄNSTER Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Office 365 Exchange online, Sharepoint online, Onedrive och Teams. di|Vet du om att Office 365 saknar backup och återställnings-möjligheter? Har ni förlorat data i Office365? Det är ert ansvara att säkerställa backup av data i Office365. Vi hjälper företag och organisationer att säkerställa säkerhetskopior av data i Office365, vilket ger er tryggheten att alltid kunna återställa er data vid händelse av oavsiktlig radering eller förlust. Många företag har idag antagit en molnstrategi som innefattar tjänsten Office 365 från Microsoft, detta för att tillgodose anställdas behov av e-post mail och kommunikation. Organisationer ser fördelar med att inte behöva administrera och hantera egna servrar och infrastruktur, utan istället erbjuda ett enkelt sätt för sina medarbetare att samarbeta och dela dokument över en molntjänst. När man ansluter sig till Office 365 är det lätt att få uppfattningen om att allt är omhändertaget av Microsoft. Microsoft tar stort ansvar för en hel del i sitt erbjudande samt ger en bra service för sina kunder. Men Microsofts primära fokus ligger på att hantera infrastrukturen för Office 365, för att upprätthålla tillgängligheten för sina kunder. Ni bär det fulla ansvaret för er egna data. Missuppfattningen att Microsoft säkerhetskopierar dina uppgifter fullständigt är ganska vanligt och kan få väldigt allvarliga konsekvenser om detta ansvar inte uppmärksammas av er som kund. Vi erbjuder ett säkert, enkelt och kostnadseffektivt sätt för er att ta säkerhetskopior på er data samt göra snabba och trygga återläsningar. Vi vill höra mer om just era utmaningar och önskemål h1|Backup av Office365 h2|Vet du att... 6 Viktiga anledningar till Backup av Office 365 Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Produkter Oavsiktlig radering av data Missförstånd och avvikande Retention policy Internt sabotage, dataförlust Externt sabotage, dataförlust Lag och efterlevnadskrav (Compliance) Migreringsprojekt och hybrida installationer mot O365 Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Tic-Tac Mobile behövde en pålitlig IT-partner MeaWallet sökte en pålitligt molnleverantör Säker hosting av en revolutionerande PSD2 lösning Channel Manager använder tokenisering för att ersätta kreditkortsdata di|"Stabilitet är ett måste för att behålla våra kunders förtroende och Complior tillhandahåller det för oss." “Because they are relatively small, we benefit from a very direct and strong relationship with the experts. This makes resolution times shorter than with other providers.” KUNDCASE KUNDCASE KUNDCASE KUNDCASE Vi vill höra mer om just era utmaningar och önskemål h1|KUNDCASE h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Resurser CARL ZETTERBERG, VD, Tic-Tac Mobile GEIR NORLUND MEDGRUNDARE & CIO, MeaWallet Föregående Nästa Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Våra säkerhetsspecialister kan snabbt identifiera eventuella säkerhetsbrister och buggar i ditt system, och sedan arbeta för att bygga en säkrare IT-miljö och eliminera eventuella brister. Om din organisation är beroende av att ha ett lättillgängligt IT-system och nätverk och vill ha en leverantör med höga krav på säkerhet och tillgänglighet, är Complior det rätta valet. Företag har alla olika tillgångar som de vill skydda. Det kan vara en applikation, webbplats, betalkortsdata eller annan känslig information. Oavsett är det viktigt för företag att information hanteras och lagras säkert så att den inte hamnar i fel händer. Informationssäkerhet, Info Sec, handlar om att skydda information, minimera risker och förhindra nedtid. Complior erbjuder InfoSec-tjänster som hjälper företag att identifiera, förstå och lösa säkerhetsproblem. di|Dagens verklighet är att organisationer riskerar att uppleva IT-säkerhetsrelaterade incidenter, såsom hackerattacker. Risker och hot kan variera i allvarlighetsgrad, men tjänster inom IT-säkerhet kan effektivt identifiera hot - och därigenom skydda tillgångar och minska risker. Låt oss hjälpa ditt företag att se till att din information hålls säker. Vi erbjuder olika tjänster där vi testar säkerheten för servrar och nätverksmiljöer i ditt företag. Vi vill höra mer om just era utmaningar och önskemål st|Är din information säker mot intrång? h1|InfoSec h2|Identifiera hot och skydda tillgångar INFOSEC TJÄNSTER Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Säkerhetstjänster Penetrationstest Sårbarhetsskanning Secure Code Review Kontakta oss Anmäl dig till vårt nyhetsbrev bo|InfoSec-tjänster för att testa IT-säkerhet pa| di|White paper Guides Blogg Info White paper Guides Templates IT Policy Guides Vi vill höra mer om just era utmaningar och önskemål h1|KUNSKAPSCENTER h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka till Resurser Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Läs om PSD2: s implikationer, möjligheter, problem och utmaningar. di|Vi vill höra mer om just era utmaningar och önskemål h1|PSD2 Whitepaper h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Den nya dataskyddsförordningen GDPR infördes den 25 Maj 2018 och innebär nya förutsättningar för dataskydd och behandling av personuppgifter. Det har kastats runt begrepp till höger och vänster. Samtycke. Rätten att bli bortglömd. Sanktionsavgifter. GDPR kommer att innebära ökade krav på rutiner och processer för organisationer. Men vad betyder alla dessa begrepp egentligen? Vi upplever att det inte har gjorts tillräckligt för att förklara vad alla de nya kraven faktiskt kommer att innebära. Därför har vi tagit fram en GDPR guide, där vi reder ut de viktigaste och mest relevanta begreppen, och vad de betyder. Vi ger även exempel på vad kraven rent konkret kan komma att innebära för just din organisation. I guiden redogör vi för de viktigaste begreppen och ger konkreta exempel på vad de verkligen innebär. I den första delen inkluderar vi: Fyll i kontaktformuläret för att komma till guiden! di|Vi vill höra mer om just era utmaningar och önskemål li|Vilka typer av organisationer påverkas av GDPR? Vad är personuppgifter? Vilka är de extra känsliga personuppgifterna? Vad betyder "rätten att glömmas"? Vi går också igenom de administrativa sanktionsavgifterna. st|GDPR-guide – vad betyder allt egentligen? VAD INKLUDERAS I FRI GUIDEN? h1|GDPR-guide h2|Kom igång redan idag h3|Ladder ner: GDPR-Guide sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|"Det här är en av de bästa sammanfattningarna av GDPR och vad företag behöver göra för att förbereda sig som jag har sett. Den tar upp flera väldigt intressanta perspektiv.’’ För att ladda ner detta dokumentera behöver du bekräfta vår e-post prenumeration. Vänligen kolla din inkorg och klicka på länken för att bekräfta din prenumerati pa| di|Vi vill höra mer om just era utmaningar och önskemål h1|Christmas card from Complior h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Blockchain, eller blockkedja, har beskrivits som en teknologi som kan revolutionera världsekonomin och andra samhällsfunktioner. Vi har tidigare skrivit om blockchain och hur det kan användas med smarta kontrakt, och hur GDPR kan komma att påverka blockchain. I detta blogginlägg kommer vi att gå igenom några av de innovativa områdena där blockchain kan komma att fylla en viktig funktion. Blockchain är en databas som gör det möjligt för olika parter, exempelvis leverantörer och konsumenter att kopplas samman direkt, dvs. utan användningen av en tredje part. Det är ett distribuerat och transparent peer-to-peer-system för transaktioner som använder kryptografi för att hålla dessa transaktioner och dataflöden säkra. I sin globala riskrapport listade World Economic Forum de 5 största riskerna i världen och majoriteten av dessa var miljörelaterade. Blockchain kan hjälpa miljön på flera olika sätt, främst genom ökad transparens. Den kan t ex förbättra spårbarhet och certifieringsprocesser av varor genom att spåra en produkt från produktion till konsumtion. Blockchain har redan använts för att bekämpa illegalt fiske och brott mot mänskliga rättigheter i tonfiskindustrin i Stillahavsområdet. Där kan man numera få reda på när, var och hur fisken fångades genom att enkelt skanna tonfiskförpackningen. Blockchain kan också användas för att räkna ut koldioxidavtryck som skulle bidra till implementeringen av mer korrekta energi- och koldioxidskattenivåer som i sin tur kan leda till att konsumenter kan göra miljövänligare val. Cyberbrott har många gånger beskrivits som det största hotet mot företag, och vissa har pekat på blockchain som ett sätt att bekämpa hackerattacker. Med sin distribuerade natur tar blockchain bort risken för single point of failure, och ger end-to-end-integritet och kryptering. På så vis blir det traditionella sätt att hacka, till exempel via en enda attackpunkt och genom att stjäla lösenord, svårare. Under de senaste åren har misstänkta fall av val-manipulation och fusk uppmärksammats i medier världen över. Att använda blockchain i val där du kan rösta, övervaka och räkna röster skulle kunna minska risken för valfusk. Blockchain skulle hantera varje röst som en transaktion vars transparens och försäkran om att val inte manipuleras är något som skulle gynna alla. di|Vi vill höra mer om just era utmaningar och önskemål st|Blockchain och miljön Cybersäkerhet Val och folkomröstningar h1|Blockchain och dess innovativa användningsområden h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Att uppnå PCI DSS är en betydande bragd – en stor prestation (och lättnad) för både företag och säkerhetsteamet – men sedan blir nästa utmaning att fortsätta och förbli compliant. Och det är en utmaning som inte kommer att försvinna. Planering, schemaläggning av uppgifter och analyser är nyckelfaktorer till framgång. Det kan låta enkelt efter en första granskning, men om du planerar att utöka din verksamhet, kommer de befintliga parametrar inte förbli densamma. Kunders krav, konkurrenter, innovation och nya trender inom IT kommer att förändra vad du gör och hur du hanterar ditt företag. Faktorer som kommer att påverka räckvidd och säkerhet, och som troligen kommer att skapa sårbarheter. Min erfarenhet från att ha jobbat med PCI DSS under flera år är att den vanligaste metoden för att uppnå efterlevnad oftast är att hantera det som ett projekt. Sedan lägger man på ett lager av säkerhet på befintligt program och försöker att få det att fungera. Det kommer att funka! Men, det kommer att kosta mycket mer i det långa loppet, i form av pengar, tid och resurser. Och på toppen av det, bli väldigt svårt att hantera i längden. För att kunna bygga en hållbar så krävs det att det behandlas som mer än ett projekt. Mängden arbete som krävs i början är väldigt stor, men arbetet och den hållbara infrastrukturen kommer att löna sig i det långa loppet. Resultatet blir ökad kostnadseffektivitet, hållbarhet, automatisering, vilket kommer att spara tid. Strävandet efter hållbar compliance bör behandlas som en del av verksamheten, inte som en aktivitet som endast sker en gång per år, och som då skulle vara en väldigt stressig aktivitet. PCI DSS-komponenter och krav borde integreras i själva applikationen och inte toppas upp i lager. För att uppnå hållbar compliance behöver du ha ett ramverk för styrning och kontroll, en compliance och omfattningsplan och ett ansvarigt team som driver, granskar och implementerar dessa arbetsmetoder i den dagliga rutinen. Avslutningsvis ska en bra compliance kultur omfamna företagets revision, och se till att man undviker obehagliga och stressiga situationer med revisorer. Hållbar compliance är en pågående process, det finns inga vägar runt detta. di|Vi vill höra mer om just era utmaningar och önskemål h1|Nått PCI DSS compliance - sen? h2|Kom igång redan idag h4|Många faktorer kommer att förändra din PCI-omfattning Hantera PCI DSS-överensstämmelse som ett projekt Hur man uppnår hållbar PCI-efterlevnad sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|The U.S. Privacy Shield has been declared invalid by the Court of Justice of the European Union. Read more below about the statement and what is meant by transferring personal data to a third country. What does this mean for you: If you are going to or have implemented a cloud-based solution/system: You need to assess and document if you could continue to transfer personal data to the U.S. in order to ensure that your personal data is protected as stipulated in GDPR. If you are in the process of purchasing services to transfer, manage and store personal data in the U.S., i.e. contract a personal data processor, you need to ask yourself the questions outlined above. The Court of Justice of the European Union has recently ruled that the EU-US Privacy Shield Agreement does not provide adequate protection for personal data when it is transferred to the U.S. The annulment of the Privacy Shield means that EU data controllers are no longer allowed to transfer personal data to recipients in the U.S. on the basis of the Privacy Shield. Privacy Shield is a self-certification mechanism available in the U.S. This means that companies in the USA can register with the U.S. Department of Commerce and announce that they fulfil the requirements set out in the Privacy Shield. According to a decision by the European Commission, EU data controllers have been allowed to transfer personal data to recipients who have joined the Privacy Shield. Since July 2020, however, the Privacy Shield has been declared invalid and can no longer be used. When you send documents that contain personal information by email to someone in a country outside the EU/European Economic Area (EEA). When you engage a personal data processor in a country outside the EU/EEA. When you give someone outside the EU/EEA access, for example read access, to personal data stored within the EU/EEA. When you store personal data in a cloud service that is based outside the EU/EEA. When you store personal data, for example on a server, in a country outside the EU/EEA. di|Vi vill höra mer om just era utmaningar och önskemål li|Could you continue to transfer personal data to the U.S.? Will your transfer of personal data violate the GDPR clauses concerning transfer of personal data to a third country? Are you sure that your personal data is managed and stored in the EU by your hosting provider? Are you sure that your personal data is managed and stored in the EU by your system/solution provider or the hosting provider used by the system/solution provider? Does the agreement you have or will negotiate include enough details concerning transfer of personal data to the U.S.? The supplier must be able to describe in what countries personal data (including backups) are stored. st|GDPR – Since July 2020 the U.S. Privacy Shield has been declared invalid and can no longer be used. h1|GDPR and US Privacy Shield 0.1. h2|Kom igång redan idag h5|Summary of the statement The European Data Protection Board states: Examples of transfer of personal data to third countries: sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|The European Data Protection Board (EDPB) welcomes the Court of Justice of the European Union’s (CJEU’s) judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The EDPB has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid. The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020. With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment. The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid. While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of. Source: pa|Utvecklingen av Blockchain har satt igång en öppen och intensiv debatt i nästan alla professionella vertikaler. Direkt eller indirekt har alla i branschen hört talas om det. Men vad förändras faktiskt och hur kan du dra nytta av att använda Blockchain-lösningar? Och mer specifikt, vilka scenarier står på spel på en nivå? När diskussionen började involvera begreppet smarta kontrakt (Smart Contracts) var den initiala responsen att Blockchain sågs som ett hot mot vissa yrken, till exempel advokater och notarier. Men, Blockchain - eller, mer exakt, Blockchains användning som smarta kontrakt - är inte avsett för att äventyra sådana yrken: det skulle vara en mycket felaktig förenkling, minst sagt! Visst, liksom alla paradigmskiften, så kommer det krävas förändringar, och många kommer att bli ombedda att granska sin roll och tillvägagångssätt i skapandet av mycket innovativa kontraktsformer. Men för att fullt ut kunna uppskatta vilken typ av förändring smarta kontrakt kommer att medföra, och vilka branscher som kommer att påverkas mest, så är det först viktigt att förstå vad det handlar om. Så låt oss gräva lite djupare in i frågan. Först och främst är smarta kontrakt inte någonting nytt. Faktum är att termen har behandlats aktivt sedan 1990-talet, och inte i relation till Blockchain. Visst har Blockchains medfört införandet av de nödvändiga "Trust, Reliability and Security" -attributen som smarta kontrakt behövde för att vara trovärdiga och som tidigare brukade delegeras till en tredje part. Men, själva grundtanken tar oss till 70-talet, då behovet var ganska enkelt och relaterat till att hitta något effektivt sätt att hantera aktivering eller avaktivering av en programlicens som baseras på mycket enkla förhållande I vilket fall som helst är ett smart kontrakt översättningen i "kodspråk" för ett kontrakt som syftar till att automatiskt verifiera förekomsten av vissa villkor och att automatiskt utföra handlingar när de fastställda villkoren mellan parterna nås och verifieras. Med andra ord baseras det smarta kontraktet på en kod som tolkar både de överenskomna villkoren och de driftsförhållanden där de överenskomna villkoren måste uppfyllas och som automatiskt åläggs så snart den bestämmer att den faktiska situationen motsvarar de uppgifter som hänvisar till de villkor som har överenskommits. Ur det här perspektivet är Blockchain den viktigaste underliggande plattformen, med rollen att stödja och genomdriva allt detta genom att ge de ovannämnda nödvändiga nivåerna av förtroende, tillförlitlighet och säkerhet. I ett nötskal så kan man säga att Blockchain garanterar att allt sker på ett konsekvent sätt. Även i avsaknaden av mänskligt ingripande så bygger smarta kontrakt på extremt specifika beskrivningar för alla omständigheter där alla förhållanden och situationer finns i beaktning. Den viktigaste aspekten av allt är att de smarta kontrakten kommer att kunna ske på ett helt decentraliserat sätt. Det innebär att varje deltagare i en viss Blockchain-kanal kommer att kunna kommunicera direkt med andra parter (kunder, partners, leverantörer, etc.) utan mellanhänder, vilket kommer att minska kostnader. Någonting som kommer att bli en följd av ett sådant stort paradigmskifte som detta innebär, är att konceptet förtroende flyttar sig från advokatbyrån till utvecklaren. Detta sätter givetvis stort ansvar på utvecklarens axlar. Han/hon måste kunna tillhandahålla en bred uppsättning garantier till alla berörda parter. Detta inkluderar, men är inte begränsat till: Med detta sagt, vad kan vi förvänta oss nu? Även om det inte är lätt att tillhandahålla ett tillräckligt noggrant svar som tar hänsyn till alla möjliga scenarion kan vi försöka göra några allmänna antaganden kring en framtid där vi kommer att ha ett datorsystem som gör att vi kan skapa distribuerade, transparenta och helt oföränderliga offentliga register för att registrera transaktioner utan att behöva blanda in en tredje part. Och bli mer kapabla till att hantera utförandet av automatiserade instruktioner (smarta kontrakt, javisst!). Man kan även spekulera kring en framtid där vi kommer att ha möjlighet att ladda ner ett smart kontrakt direkt från Internet, anpassa det och så småningom sätta in det i ett Blockchain. Detta är ett scenario där du behöver fyra huvuddelar för att kunna lägga ett perfekt pussel: En sak är säker: här på Complior har vi antagit de utmaningar som Blockchain och smarta kontrakt kommer att medföra och vi arbetar aktivt för att snart kunna täcka alla ovanstående saker. di|Vi vill höra mer om just era utmaningar och önskemål li|se till att koden som ett smart kontrakt har skrivits med inte kan ändras se till att datakällorna som bestämmer ansökningsvillkoren är certifierade och tillförlitliga säkerställ att läsning och kontroll av sådana källor i sin tur är certifierade En grundläggande datorplattform en Blockchain-plattform En mjukvara för att skapa smarta kontrakt Någon som packar "standard" smarta kontrakt som ska anpassas st|Vad är ett Smarta Kontrakt? Smarta Kontrakt och Blockchain h1|Smarta kontrakt och Blockchain. h2|Kom igång redan idag h4|För vare sig vi vill det eller inte, så hör framtiden (redan) till dem. sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|smarta kontrakt- pa|Hanterar ditt företag personuppgifter, t.ex. användarnamn, lösenord, namn, adresser och personnummer? Då behöver du förmodligen göra juridiska, organisatoriska och IT-relaterade anpassningar av ditt företags system och processer för att följa GDPR. Dataskyddsförordningen (GDPR) tillämpades den 25 maj 2018. Förordningen specificerar hur organisationer kan samla, hantera, lagra och få tillgång till personuppgifter som tillhör medborgare i EU/EES. Efterlevnad av GDPR är en kontinuerlig process och bör vara en hög prioritet för organisationer. Om organisationer misslyckas med att efterleva förordningen kan följderna vara sanktionsavgifter på upp till 20 miljoner euro eller 4% av den globala omsättningen. Compliors GDPR-experter kan hjälpa dig varje steg på vägen för att följa GDPR. Det kan vara utmanande att försöka uppnå alla kraven i GDPR, och oftast kräver detta extern expertis. Complior har hjälpt både stora och små organisationer att uppfylla kraven i dataskyddsförordningen. Vi erbjuder kompletta konsult- och servicepaket till organisationer som behöver följa Dataskyddsförordningen GDPR. Vårt team av GDPR-experter kan hjälpa dig med: di|Vi vill höra mer om just era utmaningar och önskemål li|Konsulttjänster Skräddarsydda workshops och utbildningar Projektledning av ditt GDPR-projekt Dataskyddsombud Mallar för register, avtal, policy och instruktioner. st|Team av GDPR-experter som kan stödja dig Gör din resa mot efterlevnad enklare h1|GDPR konsultation och utbildning h2|Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN Säkerhetstjänster GDPR Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Innan organisationen kan behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det finns mycket missförstånd kring detta, då många tror att det kommer att krävas samtycke till all behandling av personuppgifter. Detta är väldigt fel, då det finns många andra grunder att rättfärdiga sin behandling med. Samtycke bör som regel alltid övervägas sist av alla lagliga grunder då det kommer att kräva en aktiv handling från den enskilde, kan återkallas när som helst och det får inte förekomma någon större maktobalans mellan parterna (exempelvis mellan arbetsgivare och anställd). Många organisationer tenderar att använda samtycke i situationer där det egentligen inte behövs, och har blivit en typ av ”säkert kort” att förlita sig på. Att använda fel laglig grund, exempelvis samtycke, kan medföra att behandlingen blir olaglig. Laglig grund beskrivs i Artikel 6 i GDPR. Jag tänker gå igenom Artikel 6 och förklara vad alla olika grunder innebär. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: Som sagt, även fast förordningen nämner samtycke först så bör denna lagliga grund beaktas sist. Det finns olika krav på samtycke. Först och främst så måste enskilda utföra en aktiv handling, exempelvis bocka i en ruta. Det räcker även att enskilda skriver in sina personuppgifter, exempelvis e-post, och det står bredvid fältet: ”Skriv in din e-postadress så att vi kan skicka nyhetsbrev om våra produkter till dig, mer information i hittar du i vår integritetspolicy(länk)”. Tänk på att det alltid måste framgå tydligt vad enskilda samtycker till. Enskilda kan inte samtycka åt andra än till sig själv, undantag ifall vårdnadshavare ger samtycke åt omyndiga som inte kan ge ett lagligt samtycke. Ett typiskt exempel när ett avtal rättfärdigar behandlingen är ett anställningsavtal. En arbetsgivare får lagligt behandla personuppgifter om anställda som är nödvändigt för att fullgöra anställningsavtalet. När GDPR tillämpas i svensk lag behöver alltså inte arbetsgivare springa runt till alla sina anställda och be om samtycke. Företag är exempelvis skyldiga att följa bokföringslagen och måste lagra personuppgifter en viss tid för detta ändamål. Företaget har alltså en rättslig förpliktelse att behandla sådana uppgifter och enskilda kan inte begära att få dessa uppgifter raderade tills företaget har fullgjort denna rättsliga förpliktelse. Det är upp till varje medlemsland att avgöra vad ”fullgöra en rättslig förpliktelse” kommer att omfatta. Denna grund kan bara användas för lagar som finns inom EU/EES, exempelvis amerikanska lagar kan inte användas som en rättslig förpliktelse. för den registrerade eller för en annan fysisk person. Den här grunden handlar om nödsituationer, exempelvis ifall en person plötsligt blir svårt sjuk och personuppgifter behövs för att identifiera personen. Tidigare så har svenska myndigheter förlitat sig på grunden ”berättigat intresse” när de fullgör sina uppgifter. Detta får de inte längre göra enligt artikel 6(1). Istället har denna grund tillkommit som ska användas av myndigheter. Det är upp till varje medlemsland att avgöra vad ”utföra en uppgift av allmänt intresse allmänt intresse” kommer att omfatta. In many cases an organization can justify their processing if the benefits of the processing outweigh the risk for the data subject. In recital (47), direct marketing is explicitly stated as a possible legitimate interest. This means that direct marketing can be done without consent, but only if it fulfills the criteria that I stated at the beginning of this paragraph di|Vi vill höra mer om just era utmaningar och önskemål st|Laglig grund i GDPR h1|GDPR: Laglig grund och samtycke h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. pa|Om ditt företag har beslutat sig för att verkligen ta tag i sin IT-Compliance, så kommer troligtvis standarderna PCI DSS eller ISO 27001 utvärderas som alternativ. Båda standarderna är till för att säkra och hantera företagsinformation, men de gör det på olika sätt och i olika utsträckning. Det är en international standard som sätter de krav som krävs för att ha och underhålla ett Information Security Management System (ISMS). Standarden passar de flesta företag eller organisationer, och är en flexibel lösning som kan anpassas till din nuvarande säkerhetspolicy och organisationsstruktur. ISO 27001 kontrolleras av International Organization for Standardization, och granskning görs av certifieringsorganisationer. Som en liten sidnotering, ISO härstammar från det grekiska ordet isos, som betyder lika. , meaning equal and is not an acronym, since it would be different for different languages. PCI DSS är en obligatorisk standard som innebär krav för de företag eller organisationer som hanterar, överför och/eller lagrar kreditkortsuppgifter, som även kallas för kortdata. Där sätts kravnivå utifrån transaktionsvolymer och affärsområde. PCI DSS sköts av PCI Security Standards Council (PCI SSC) som bildades av Mastercard, Visa, JCB, Discover och American Express. En PCI-DSS revision görs av en QSA som måste arbeta för ett företag som godkänts av PCI SSC. Både PCI DSS och ISO 27001 är organiserade i uppsättningar av requirements och tillägg/bilagor. PCI DSS har 12 uppsättningar av ’requirements’, ett tillägg och cirka 250 kontroller som är till för att säkra kortdata . För ISO 27001, finns 11 uppsättningar av ’requirements’ med ett tillägg och 114 kontroller som finns för att underlätta planering, genomförande, övervakning och förbättring av en ISMS. PCI DSS har en hög tillgänglighet och gratis att ladda ner. När det gäller ISO 27001, så måste du betala för att få den standarden, vilket jag personligen inte gillar. Om du börjar från noll och ditt företag inte hanterar kortdata på något sätt alls, så är ISO 27001 det bästa sättet att börja bygga upp en ISMS. Du behöver utforma din ’information security policy’ så att den bygger på PDCA modellen (Plan, Do, Check och ACT) för att på så sätt ha riskhantering i en större omfattning. Om din organisation planerar att hantera kortdata så är PCI DSS det rätta valet för dig. Att ha en bra miljö för kortdata med en solid information security policy är det bästa sättet att börja din väg mot compliance. Detta kommer sedan att kompletteras med riskbedömning, gap-analysis tillsammans med andra verktyg. Ja. Om ditt företag redan idag uppfyller en ISO 27001 standard så är min gissning att du redan är 50% klar med PCI DSS compliance-processen, och båda standarderna är steg i rätt riktning för att nå en GDPR compliance, vilket är väldigt aktuellt i och med att den nya lagstiftningen kommer att börja gälla år 2018. Most of the controls and risk assessment methodology in ISO 27001 complement and support PCI DSS and both standards have requirements that are very easy to integrate. In a perfect world, your company will have both certifications, which will help you and your company achieve smooth and secure ISMS and operations. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad är ISO 27001? Vad är PCI DSS? Och om man jämför ISO 27001 och PCI DSS? Vilken standard är den optimala för mitt företag? Ska man ha både PCI DSS och ISO 27001? h1|PCI-DSS kontra/och/eller ISO 27001 h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|isos pa|WAF står för web application firewall och är en typ av applikationsbrandvägg. En WAF kan enklast beskrivas som en brandvägg för webbapplikationer. Det är ett sätt att skydda nätverkstrafiken på applikationsnivå i OSI-modellen. En WAF granskar och filtrerar trafik till webbapplikationer. Den håller koll på kommunikationen mellan klient och server, och mellan server och server när man bygger avancerade webbapplikationer. Med en web application firewall kan man på en detaljerad nivå kontrollera åtkomst, vilka användare som får tillgång till vad, och vilken trafik som ska blockeras. kan beskrivas som självlärande. När man först ska definiera kommunikation och åtkomst så sätter man igång WAF:en och låter den övervaka trafik under en period, så att den kan lära sig hur legitim trafik ser ut. Då skapas ett normalläge och WAF:en kan hålla uppsikt efter ovanliga trafikmönster. På så sätt har man en väldigt snabb reaktionstid mot säkerhetshot. Applikationsbrandväggar ligger på en högre nivå i OSI-modellen än traditionella paketfiltrerande brandväggar då man skyddar själva applikationen, och ger därmed ett extra skydd. Det som sedan skiljer en WAF från traditionella brandväggar är att man inte behöver skriva om regler i den hela tiden. Om det exempelvis kommer en ny sorts hackerattack kan man uppdatera waf-mjukvaran med attacksignaturen så lär den sig hur den sortens trafik ser ut och blockerar den. Man kan säga att en WAF ger ett intelligentare skydd än brandväggar. Det finns många fördelar för företag att använda WAF, och detta har mycket att göra med att det är en flexibel lösning och att den direkt skyddar applikationen. En förebygger hot som finns mot applikationer. Man får en skräddarsydd lösning för sin applikation, till skillnad från traditionella brandväggar som fungerar som en lösning för alla sortens applikationer. Flexibilitet är även ett av WAF:ens signum. Läget på en WAF kan ändras i efterhand och en del av funktionerna är automatiserade, vilket möjliggör för snabba förändringar och minskar risken för fel orsakade av ’den mänskliga faktorn Många är överens om att det är bättre att skydda själva applikationen än själva servern. Det tillåter att man kommer in på en djupare detaljnivå än traditionella brandväggar och man får därmed ett finkornigare skydd. En web application firewall förhindrar data loss, data corruption och spoofing. Det är helt enkelt ett effektivt sätt att ha ett uppdaterat skydd på sin applikation utan att behöva engagera sig så mycket. di|Vi vill höra mer om just era utmaningar och önskemål st|Hur fungerar WAF? Vad skiljer sig en WAF från en traditionell brandvägg? Vilka fördelar finns det med att använda WAF? h1|Frågor och svar om WAF h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|En stor del av anpassningsarbetet till GDPR handlar om dokumentation. Enligt artikel 30 i GDPR ska organisationer dokumentera sin behandling av personuppgifter. Alla organisationer bör därför göra en registerförteckning, dels för att det är ett krav men även för att det till stor grad kan underlätta kartläggningen av processer när det kommer till personuppgiftsbehandling. Idag finns det ett flertal företag på marknaden som erbjuder verktyg för att göra en registerförteckning. Tyvärr så kan dessa lösningar innebära stora licenskostnader och krångliga avtal. Med vår mall kan du enkelt kartlägga och få en tydlig översikt över vilka personuppgifter din organisation behandlar. Du fyller enkelt i saker som behandlingsprocess, ändamålsbeskrivning, rättslig grund, kategorier av personuppgifter, och allt annat som GDPR kräver ska finnas med i en registerförteckning. Vi tar även upp frågor utöver kraven i artikel 30 som är viktiga för kartläggningen, t ex saker man ska tänka på i biträdesavtal enligt artikel 28. di|Vi vill höra mer om just era utmaningar och önskemål li|Du behåller total kontroll – Mallen laddas ner som en Excel-fil Du får en registerförteckningsmall som kan användas av personuppgiftsansvariga och personuppgiftsbiträden Tydliga och detaljerade exempel som visar hur du ska fylla i registerförteckningen Du slipper stora investeringar i mjukvara och krångliga avtal Kompletterande ordlista där vi förklarar huvudbegreppen och vad de innebär rent praktiskt, bland annat rättslig grund och rätten att bli informerad Framtagen av våra IT-säkerhets- och juridiska experter st|Gör din registerförteckning med vår enkla mall! Complior erbjuder en lättarbetad registerförteckningsmall. Spara tid och energi med en färdig mall h1|Registerförteckningsmall h2|Kom igång redan idag h3|Ladder ner Registerförteckningsmall sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|För att ladda ner detta dokumentera behöver du bekräfta vår e-post prenumeration. Vänligen kolla din inkorg och klicka på länken för att bekräfta din prenumerati pa|HSM står för , och är en väldigt säker dedikerad hårdvara för att förvara krypteringsnycklar säkert. Den utför kryptering, dekryptering, skapar och lagrar krypteringsnycklar. Syftet med en HSM är att skydda känsliga data genom kryptering med nycklar som ligger säkrat utanför det data som skyddas. Det finns flera anledningar, men i grund och botten handlar det om säkerhet, och säkerhet på olika plan. I branscher som betalningsbranschen där man hanterar kortdata måste data vara krypterat för att följa regelverk som PCI DSS. Där är HSM praxis och helt enkelt ett måste. Men ur ett rent tekniskt perspektiv är en HSM ett väldigt säkert sätt att förvara krypteringsnycklar. Hårdvaran är fysiskt skyddad. Man kan inte bryta sig in i den, och den detekterar och larmar om någonting är fel. Om den exempelvis skulle bli stulen och oplanerat stängas ner och flyttas, så kan krypteringsnycklarna automatiskt raderas ur dess minne. Det är alltså en säker lösning för dig som vill skydda extremt känslig information. Säkerhet, enkelhet och prestanda. En HSM skyddar dina privata nycklar på ett säkert sätt, men samtidigt gör dem lätt åtkomliga från din applikation och förser dig med en hög tillgänglighet och prestanda gällande kryptooperationer. Genom att använda en HSM avlastar du dina servrar och applikationer då nyckeloperationen vid en kryptering, av kryptering sker via HSM hårdvara istället för din server Ja det kan man, men vanligt är då att nycklarna som används för kryptering genereras samt lagras i samma enhet som krypteringen sker. Detta är sällan ett gott skydd för dessa känsliga nycklar. Finns nyckeln tillgänglig via datanätverket så ökar sannolikheten att nyckeln hittas och stjäls. Dessa nycklar kan sedan användas för att dekryptera och stjäla känsliga data. Det är hårda krav på HSM enheter. Det finns särskilda säkerhetsstandarder som själva hårdvaran skall följa, FIPS-140 (Federal Information Processing Standards) är en av dem. , där man specificerar kraven på hårdvaran. Att använda en HSM är en säkerhetsstämpel för din organisation, och för de som utvärderar din efterlevnad av säkerhetsstandarder så signalerar det att företaget tar informationssäkerhet och kryptering på allvar. Företag med god insikt i IT-säkerhet och ett behov av att kryptera, signera eller verifiera data. Det är företag verksamma i alla branscher som idag har behov att på säkert sätt förvara kryptonycklar. Men även organisationer som hanterar känsliga data under GDPR där höga krav på integritet och säker hantering av personuppgifter. HSM är en bra lösning för skydda kryptering av personuppgifter. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad är HSM (Hardware Security Module)? Varför behöver man en HSM? Vilka är de största fördelarna med att använda HSM? Kan man inte bara kryptera och dekryptera utan att behöva investera i en HSM? Vilka sorts säkerhetskrav finns på en HSM? Vilka sorts företag har mest nytta av att använda en HSM? h1|Vad är HSM (Hardware Security Module)? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Over $1 Trillion dollars will be spent in the US and more than £2 Billion in the UK over the holidays with , or almost half of these sales occurring online. While businesses love this, know this and spend most of the year preparing for this, holiday shopping also means something else. A much greater risk for getting hacked! While organizations are busy running promotions and fulfilling orders, hackers are like kids in a candy store throughout the festive season. All that credit card information flowing into the deep, dark web each and every second accessible on countless websites. Below are some stats you need to know so you can triple checking your , och . In the two to three minutes it takes you to read this article, six businesses have been hacked! How’s that for perspective? While you may already be och compliant there are also other vulnerabilities. Some come from files shared within organizations. Phishing can also stem from oblivious employees that can create an opening for a hacker. All of these need to be considered to ensure you have protected your business. More than half of hackers focus on small to medium sized businesses knowing that many haven’t allocated appropriate resources to cyber security, or haven’t prioritized it as a real threat through their inception and growth. That’s a jump of 126% over the previous year. With more transactions occurring on mobile and more businesses optimizing to meet consumer demands, there is a significant rise in the amount and detail of personal information online. While this is a significant cost more important is the reputation and impact on brand. Consumers already hesitate when ordering online from a new business. For small and medium sized businesses, a security breach can mean the beginning of the end. “There are three types of business: those that have been hacked, those that are going to get hacked and those that are being hacked RIGHT NOW.” In today’s world it is not a matter of if you will be hacked, it is a matter of when. Taking the appropriate security measures including preparing and practicing security breach protocols are a need-to-have not nice-to-have. Especially over the holidays when ecommerce sales are expected to rise . This holiday season, the Complior team wants to know – not what your seasonal offers are, or what new product you have launched – but what extra security measures have you taken to protect your business and your customers? Contact us to evaluate your vulnerabilities, ensure all systems and protocols are up to date, and your most vital data is safely secured on a cloud platform. All that’s left is to kick back and enjoy the holidays! Ho-Ho-Ho di|Vi vill höra mer om just era utmaningar och önskemål st|There is a hacker attack every 39 seconds 62% of businesses experienced phishing and attacks in 2018 43% of cyber attacks target small business Half a billion personal records were stolen in 2018 by hackers $3.9 million is the average cost of a data breach h1|‘Tis the Season for Cyber Hacking h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|När jag ska bedöma enheter som står inför PCI DSS för första gången får jag ganska ofta frågan: Mitt svar är alltid: Nej Det är inte en fråga om att vara kapabel eller oförmögen. Det är en fråga om ansvar. Som QSA, är min plikt att bedöma konformiteten mot ett standarddokument, publicerad av en officiell global organisation. I mitt fall är standarden PCI DSS. En revisor måste bedöma huruvida en kund är compliant mot en viss standard under revisionsperioden. Kundens ansvar är att se till att alla täckta system, människor, processer och data hanteras bibehålls i enlighet med standarden. En revisor kan ge vägledning, konsultation och rådgivning, men är inte ansvarig för resultatet av granskningen. Tyvärr finns det en missuppfattning att ’’compliance’’ kan köpas. Denna missuppfattning är särskilt sann när någon, som inte är fullt medveten om vad det innebär att försöka uppnå PCI-DSS compliance, har satt en deadline för compliance. En QSA gör en eller en (om företaget inte redan är PCI-DSS compliant) och hittar: QSA rekommenderar att kunden korrigerar detta, och i och med alla korrigeringar finns det inte så blir det svårt att nå kundens uppsatta deadline. Så, frågan upprepas igen: ’’Kan du se till att jag blir compliant innan datum mm/dd/åååå?’’ Mitt svar: ’’Det beror på DIG, det är ditt ansvar.’’ Det är en utmaning att få kunderna att förstå det är inte QSAs ansvar att få dem att nå compliance, det är deras eget ansvar. Endast en konsoliderad, stabil och streamlined daglig process kan leda till det verkliga målet med compliance, som med PCI DSS är: SKYDDA KORTDATA. Den vise kinesen Lao Tzu, författare av Tao Te Ching, skriptet som ledde till ’’Path of Tao’’ och senare resulterade i Zen-disciplinen, brukare säga: EN RESA PÅ TUSEN MIL BÖRJAR MED ETT ENDA STEG. di|Vi vill höra mer om just era utmaningar och önskemål li|Utvecklare som är oerfarna med säker kodning CHD som gick ut för 4-5 år sedan Icke-existerande Change Management Ingen nyckelhantering Många andra säkerhetsfel h1|Kan man köpa compliance? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Standard: En norm som gäller för alla aspekter av en sak; en godkänd modell. ''Kan du se till att jag blir compliant innan datum mm/dd/åååå?'' pa|Julhelgen innebär en positiv och glad tid för de flesta utav oss. Förhoppningsvis ligger det lite snö på marken, och vi har saker som julafton, julklappar och ett nytt år att se fram emot. Julhelgen och annandagarna representerar också en högsäsong för online shopping, en aktivitet som mycket snabbt har blivit populärt för att det är enkelt och bekvämt. Jakten på julklappar och därefter prisvärda fynd under rean gör den här säsongen till en tid då världens nätbutiker gör allt vad de kan för att sälja så mycket som möjligt. Julhelgen innebär dock en del risker, och då menar jag inte risken för att äta för mycket skinka eller kalkon, utan snarare den risk som den intensiva online shopping-säsongen medför. Online shopping innebär att det finns en väsentligt ökad risk för IT-relaterade brott. Det finns många säkerhetsbrister i online shopping-världen, och den otillräckliga kontrollen ökar risken för både återförsäljare och konsumenter att utsättas för cyberbrott. Denna risk är speciellt hög för återförsäljare och e-handlare med tanke på den mängden känslig information de sitter på, såsom kreditkortsinformation. Cyber-brottslingar drar nytta av online shopping-säsonger genom att exempelvis placera malware på en ovetande konsuments dator. Återförsäljare tar större risker eftersom de inte ens vill tänka tanken att de skulle kunna hamna offline, och belastningen på system och nätverk är hög. Angripare kan gömma sig bakom transaktionsvolymer. Shoppare riskerar att omdirigeras till falska butiker eller e-handelsplatser skapade enbart för att lägga beslag på deras personuppgifter medan de fortsätter att handla och fyller i sin kreditkortsinformation till vänster och höger. Det finns mycket kvar att göra för att stoppa den här typen av attacker och bedrägeriförsök. Personuppgifter bör skyddas ännu mer, och överlämnandet av kreditkort- och personuppgifter bör ske med stor försiktighet. Dessutom har konsumenterna själva ett ansvar att vara medvetna om hoten och riskerna som finns under online shopping-högsäsonger. di|Vi vill höra mer om just era utmaningar och önskemål st|Större risk för cyberbrott under julhelgen h1|Online shopping och helgens risker h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|GDPR är en förordning, en typ av rättsakt antagen av EU:s institutioner, som handlar om att skydda individens rätt till personlig integritet och deras rätt till att ha sina personuppgifter säkrade. kommer att reglera alla organisationer som behandlar personuppgifter av något slag, förutom vissa undantag såsom brottsbekämpande organ, exempelvis polisen. En registerförteckning innebär att man för register över de behandlingsaktiviteter man gör med personuppgifter. Man ska bland annat specificera syftet med behandling, vilka typer av personuppgifter som behandlas och hur länge personuppgifter sparas (Artikel 30). Idag är det vanligt att de flesta behandlingsaktiviteterna, som löneutbetalningar, görs via system. Därför tänker många att registerförteckningen ska skapas med systemen i organisationen som utgångspunkt. Här är det dock viktigt att hålla i åtanke att det är främst själva behandlingsaktiviteten som ska vara utgångspunkten, så det kan vara klokt att dela upp vissa system, som CRM-system, i olika register för olika behandlingsaktiviteter. Det är mycket viktigt att organisationen har ett ändamål med att till exempel lagra personuppgifter. Finns det inget ändamål ska man ta bort personuppgifterna. Man ska inte lagra för att man inte orkar sätta upp en gallringsrutin, eller för att det finns en minimal chans att personuppgifterna kan vara till nytta i en obestämd framtid. Sådana ursäkter fungerar inte. Tidsfristen behöver dock inte alltid uttryckas som: ”efter 1 år raderas personuppgifterna…”, utan kan formuleras så att personuppgifterna tas bort när ändamålet är avklarat. Till exempel, ”När provanställda blir tillsvidareanställda så raderas deras kreditupplysningar från HR-systemet…” Om organisationen inte redan har en så bör man ta fram en. Detta är viktigt då GDPR kommer att kräva att man har rutiner och policy på plats för att bland annat skydda personuppgifter, det finns till exempel specifika krav på incidenthantering relaterat till personuppgifter. Individen har vid insamlingstillfället rätt att veta bland annat vilka personuppgifter som samlas in, ändamålet och om uppgifterna kommer att överföras till en tredje part. Detta kallas för en integritetspolicy. Registrerade har även i vissa fall rätt att få ut kopior av de personuppgifter som faktiskt behandlas om den registrerade. Det är därför viktigt att tänka på vad man skriver i fritextfälten i CRM- eller supportsystemen. Jag tror att den största missuppfattningen är att vissa tror att enorma sanktionsavgifter kommer att utfärdas för små personuppgiftsbagateller. Straffen kommer att vara proportionerliga till brottet. Anledningen till att det finns ett maximalt sanktionsavgiftsbelopp på €20 000 000 eller 4% av den globala omsättningen är för förmedla ett budskap till de största aktörerna som Facebook och Google som behandlar ofantliga mängder personuppgifter. Det jag har märkt är att kravet inte alls är så hårt som man trodde att det skulle vara. Det finns många undantag. Det som är viktigt är att det finns ett bra skäl till varför man har kvar personuppgifter om enskilda, exempelvis genom rättsligt anspråk eller arkivändamål om man vill föra statistik. Exempelvis så har den registrerade rätten att få sina personuppgifter borttagna ifall ändamålet med behandlingen inte är nödvändigt längre, ifall den registrerade återkallat sitt samtycke eller om det rör sig om tjänster som Facebook eller e-handel. Att man inte har tillräckligt med dokumentation, policy eller rutiner för behandling av personuppgifter anpassade till GDPR. Lägg energi på att föra en registerförteckning, skriv om biträdesavtal, skriv en GDPR-anpassad IT-policy och utbilda anställda om nya rutiner/processer. di|Vi vill höra mer om just era utmaningar och önskemål h1|6 frågor och svar om GDPR! h2|Kom igång redan idag h4|Kan du kort beskriva vad GDPR är för något? Många företag är stressade över GDPR – vad är dina 3 bästa tips till de som befinner sig i anpassningsprocessen till GDPR? Vilken information gällande en organisations hantering av personuppgifter har individen rätt att se? Vad uppfattar du vara en av de största missuppfattningarna gällande GDPR? Hur hårt är kravet på rätten att bli bortglömd, får man lagra information även fast någon har begärt att bli bortglömd? Så vad tror du att organisationer kommer att straffas för? sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy em|Alla företag bör göra en registerförteckning Se över sina gallringsrutiner Skapa en IT-policy med hänsyn till GDPR pa|Are you tired of handling and storing credit card data locally? Do you want to reduce your PCI DSS scope and with it your cost of compliance? Click to download our today di|Vi vill höra mer om just era utmaningar och önskemål h1|Product Guide: Tokenization Service h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|What if you could pick-and-choose IT tools, infrastructure and cloud services right when your business needs them, implement with ease and pay for how much you use? That’s exactly what AWS, Amazon Web Services, offers. An extensive catalogue of cloud based services stemming from data centers, machine learning, analytics, app development all the way to remote work solutions for employees. Whatever your business need may be, there is a solution available to alleviate the challenge. The struggle however? With such a broad scope it can be difficult and time consuming to know the best fit and most cost effective solution for your business. Additionally, AWS has a number of industry compliance regulations such as PCI DSS that must be met. That’s where partnering with us at Complior comes in. Our team of experts works with you to optimize your AWS cloud environment. Whether you’re already an AWS partner or you’re just getting started, minimizing cost and maximizing effectiveness is no doubt a goal for growth. Navigating through AWS to ensure you’re selecting the best fit for your business can be a lengthy and arduous journey. With innovation continuously launching on AWS, staying on top of tools can be resource-exhausting. When you partner with our team of knowledgeable experts at Complior, we: Complior focuses on honing your IT environment on AWS, freeing up time, resources and stresses so your team can focus on business growth. Utilizing AWS services means cost savings in IT infrastructure, human resource management and the ability to ensure resources are directed towards innovating, launching and selling your business’ core products and services. Partnering with Complior means optimizing AWS services for further cost savings, ensuring privacy for your business and customers, regulation compliance and employing the most-up-to-date and beneficial AWS tools to meet your business needs and scale your business goals. di|Vi vill höra mer om just era utmaningar och önskemål li|Meet with you to understand and identify your needs Navigate AWS to identify optimal solutions Implement into your AWS cloud environment Ensure you’re fully compliant with industry requirements and regulations Monitor & manage AWS cloud Advise on any new launches of benefit for your business Provide transparency in communication with our technicians for 24/7 support h1|New at Complior: Amazon Web Services h2|Kom igång redan idag h5|What does an AWS partner actually do? What does this mean for your business? sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|I GDPR finns det en princip som heter ansvarsskyldighet vilket innebär att man ska kunna bevisa att man efterlever förordningen. Ett sätt att göra detta på är bra dokumentation. I detta blogginlägg går vi igenom den viktigaste dokumentationen för att följa GDPR En registerförteckning är ett register över hur organisationen behandlar personuppgifter. Både personuppgiftsansvarig och personuppgiftsbiträde är skyldiga att föra register över personuppgiftsbehandling. Genom att föra ett register över det kan organisationer svara på frågor som var, varför, hur och hur länge personuppgifter behandlas. Bland annat ska registerförteckningen specificera ändamål med behandlingen, vilka kategorier av personuppgifter som behandlas, rättslig grund och hur länge personuppgifterna sparas. En registerförteckning är ett viktigt dokument då man som organisation ska kunna visa Datainspektionen detta på begäran. Förteckningen är även ett väldigt bra underlag för en gap-analys. GDPR innebär ett nytt sätt att se på informationssäkerhet och individens integritet. Organisationen ska visa att den har satt övergripande mål och hålls ansvariga för säkerheten runt personuppgifter, vilket bör reflekteras i en informationssäkerhetspolicy. Många har kanske redan en sådan policy i sin organisation, men då gäller det att uppdatera den så att den innehåller det som GDPR fokuserar mer på, exempelvis personlig integritet och rättigheter, risk- och incidenthantering och klassning av information. En informationssäkerhetspolicy är ett övergripande styrdokument, men det fastställer inte hur företaget ska jobba för att följa den. Regler och riktlinjer konkretiserar och detaljerar informationssäkerhetspolicyn och specificerar hur man kommer att göra i praktiken. En rekommendation är att dela upp dokumentet och beskriver det som rör användare, ledning, system/nätverk och rättigheter (registrerades rättigheter till sina personuppgifter) i olika segment. En Privacy Policy, även kallat integritetspolicy, dataskyddspolicy, sekretesspolicy och personuppgiftspolicy, anger vilken typ av information som samlas in och vad organisationen gör med den. En Privacy Policy är ett tillfälle för företag att vara transparanta med sin personuppgiftsbehandling. I en Privacy Policy kan vara bra att utgå från frågorna vad, varför, hur, hur länge och var. Man ska ange vad det är för personuppgifter man behandlar. Det är även viktigt att ta upp varför – varför behandlar vi personuppgifterna? Vad är syftet? Då GDPR ställer krav på att personuppgifter i regel ska behandlas inom EU/EES är det dessutom viktigt att ange var personuppgifterna behandlas och lagras. Förutom detta bör man även ta upp säkerhetsåtgärder för skydd av persondata och individens rättigheter när det kommer till sina personuppgifter. Det är viktigt att vara specifik och transparent i sin Privacy Policy – bättre att vara övertydlig än otydlig! Om en organisation exempelvis behandlar personuppgifter på sätt som inte har specificerats i policyn, så kan detta användas emot organisationer rent juridiskt. När du ska skriva din Privacy Policy är ett tips att titta på hur andra organisationer har gjort. Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarigs räkning, alltså någon utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en person (till exempel en enskild företagare), myndighet eller organisation. Det kan exempelvis vara en tjänsteleverantör såsom molntjänstleverantör eller marknadsföringsbolag. För att säkerställa att personuppgiftsbehandling uppfyller GDPR bör man upprätta ett biträdesavtal med personuppgiftsbiträden. Biträdesavtalet tas fram av den personuppgiftsansvarige och ska beskriva personuppgiftsbehandlingen. Denna beskrivning bör innehålla vad som behandlas (typen av personuppgifter), varaktighet och syfte med behandlingen och personuppgiftsbiträdets och personuppgiftsansvariges skyldigheter. Många kanske redan har flera av dessa dokument på plats, men då GDPR innebär ett antal förändringar från PuL, så bör man se över och uppdatera befintliga versioner. Kraven i GDPR kan vara svårtolkade men i grund och botten handlar förordningen om att organisationer måste bli bättre på att förvalta personuppgifter. Ett säkerhetstänk bör därför genomsyra hela organisationen – i rutiner, regler, policyer, produkter och tjänster. di|Vi vill höra mer om just era utmaningar och önskemål h1|En snabb guide till GDPR-dokumentation h2|Kom igång redan idag h4|Registerförteckning Informationssäkerhetspolicy Regler och riktlinjer för informationssäkerhet Personuppgiftspolicy Biträdesavtal (personuppgiftsbiträdesavtal) sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Dikotomi: Kommer från 1700-talets grekiska ord Dicho (Duality) Tomia (snitt, skärning) Betyder: En uppdelning i två delar eller klassificeringar, speciellt när de är skarpt urskiljbara eller motsatser. Det här är det första i en serie inlägg om det inbördes förhållandet mellan en molntjänstleverantör och dess kunder inom PCI DSS. Som en QSA och tidigare PCI DSS-chef hos en av de största PCI DSS-certifierade molntjänstleverantörer på nivå 1 i Sverige har jag ofta upplevt utmaningar gällande det ömsesidiga ansvar som en leverantör och en kund har. Som PCI DSS-chef, var jag tvungen att samarbeta med: För mitt företag revision: Det finns minst sex olika aktörer som arbetar mot ett mål vid en standard revision hos kunden. Jag kommer framöver att titta mer på de olika rollerna och vem som gör vad, men vi börjar med att etablera en matris för ansvarsfördelningen mellan kund och tjänsteleverantör i stil med den som gällande moln. En matris som utgår ifrån typen av tjänst (er) som tjänsteleverantörer (SP) levererar till kunden. En sådan matris är en avgörande del av revisionen eftersom det visar vilka krav som gäller. En matris är ofta mycket teknisk och detaljerad. Ju mer detaljerade den är, desto tydligare blir rollerna för de inblandade och desto lättare blir revisionen. Ja, det är en stor uppgift som kräver många justeringar och avstämningar. Beroende på avtal mellan parter kan det finnas fem olika scenarier för varje underkategori av PCI DSS-krav: För varje PCI DSS-krav måste det finnas en detaljerad beskrivning av orsaken och tillämpning, samt en compliance-beskrivning (om den finns) i Report of Compliance (ROC). Om tjänsteleverantören inte är PCI DSS-certifierad, har kunden allt ansvar för de 12 kraven (samt underkategorier) i standarden. Om tjänsteleverantören är PCI DSS-certifierad är kunden bara ansvarig för de krav som gäller kunden, eftersom tjänsteleverantören granskas av en oberoende tredje parts QSA på de tjänster som leverantören säljer, exempelvis Colocation på sina datacenter som är PCI-DSS-certifierad. En del av den fysiska säkerheten för Req. 9 är inte för kunden. Tja, sådana distinktioner verkar vara svåra att smälta för vissa QSAs. Varje gång, även med samma QSA år efter år, har jag sagt att det inte är möjligt, och att det är ett slöseri med tid och pengar för både tjänsteleverantören och kunden. En oberoende tredje parts-QSA hade redan certifierat våra tjänster och vår AoC fanns för att garantera vår efterlevnad. Försök att föreställa dig vad som skulle hända om alla PCI DSS-enheter som erbjuds hos AWS (Amazon Web Services) ville ha Amazon datacenter (som är PCI-DSS certifierade) granskade varje gång sådana enheter hade en revision: Det skulle vara omöjligt. Som QSA numera, måste jag granska om den bedömda enheten övervakar efterlevnaden av sina tjänsteleverantörer. Jag ser att det fortfarande ofta är en gråzon. Personligen litar jag på kompetensen hos alla QSA:r. Om en av dem anser att en leverantör är PCI DSS-kompatibel och värd en AoC, skulle jag aldrig utmana beslutet. Varje QSA har gått igenom samma process som jag för att bli en QSA och därmed bör hens åsikt respekteras. Detta avslutar det första inlägget; nästa gång vi kommer att täcka fyra V: Vem är vem och vem gör vad. di|Vi vill höra mer om just era utmaningar och önskemål li|Mitt företags systemingenjörer Företagsledningen Företagets QSA Kundens systemingenjörer Service Management Kundens QSA N/A för SP N/A för kunden Gäller endast för kunden Gäller endast för SP Delat ansvar st|En presentation av personerna inom Cloud Service, tillvägagångssätt och gråzoner h1|Dikotomi av en tjänsteleverantör h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|En viktig del av PCI DSS-certifieringen är att upprätta och följa en godkänd IT-policy. Själva dokumentationen utgör till och med ett eget krav i standarden, krav 12. PCI DSS (Payment Card Industry Data Security Standard) är en teknisk säkerhetsstandard som alla organisationer som lagrar, behandlar eller sänder kortdata måste efterleva för att inte riskera höga böter. Genom att uppfylla PCI DSS-kraven kan ditt företag vara säker på att ni följer branschens säkerhetspraxis och uppfyller de högsta säkerhetskraven som specificeras i regelverken. Att ta fram en IT-policy kräver djup kunskap inom PCI DSS och hundratals timmars arbete. Complior har både egen certifierad infrastruktur för säker molnlagring och kan via en partner erbjuda certifierade revisorer, så kallade PCI QSA, (Payment Card Industry Qualified Security Assessor), kvalificerade av PCI SSC-rådet att bedöma efterlevnad av PCI DSS-standarden hos företag och organisationer. För att ge dig en flygande start med ditt företags arbete med PCI DSS-certifieringen har Complior därför tagit fram en exempelpolicy för ett hypotetiskt företag, som kan ge ditt företag konkreta exempel på en omfattande policy som efterlever PCI DSS. Compliors exempelpolicy kan användas för att ge ditt företag inspiration till att skapa en egen unik policy som efterlever PCI DSS. I bilagorna kan vissa delar kopieras rakt av, då de innehåller register som måste ifyllas för att efterleva PCI DSS. Företag kan också välja att med den nedladdningsbara exempelpolicyn som utgångspunkt anpassa sina rutiner så att de passar policyn. På det sättet är man väl rustad att klara en PCI DSS-certifieringsprocess. Den 84-sidiga policyn är skriven för att täcka in alla typer av företag som omfattas av PCI DSS. För respektive avsnitt finns referenser till vilka krav i standarden som de svarar mot. På det sättet blir det enkelt att plocka bort de delar som inte är relevanta för den egna verksamheten och på ett smidigt sätt skapa en skräddarsydd IT-policy som bäddar för en snabb certifiering. – Dave. di|Vi vill höra mer om just era utmaningar och önskemål st|VAD ÄR PCI DSS? Vi ger dig en flygande start Fungerar för alla typer av företag h1|Gratis IT-policy för PCI DSS h2|Kom igång redan idag h3|Ladda ner gratis IT-policy för PCI DSS sp|Meny SV EN Meny SV EN Tillbaka Kontakta oss Anmäl dig till vårt nyhetsbrev em|”As an IT admin at a small nonprofit, I am always looking for great value in IT services. Complior’ IT Policy Template literally saved us days of research and writing time. I am grateful for the comprehensiveness and depth of the IT Policy Template, and the ease with which I can customize it. It is the best IT Policy Template I have seen.” För att ladda ner detta dokumentera behöver du bekräfta vår e-post prenumeration. Vänligen kolla din e-post och klicka på länken för att bekräfta din prenumeration. pa|Summary of Nordic Privacy Arena 2019: Datainspektionen and Cloud hosting for governmental bodies – The head of the Swedish Data Supervisory Authority (DPA), Datainspektionen, spoke to the future of GDPR in Sweden. Datainspektionen has previously received slight criticism from legal professionals in Sweden for being a bit too quiet and somewhat inactive after GDPR’s implementation. The Director General of the DPA mentions that her organisation has more than doubled their staff in a short amount of time and that the DPA needs time to train and learn before they can actively start imposing sanctions, as they are a bit afraid that the sanctions they may impose won’t hold up in a court of law. This is a very common occurrence amongst DPAs in Europe. A representative of the Irish Data Protection Commissioner shared in another panel that the Irish DPA has grown from 28 to 170 employees in a very short amount of time. So far the Swedish DPA has collaborated with other DPAs across Europe when performing their larger supervisory cases, the first being a review of organisations that are required to hire a Data Protection Officer and if they have done so. According to the DPA the full report will be released soon, including the result from all the 7 DPAs but I managed to get some spoilers. Apparently, she already knows the results and“it looks good”. As a closing statement, she said that the Swedish DPA is now amassing courage, but will soon actively impose sanctions like many other DP:s around Europe. The use of cloud hosting services has been a hot topic in Sweden, especially after a whistleblower showed the media that a Swedish governmental body stored top secret government information in a Romanian data center with very poor security. It was also uncovered that top political figures in Sweden knew of these issues without thinking it appropriate to take any immediate action. GDPR has also frightened lawyers working for governmental bodies of cloud hosting services. There was a panel were Fredrik Blix, associate professor at Stockholm University (and my former professor) spoke about cloud hosting services for governmental organizations. His arguments were that having on-premise IT-infrastructure is by no means a safer option than cloud services, often it is quite the opposite. Organisations usually can’t afford the level of physical security that an outsourcing partner can provide, since their core business is cloud hosting. Fredrik also mentions that cloud hosting is a very broad term and cloud services can vary significantly. There are a lot of information security driven hosting providers out there with private cloud solutions. Arguing against him was a representative from Arbetsförmedlingen, a quite infamous governmental body in Sweden that is responsible for helping the unemployed find work. He stated that it is forbidden to use cloud services in his government body. Shortly after saying that he admitted that they actually use a purchasing system that is a cloud based SaaS-solution. Regardless, his argument against cloud solutions was the risks, bad hosting agreements with big American companies like Microsoft, Google and Amazon. It was also stated that lawyers are generally against these type of services since the legal frameworks surrounding these solutions are complex and change quickly. It is difficult to predict if this will be legal in the near future. Lawyers also await more guidance on the issue from the Swedish government and the actions they will take for their own local cloud services for governmental bodies. There was also a representative from Sveriges kommuner & Landsting (SKL) in the panel, a Swedish interest group that, amongst everything else, provides guidance to municipalities and counties in Sweden. They agreed with Fredrik, it is totally legal for governmental bodies today to use IT-outsourcing partners. However, it should be done in an organized manner and a risk assessment must be conducted during the procurement process. She also mentioned that SKL is soon to release new guidelines for cloud hosting services on their website. A representative from Datainspektionen also agreed that it is legal and fine to use cloud hosting if you take the right precautions. By the end of the panel, it seemed that everyone was in agreement that cloud hosting solutions are legal and here to stay. However, there is no denying that there are difficulties in place such as few local hosting providers that can meet all of the requirements of governmental bodies. The agreements of the big American companies are for now not that good for governmental bodies. What government bodies want is local cloud hosting with a focus on security that is adapted to public law requirements – a type of gov-cloud solution. As a closing statement Fredrik said that the risk is never at 0%, the point of information security has never been to provide zero risk but rather to mitigate the risk in proportion to the value of the assets and achieve balance. Shortly after the Nordic Privacy Arena of 2019 was over Anders Ygeman, the Swedish minister of energy and digitalization who was present at the event, announced that the government has decided that Sweden shall build their own government cloud solution. di|Vi vill höra mer om just era utmaningar och önskemål st|By Jonas Gharanfoli, Compliance Manager at Complior h1|Summary of Nordic Privacy Arena 2019 h2|Kom igång redan idag h5|Director General, Swedish Data Protection Authority Cloud hosting, GDPR and governmental bodies sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|I was a participant at the recent Nordic Privacy Arena in Stockholm and heard some very interesting presentations and panels discussing contemporary privacy issues and data protection legislation. If you are interested in the GDPR and privacy, and want a summary of the latest and biggest news since GDPR was implemented in 2018 from the biggest names in the business, stick around. SOURCE: pa|I mitt arbete som Compliance Manager och GDPR-konsult får jag dagligen frågor om GDPR. I detta blogginlägg har jag samlat några av de vanligaste frågorna jag fått från både företag och privatpersoner. Datainspektionen kommer att prioritera sina tillsynsärenden där ”risk för missbruk är särskilt stor” enligt Datainspektionens webbplats (t.ex. organisationer som behandlar stora mängder känsliga personuppgifter). Datainspektionen prioriterar även genom att iaktta mottagna klagomål eller missförhållanden som uppmärksammas i massmedia. Enligt Datainspektionens generaldirektör kommer det första tillsynsåtagandet utreda ifall organisationer som måste anlita dataskyddsombud verkligen har gjort detta (t.ex. myndigheter, säkerhetsföretag, marknadsföringsföretag mm.). Dataskyddsombudets roll är att vara tillsynsmyndighetens förlängda arm och ska ha en oberoende ställning, detta kommer även att granskas. Arbetet med att uppfylla kraven i förordningen från grunden bör göras som ett projekt. Det första steget är att göra en kartläggning, en förteckning över organisationens system eller processer där man identifierar varför/hur/var mm. personuppgifter behandlas. Sedan handlar GDPR mycket om att uppföra GDPR-anpassade avtal, informera registrerade och se till att man har dokumenterade policys, regler och processer på plats där man tar hänsyn till förordningen. GDPR kommer att innebära stora förändringar för många organisationer, det är därför viktigt att ledning tar sitt ansvar och styr förändringsarbetet. Om ni inte tillhör en av ovannämnda kategorier av organisationer behöver ni inte vara jätteorolig ifall ni inte hunnit med alla aktiviteter i efterlevnadsprojektet. Det som är viktigt är att man har en efterlevnadsplan som ledningen står bakom. Det beror på ambitionsnivån. För att fullfölja förordningen i sin helhet behövs personer som kan praxis gällande dataskyddslagstiftning (alltså jurister som har jobbat ett tag innan med dataskyddslagstiftning). En viktig del av GDPR- efterlevnad handlar om att uppföra korrekta personuppgiftsbiträdeavtal, då är jurister till stor hjälp som även är bra på avtalsrätt. Det är även viktigt att det finns personer som kan informationssäkerhet och hur man organisatoriskt och tekniskt kan skydda personuppgifter. Om ni tänker anlita konsulter för att hjälpa till med GDPR-efterlevnaden behövs det personer som kan det juridiska, organisatoriska och tekniska Om man behandlar personuppgifter omfattas man av GDPR. Personuppgifter är allt det som kan identifiera en fysisk person, exempelvis namn, IP-adress, e-postadress och bilder. Har ni en webbplats, kundregister, register över anställda, använder e-post mm. behöver ni efterleva GDPR. Detta gör att i princip alla organisationer behöver efterleva GDPR. En viktig del av GDPR-efterlevnad handlar om att informera registrerade om hur er organisation behandlar deras personuppgifter. Ni kommer alltså behöva en integritetspolicy (privacy policy) på er webbplats. Det finns miljontals exempel ute på webben hur en sådan kan se ut. För företag som har en webbplats är det viktigt att komma ihåg att cookies och IP-adresser också är personuppgifter. För cookies kommer ni även behöva en cookies policy enligt cookie-lagen. di|Vi vill höra mer om just era utmaningar och önskemål st|Vilka företag kommer att granskas först av Datainspektionen? Vi är inte klara med vårt anpassningsarbete, vad gör vi? Krävs det jurister för att efterleva GDPR? Mitt företag har endast en enkel webbplats, hur vet jag om vi behöver följa GDPR? h1|GDPR – SVAR PÅ VANLIGA FRÅGOR h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Av: Jonas Gharanfoli, Compliance Manager pa|Complior har förnyat sin certifiering som PCI DSS Level 1 leverantör. är en säkerhetsstandard med ett syfte att skydda kortdata från stöld och bedrägerier. Certifieringsförnyelsen för PCI DSS sker efter den årliga granskningen av vår infrastruktur och plattform utförd av en extern QSA. Certifieringen visar att Complior uppfyller kortföretagen Visa, MasterCard, American Express, Discover och JCBs krav på drifttjänster för säker hantering av kortuppgifter och affärskritisk data. Säkerhet och compliance är en del av Compliors DNA. Vår infrastruktur och plattform har varit PCI DSS-certifierad sedan 2010, då man som första företag i Sverige uppnådde en PCI DSS-certifiering av sin miljö. Förnyelsen av innebär att Complior kan fortsätta erbjuda en färdig infrastruktur och plattform som möter kraven i PCI DSS. Vi har de policys, processer och system på plats som behövs för att tillhandahålla den höga säkerheten som krävs för att skydda kortdata. di|Vi vill höra mer om just era utmaningar och önskemål h1|Complior förnyar PCI DSS-certifiering h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Man kan säga att 2018 var året där man på riktigt uppmärksammade dataskydd och informationssäkerhet. Vem har inte hört talas om GDPR? Vi såg företag över hela Europa och världen jobba hårt för att uppfylla kraven i dataskyddsförordningen. 2018 har verkligen framhävt vikten av säkerhet och integritet. I detta blogginlägg kommer vi att gå igenom några av årets viktiga händelser när det gäller dataskydd och informationssäkerhet, och även sammanfatta några branschspaningar för 2019. GDPR gjorde, och gör fortfarande många företag nervösa. Förordningen, som anger hur personuppgifter som tillhör EU/EES-medborgare får behandlas, ger individen mer makt över sina personuppgifter. GDPR tvingade organisationer att granska sina rutiner och processer för att kunna säkerställa säker behandling av personuppgifter (som faktiskt bör ses som något positivt!). Vi har levt med GDPR i mer än 6 månader, och även om vissa europeiska myndigheter har börjat dela ut sanktioner har andra varit lite mer försiktiga. Sverige har till exempel tagit ett mer försiktigt tillvägagångssätt. Datainspektionen släppte sin första rapport i oktober, där de utvärderade 400 organisationer för att se om de hade utsett en DPO. * I Tyskland har en första sanktion nyligen utfärdats till ett chatplattformföretag. ** GDPR förstärker åsikten ​​att känsliga uppgifter ska skyddas. Personuppgifter är en viktig tillgång för både företag och privatpersoner - och bör behandlas som sådana. Detta har nu gjort att man lägger mer fokus på tekniska lösningar och datasäkerhetsmekanismer som kan förbättra skyddet av känslig data. Att göra integritet och skydd av känsliga uppgifter som en del av syftet med tekniken i sig är något som vi kommer att se mer av i 2019. Permanent integritet efterfrågas mer och mer av konsumenter. Vi har tidigare skrivit om Företag kan exempelvis leta efter lösningar som och . En annan lag som skapade rubriker i 2018 var CLOUD Act. I motsats till GDPR, som ger individer mer makt över sina personuppgifter, har CLOUD Act skapat en försiktighet bland många företag i Europa som har en amerikansk molntjänstleverantör. CLOUD Act är en amerikansk lag med global påverkan. Syftet med CLOUD Act var att modernisera lagar om övervakning och integritet för att spegla Internets globala natur. Vad det här innebär i praktiken är att amerikanska molntjänstleverantörer måste ge amerikanska myndigheter tillgång till data, oavsett vart uppgifterna är lagrade eller var personen i fråga bor. Detta skulle i praktiken kunna ge amerikanska myndigheter tillgång till uppgifter som tillhör EU-medborgare. CLOUD Act är en kontroversiell lag som representerar en helt annan syn på integritet jämfört med GDPR. Vi har skrivit om . Några av branschprognoserna för 2019 är att USA fortfarande kommer att ligga efter Europa när det gäller integritet. Detta kan potentiellt skada dem i den meningen att företag kan välja att förbise amerikanska IT-företag och istället göra affärer i länder där integritet prioriteras. *** IT-säkerhet är en konstant "trend" inom IT. Företag måste alltid ligga ett steg före hackare, vilket kräver nytänkande och innovativa lösningar. Branschexperter är överens om att hackare kommer att bli ännu mer sofistikerade, och att maskininlärning/AI kommer att användas mer i cyberförsvar. *** Då dataskydd har blivit en del av dagordningen har vi sett att cybersäkerhet värderas mer av företag, speciellt på styrelsenivå. Att få upp IT-säkerhet i värdekedjan är positivt på många sätt. Det hjälper företag att ligga ett steg före hackare. Att vara känt som ett säkert företag kan även bygga förtroende hos befintliga och potentiella kunder. * ** *** di|Vi vill höra mer om just era utmaningar och önskemål st|GDPR – mer makt till folket! Ett mynt har alltid två sidor - kontroversiella CLOUD Act IT-säkerhet upp i styrelsen h1|2018 - året med GDPR och CLOUD Act h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Data är viktigt för alla organisationer, den är kritisk, känslig, informativ, flerdimensionell, och gynnar alla nivåer, från topp till botten. Den kan vara intern såväl som kundorienterad. Och, det kan handla om kortdata som kräver en helt annan nivå av säkerhet och tillvägagångssätt. Normalt sett lagras en organisations data, som kan handla om all möjlig information – intern, extern, kund, finansiell – i databaser och datalager. Data som är den mest kritiska och förmodligen det viktigaste målet för en eventuell attack. Att välja och placera data på rätt plats är avgörande, särskilt när organisationer har data med olika säkerhetskrav. Det blir en ännu större utmaning när verksamheten växer. Tyvärr är uppgiften att fastställa vad som utgör känsliga uppgifter/data, var det finns och hur man skyddar det är ofta stressfullt för organisationer och deras CSOs. Företag måste vara proaktiva när det gäller att bestämma datakategorier innan den landar i databaser eller datalager. Det går inte att skydda data om man inte vet var den är och hur allt hör ihop. Rutiner och en checklista kan underlätta betydligt. Några punkter: Dessa är några grundläggande riktlinjer för de organisationer som hanterar känslig data. Dessa punkter måste knytas samman med en rutin eller interna processer för att garantera utförandet av säkerhetsåtgärder för att skydda data. När processerna blir automatiserade kommer det också att hjälpa organisationer med deras compliance process och även tillhandahålla revisorer med information. di|Vi vill höra mer om just era utmaningar och önskemål li|Kategorisera data Förstå var den finns Säkra känslig data Skilj på test- och produktionsdata. Testdata ska skyddas i en testmiljö och bör stanna där. Underhåll och revidera åtkomstloggar Övervaka filintegriteten – detta är mycket viktigt för att göra loggar och data ’manipulationssäkra’. Implement real time file access and sharing auditing h1|Identifiera och säkra data h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Du har tagit fram din app och är nöjd med hur den fungerar. Du har skrivit om de delar av koden som ödelagts av den ytliga hanteringen av den globala variabeln, fixat den ’bad blinded’ SQL-Injektionen och illavarslande XSS som påträffades under penetrationstesten. Stängt alla värdelösa anslutningsöppningar och börjat navigera bland alla kompatibilitetsproblem som din applikation har. Den fungerar på RedHat, men på Debian missar den något, och för att inte tala om Windows där Cygwin måste installeras med alla frågor som en fruktansvärd uppgift kan medföra. Samma smärta (eller ännu mer) gäller för Windows, om du måste flytta den till en Linux-maskin. Om inte din ansökan är skriven i Java, är det du just läst vad alla utvecklare upplever när det är dags att ’port’ en applikation. Java kan ofta vara bristfällig, ha prestandaproblem med sin egna JVM, och vem sa att alla måste förslavas av ett enda kodspråk? När, och om kompatibilitetsproblem har lösts, så kan denna röra som kallas administrationssystem påbörja sin resa av PCI DSS. Du kanske redan har blivit det monster som beskrevs ovan, som nästan drunknar i det kaos som finns inbäddat i IT-branschen. En alltför överkomplicerad värld som ständigt genomgår förändringar. Om den tiden kommer vill du förmodligen byta karriär, eller fortsätta simma i det djupa havet, bli lerig och mager. Båda alternativ låter rätt dåliga, eller hur? Oroa er inte sade den vise! Bortom Java kan det finnas en frälsare som kastar dig ett rep för att rädda dig. En sådan frälsare går under namnet Docker. För att kunna förstå konceptet bakom Docker så måste man först förstå vad skillnaden mellan Linux-kärnan och användarapplikationer är. Kärnan är själva programvaran, som ger applikationer åtkomst till din dators hårdvara via drivers och APIs. Användarapplikationer använder kärnan för att köra, och omfattar alla program du i normala fall skulle använda, såsom: Docker är ett verktyg som sveper upp ett antal av Linux-teknologier – främst ’cgroups’ och ’kernel namespaces’ – för att isolera grupper av användarapplikationer så att alla gemensamt brukar kärnan, och delar upp resurser som det passar. Applikationerna körs i ett objekt som kallas en behållare (container), den är portabel och kan med lätthet lyftas och flyttas mellan servrar och datorer. Tänk dig att du skriver din ansökan och tillsammans med säkerhetskonsulter säkrar den så bra ni kan. Ni tar sedan kontakt med en PCI-DSS-certifierad ’hosting provider’. Ni skickar er Docker-behållare till ’the hosting provider’….och voila: Omfattning minimeras. Mindre strul för din QSA, mindre konfiguration och tid för din ’hosting provider’…och gissa vad? Mindre kostnader för dig! Allt låter fantastiskt, men en sak dyker upp i mitt huvud: Om grundidén med Docker är att skicka min behållare med min ansökan och egen instans av MySQL, Apache, PHP och deras konfigurationer, hur följer jag då: Med Docker-databasen, så samexisterar webbservrar och applikationsservrar i samma behållare (container) och därmed på samma server. Kan Docker betraktas som en virtualiseringsteknik? Borde vi sätta alla primära funktioner i separata behållare? Om ja, är det fortfarande vettigt att använda Docker istället för VMs? Om vi svarar jag på frågorna, och behållarna är isolerade från varandra så skulle det rent hypotetiskt vara möjligt att sätta upp ett helt betalningssystem inuti en single server, med alla primära funktioner uppdelade i flera behållare som delar samma kärna. Om inte, så är Docker troligtvis inte så behjälpligt när det gäller PCI DSS, och inte heller ur en kompatibilitetssynpunkt. Hur som helst är Docker en ny teknik, och som Friedrich Nietzsche brukade säga: Framtiden påverkar nutiden lika mycket som dåtiden gör. di|Vi vill höra mer om just era utmaningar och önskemål li|Webbservrar som Apache Applikationsservrar som PHP Databasservrar som MySQL ’Shells’ som BASH Verktyg som Git E-posttjänster etc. st|Vad är Docker? Hur hjälper Docker till när det gäller PCI-DSS-efterlevnad? h1|Drunkna i PCI-DSS eller docka din app? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Drowner: En fruktansvärd varelse av lera och avskum som drar ner folk i myrar och bubblande virvlar. Den livnär sig på unga kvinnor som badar i floder och ibland drar de män av sina hästar eller vagnar när de passerar en bro eller fördämning. Drowners uppstår av skurkars kroppar som dött i rinnande vatten eller undervattensströmmar som bildas efter storm. Dessa vattniga varelser förkroppsligar de andar som inte kan vila efter döden och är ibland födda från foster aborterade med magiska medel. De är fula till utseende, magra, långa och beniga. Deras kroppar är slemmiga och gröna, även deras hår. En pöl av slem bildas där drowners sätter sin fot. 2.2.1 Implementera endast en huvudsaklig funktion per server för att förhindra att funktioner som kräver olika säkerhetsnivåer ska samexistera på samma server. (Till exempel webbservrar, databasservrar och DNS ska implementerar på separata servrar). Notering: Där virtualiseringsteknik är i bruk, implementera endast en primär funktion per virtuell systemkomponent. pa|GDPR har varit på många läppar det senaste året, och organisationer av alla slag och i alla storlekar har arbetat hårt för att efterleva förordningen i tid. Dokumentation har varit en viktig del av anpassningsarbetet, någonting vi tidigare har behandlat här. Men GDPR handlar ju om mer än bara det. För att kunna inte bara juridisk kompetens, utan även teknisk. GDPR lyfter fram vikten av integritet, spårbarhet och transparens i behandlingen av personuppgifter. Där blir tekniska lösningar viktiga för att efterleva förordningen. En av de viktigaste tekniska frågorna att ställa är - har jag koll på var min data hanteras och lagras? Detta är en mycket relevant fråga, speciellt då molntjänster och virtuella datacenter som AWS och Azure ökat i popularitet. För att underlätta sin efterlevnad av GDPR gäller det att ha koll på vart sitt data finns, och speciellt om det lagras innan eller utanför EU/EEA. I Sverige har SKL (Sveriges kommuner och landsting) exempelvis rekommenderat att kommunernas data ska lagras i Sverige. För företag med verksamhet i Sverige kan det därför vara en fördel att välja en hostingleverantör med . Då kan man med säkerhet veta att datat finns i Sverige, och att leverantören inte bara förstår och följer GDPR utan även har koll på svenska lagar och branschspecifika regler och direktiv gällande hantering av känsliga uppgifter. Spårbarhet är viktigt inom GDPR. En personuppgiftsincident (personal data breach) ska exempelvis anmälas inom 72 timmar. Företag måste kunna tillhandahålla bevis, och ha en bra överblick över vem som har gjort vad. . Logghantering har tidigare använts mycket inom bland annat betalningsbranschen och sjukvården, där det har varit ett krav enligt säkerhetsstandardern och HIPAA. Övervakning och dokumentering av system är viktigt ur både ett säkerhetsperspektiv och ett complianceperspektiv. En logg är en automatisk dokumentation av en händelse, och har en tidsstämpel. Loggar ger en inblick i hur användare agerar och hur en applikation fungerar. Dessutom kan loggar ge ledtrådar om varför och hur någonting exempelvis har gått fel, och var otillåten trafik kommer ifrån. Med logghantering finns bevis tillgängligt, och företag kan lättare utvärdera situationer. Vid en personuppgiftsincident är det väsentligt att det finns bevisunderlag, och det kan loggar bidra med. Logghantering ger adekvat spårbarhet och hjälper företag få en överblick över vem som har tillgång till vad – någonting som är jätteviktigt i GDPR-eran. Alla de som på något sätt behandlar personuppgifter i EU eller om EU-medborgare, måste följa GDPR. Ett av kraven i GDPR handlar om pseudonymisering. Företag ska implementera tekniska lösningar där känsliga uppgifter inte ska kunna kopplas direkt till en person. Ett hjälpmedel för att uppnå detta är tokenization. innebär att känsliga uppgifter såsom personuppgifter, flyttas ut och ersätts med ett oläsligt token. Personuppgifterna lagras istället lokalt. Likt logghantering så används redan tokenization inom ett antal branscher, bland annat betalningsbranschen där det kan underlätta hanteringen av kortdata. GDPR innebär en strängare syn på personuppgiftsbehandling, men uppfattningen att man ska skydda känslig information har funnits länge. De lösningar vi tagit upp här borde inte endast ses som sätt för företag att underlätta sin efterlevnad av GDPR, utan även som sätt att förbättra säkerheten i sina företag. di|Vi vill höra mer om just era utmaningar och önskemål st|Hosting och GDPR - var finns ditt data? Logghantering för att följa kraven i GDPR Tokenization och pseudonymisering h1|Tekniska lösningar för GDPR h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Complior brukar varje år donera till en välgörenhet eller initiativ som en gåva till våra kunder, samarbetspartners och medarbetare. Som ett alternativ till påskägg och påskgodis väljer vi i år att stödja Läkare Utan Gränser. Läkare utan gränser är en medicinsk humanitär organisation vars arbete räddar liv världen över. De finns på plats vid krig, kriser och naturkatastrofer, och bistår varje år miljontals människor med sjukvård och annan humanitär hjälp. En av deras anläggningar finns i Akoro i Sydsudan, ett område där miljontals människor har drivits på flykt på grund av en pågående konflikt. För att lättare kunna bistå behövande i avlägsna byar med sjukvård har Läkare utan gränser satt upp mobila kliniker. Genom dessa mobila kliniker kan läkarteamen behandla över 2000 patienter i månaden . För att läsa mer om Läkare utan gränsers viktiga arbete, di|Vi vill höra mer om just era utmaningar och önskemål h1|Complior stödjer Läkare Utan Gränser h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Att implementera ett för ett företag är ofta väldigt svårt. Det kan ofta bero på otydliga projektmål och bristande grunder att utgå ifrån. Det finns två huvudsakliga logghanteringssystem: Ett Information Management System är en åtkomstlösning för att kunna generera, samla in, analysera och lagra loggfiler så att man kan säkerställa deras konfidentialitet, integritet och tillgänglighet. En loggfil innehåller en identifiering som är unik för en person, ett tidslag och kommandot eller sökningen som gjorts. Ett Event Management System syftar till att hitta information för att lättare upptäcka säkerhetsincidenter inom en stor mängd data genom att använda källdata från IDS/IPS, loggar från nätverksutrustning eller -system. Det innebär att man använder datamining-sökningar med korrelationsmekanismer för att upptäcka mönster som brukar associeras med skadliga program och/eller eventuella attacker. Rent tekniskt kan de två systemen ha saker gemensamt, men det är ändå bra att ta itu med dem i två olika projekt och sedan återanvända gemensamma komponenter, såsom tolkning och insamling av loggar osv. I det här inlägget kommer jag fokusera på Information Management System och belysa de steg som behövs för att lyckas. Ett klassiskt misstag många gör är att tro att en logghanteringslösning hänger på installationen och konfigurationen av en mjukvara, snarare än att jobba utifrån att uppnå de slutliga målen för projektet. Ett Information Management System har två huvudsyften: Lösning som ska implementeras är tätt sammankopplad med en tydlig definition av målen. En bra utgångspunkt är om företaget redan har implementerat en lösning för identitets- och åtkomsthantering (IAM). Om så inte är fallet blir det nödvändigt att lägga till en fas för att gå igenom konton och filtrera. En förutsättning för ett framgångsrikt genomförande av ett IMS är att alla användar-ID är kopplade till en unik person. Även konton för applikationer måste vara kopplade till en anställd. När det finns ’privileged accounts’ ska man inte tillåta direkt tillgång till systemen med dem. Användarna ska tvingas identifiera sig med sitt personliga användarnamn först. När loggar inte finns i systemet måste man tydligt definiera hur de kommer att genereras. Det är inte ett trivialt problem, eftersom det för det mesta kräver att man gör det på system som finns i produktion och som inte är framtagna för att ta hänsyn till logghantering. Den bästa lösningen är en som inte kommer att ha en inverkan på själva systemet eller på affärsapplikationerna som systemet stöder. Jag vill inte gå in i detalj och utvärdera hur generering av loggar påverkar system, men det är nog bra att nämna åtminstone två kategorier av grundläggande operativsystem: Med Windows måste vi ta itu med ett operativsystem som har dåliga spårningsmöjligheter att utgå ifrån. Det sparar informationen i binär form och har det är inte lätt att spåra aktiviteter relaterade till åtkomst genom att logga in någon annanstans. I det här fallet är lösningen ofta en installation av produkter som tillhandahåller en konsol för att generera rapporter med tillgång till systemet och objekt i filsystemet. En applikation som registrerar externa sessioner på mål plattformen, kan vara i en videofil, stöder vanligtvis den här typen av lösning. Unix/Linux har mycket färre problem. Lösningen kan då vara mindre invasiv, som t ex ett skalprogram som skriver alla kommandon i en fil, inuti en SSH-session. För insamling av loggfiler, när de är lokalt genererade, finns det två grundläggande sätt: Fördelen med pull mode är att det är lättare att managera, men push mode ger bättre garantier gällande filens integritet. För att säkerställa loggfilernas integritet och för att förhindra att de systemgenererade loggfilerna inte ändras efter att de skapats, finns det olika lösningar som följer samma princip: Så fort loggfilen tagits bort från källsystemet måste man: Efter det är lagring av de tre enheterna loggfilen, string hash och tidsstämpel möjlig. De två sista gör det möjligt att kontrollera autenticiteten av den lagrade loggfilen. Naturligtvis är det inte tillräckligt för att producera en loggfil i ett domstolssammanhang, men det är mer än tillräckligt för PCI DSS-efterlevnad. di|Vi vill höra mer om just era utmaningar och önskemål li|Information Management System Event Management System Efterlevnad av interna policyer och/eller externa regelverk (i vårt fall PCI DSS, men det kan även vara t ex SOX, BRP.) Behovet av att ha databevis som skydd mot eventuella bedrägerier gällande kunduppgifter som gjorts av anställd eller tredje part. Windows Unix/Linux push mode: skickar loggfilen från servern till det centrala arkivet när sessionen stängs pull mode: överföringen av loggfilen är centralstyrd beräkna string hash skriva tidsstämpeln med en centraliserad och synkroniserad tidsserver (identifikation med timme, minut, sekund, dag, månad och år) som sedan markerar hashen och samtidigt räknar ut den digitala signaturen st|Målen för de två respektive systemen skiljer sig betydligt Fas ett: Kontoöversyn och rensning Fas två: Loggproduktion Tredje fasen: Insamling och skydd h1|Logghanteringssystem – varför och hur? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Facebook. Flipboard. Fortnite. All three have had security breaches in 2019 leaking hundreds of millions of customers data to hackers. Downright frightful. The spookiest part? It’s not the first time for some of these companies, and it all could have been avoided witch 🧙is the whole point. In April of this year, over half a billion users’ Facebook ids, passwords, likes, check-ins, events and more were accessed by hackers through two third party Facebook apps. Still the world’s most popular social media platform this was the biggest breach in social media history to date! Today it’s not just personal information, but behaviours and marketing interests that have companies scrambling at the bit to increase sales and reach potential customers. This was exactly what was leaked; had they instilled “…a combination of…the right processes in place, testing regularly, and taking the extra steps to prioritize and develop layered security (i.e. no shortcuts to save the P&L!).” they could have avoided the incident reports. examined the Flipboard breach highlighting that how a company reacts and manages a breach with their customers is significant. Ethical hacker John Opdenakker states, “while a lot of companies fail at data breach disclosure, Flipboard did a good job; their communication is very transparent and detailed.” So what did Flipboard do? They emailed all their customers details about the breach immediately resetting their passwords and providing detailed instructions on the how and what. They even went one step further and either deleted or replaced all digital tokens while also advising law enforcement. When this incident took place, Flipboard owned up and executed in a timely fashion because they had their cyber security protocols in place and knew exactly what to do. Fortnite is a massively popular online game generating billions in revenue each year with an estimated 200 million players. Hackers created misleading landing pages and sites where game users could falsely purchase in-game currency by entering their personal and credit card information. also found a number of ways to obtain game users’ personal information accessing Fortnite’s database quite easily. The collection and re-sale of customer information, especially when it includes credit card information, on the black market is candy corn for hackers today. are billion dollar organizations and obvious targets for hackers to obtain large data sets of customer information, but today no one is safe. No matter the size of your organization, the guys and ghouls personal data in your systems makes you a target. Prioritizing cybersecurity systems and continually testing and updating them is key to avoiding these situations. Sink your teeth into managing your organization’s cyber security with our experienced security experts. We can help your company reach and maintain compliance with security standards like och with such ease it will leave you laughing until you’re coffin. di|Vi vill höra mer om just era utmaningar och önskemål h1|How security measures keep the scare away 👻 h2|Kom igång redan idag h4|When was the last time your organization ensured all personal data and business critical applications were When was the last time your organization reviewed its cyber incident response plan and updated ? When did your organization obtain status, or has it? sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Resan mot PCI-certifiering är inte alltid enkel. Processen att uppfylla kraven är ofta mycket dyr och kräver en hel del resurser. Många företag kämpar också med att förstå vilka system det är som måste uppfylla kraven i PCI DSS. Att definiera omfattning är en kritisk process i PCI DSS. På engelska kallas det scope. Så hur definierar du scope? Och finns det sätt att minska omfattningen på din hantering av kortdata? Säkerhetsstandarden PCI DSS gäller för alla organisationer som lagrar, hanterar och/eller skickar kortdata. PCI SSC (Payment Card Industry Security Standards Council) listar följande steg i complianceprocessen. Det första steget i PCI DSS-processen handlar om scope, att identifiera vilka komponenter och nätverk som omfattas av PCI DSS. Denna övning bör ske varje år och före varje PCI DSS-utvärdering. Omfattning, eller scope, är hur PCI-rådet definierar vilka delar av din miljö som måste uppnå säkerhetskraven i PCI DSS. Det som definieras som ’’in scope’’ för PCI DSS är: Enligt PCI DSS består Cardholder Data Environment (CDE) av människor, processer och teknik som behandlar kortdata eller känslig autentiseringsdata Vad betyder i detta fall? I PCI-världen betyder behandla att lagra, hantera och/eller skicka kortdata. På engelska talar man om , och Detta innebär att om ditt företag har system som lagrar, hanterar eller skickar betalkortdata – så måste de uppnå säkerhetskraven i PCI DSS. Det första steget i PCI-processen handlar om att identifiera dessa systemkomponenter. När du ska identifiera vad som faktiskt måste följa PCI DSS, börja med att identifiera flöden av kortdata och alla de platser där kortdata finns. Du bör även identifiera alla systemkomponenter som är kopplade till kortdatamiljön. Systemkomponenter kan vara servrar och applikationer, och virtualiserade komponenter som virtuella maskiner, routrar och virtuella applikationer. Ett vanligt misstag som många företag gör är att tro att allt som inte är i kortdatamiljön inte omfattas av kraven i PCI DSS. Detta är inte alltid fallet. En komponent kan fortfarande vara ’in scope’ även om den inte är ansluten till kordatamiljön. Den gyllene regeln här är om en utesluten komponent, om den hackas eller liknande, fortfarande kan påverka säkerheten i kortdatamiljön– så måste de inkluderas. För en mer steg-för-steg guide till PCI-scope rekommenderar vi att man följer övningen som . Ett system omfattas inte av PCI DSS när det är helt isolerat från kortdatamiljön, i den utsträckningen att även om den specifika systemkomponenten äventyras, skulle det inte påverka kortdatamiljöns säkerhet. Ju fler processer, system och ju mer komplex din IT-miljö är, desto dyrare och svårare blir det för att nå och upprätthålla PCI-efterlevnad. Av den anledningen bör du försöka minska omfattningen av kortdatahantering när du väl har identifierat vilka system som omfattas av säkerhetsstandarden. Att begränsa PCI DSS-omfattningen kan minska kostnader och spara resurser. Det finns tyvärr ingen teknik där du helt kan slippa alla PCI DSS-krav, men det finns metoder som kan förenkla PCI DSS-kraven betydligt Nedan tar vi upp 4 metoder som gör det lättare för dig att följa PCI DSS-kraven. Nätverkssegmentering innebär att kortdatamiljön isoleras från resten av företagets nätverk. Syftet med nätverkssegmentering är att förhindra att system som är ’out of scope’ från att kommunicera med eller påverka systemets säkerhet i kortinnehavarens datamiljö. Tokenization är en process där man konverterar känslig data till icke känslig data. Denna metod kan avsevärt minska ditt PCI-scope eftersom tokeniserad data inte anses vara kortdata. Tokenization ersätter kortdata med ett "alias", ett separat slumpmässigt genererat värde som kallas ett token. Token är oläsligt, vilket innebär att det inte har något värde för brottslingar om du skulle utsättas för en hackerattack. Genom att ha tokeniserad data i dina system with an “alias” aka a separate random-generated value called a token. The token is indecipherable, which means it has no value to criminals in the event of a hacker attack. By having tokenized data flow through your systems, you avoid bringing them in scope. No card data resides in the cardholder data environment. Punkt-till-punkt kryptering, eller P2PE som det också kallas, är en metod som skyddar kortdata mot stöld. Det är en rekommenderad metod att använda för att skydda data. P2PE-lösningar krypterar betalkortdata vid ’the point-of-interaction’ (till exempel när man sveper ett betalkort, blippar kortet osv) tills det att data når leverantörens dekrypteringsmiljö. Kortuppgifterna är oläsliga under transaktionsprocessen, vilket skyddar transaktioner och förhindrar hackning, stöld och bedrägeri. Handlare som använder P2PE-lösningar omfattas av färre PCI-krav. Du kan hitta en lista med . Using a PCI compliant vendor will also reduce your PCI scope. By choosing a solution that is PCI certified, or even , you will automatically meet some of the requirements in the regulation. In some cases even to the extent where you might only have to fill out a SAQ (Self Assessment Questionnaire) or a short Report on Compliance and provide the third party vendor’s ROC. This can reduce costs related to compliance, and also minimize effort and resources required to meet the requirements in PCI DSS. När du överväger att outsourca din IT-miljö och drift är det viktigt att utvärdera kostnad och säkerhet. Hur mycket kommer du att spara på outsourcing? Du måste också se till att leverantörens säkerhetsnivå ligger på samma nivå som säkerheten i din organisation (eller högre). Säkerhetskraven i PCI DSS är inte alltid helt okomplicerade, och att förstå vilka systemkomponenter som omfattas av säkerhetsstandarden är ett pågående projekt. Hoppas att vi rett ut lite av era frågetecken. PCI DSS är inte lätt, men som tur är så finns det lösningar som kan göra din resa mot en PCI DSS-certifiering mycket enklare. di|Vi vill höra mer om just era utmaningar och önskemål li|Scope Assess Report Attest Submit Remediate System som är placerade inom kortdatamiljön (CDE) omfattas av kraven, oberoende av deras funktionalitet eller anledningen till att de är i CDE. På samma sätt kan system som ansluter till ett system i CDE omfattas, oavsett funktionalitet eller orsaken till att de har anslutning till kortdatamiljön. I ett platt nätverk är alla system ’in scope’ även om det bara är ett enskilt system som lagrar, behandlar eller överför kontodata. st|Certifieringsprocessen för PCI DSS Vad är PCI scope? behandlar Hur avgör man vilka system som måste följa PCI-kraven? När är ett system ’out of scope’? Hur minskar du PCI DSS-omfattningen? Nätverkssegmentering Tokenisering Point-to-point encryption (P2PE) Outsourcing PCI DSS är inte lätt h1|4 sätt att lättare uppnå PCI DSS-kraven h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy em|alla systemkomponenter som ingår i eller är anslutna till kortdatamiljön (CDE). . Store Process Transmit pa|Det är imponerande när man har massor av teknik och den senaste utrustningen för att skydda nätverk och värdefull data. Men, den dyraste utrustningen och de mest sofistikerade kunskaperna inom företaget räcker inte för att ta sig igenom en PCI DSS-process. Du måste vara lika bra på att hantera dokumentation som du är med de tekniska och fysiska aspekterna. Dokumentationen borde i själva verket vara “bibeln” för all din teknik och IT-miljö. Mer än 45 % av PCI-DSS kräver att du uppfyller dokumentationskrav i form av skriftliga policyers, diagram, riktlinjer och checklistor. Att producera ett dokument som definierar och förklarar ditt företag och verksamhet är en av de viktigaste aspekterna av PCI DSS-process. Dokumentet måste matcha den verkliga miljöns konfiguration och dina arbetsmetoder, vilket ofta är en utmaning. Om det finns en obalans under granskningsprocessen, blir det jobbigt. Det är därför klokt att börja dokumentera samtidigt som du skapar PCI DSS-miljön och om möjligt t o m innan. Men, att skapa dokumentation handlar inte bara om att skriva processer, roller och riktlinjer. Man ska även följa dem! Många företag tror att dokumenterandet är enkelt och det är inte ovanligt att man låter en tredje part göra det åt en. En annan lösning som jag är helt emot är att köpa det online. Att ha ett snyggt och väl definiera policy- och förfarandedokument är bra, men inte tillräckligt bra. Du MÅSTE också verkställa dessa policyer och förfaranden som en rutin, vilket är vad en granskning handlar om, för att inte bara vara utmärkt på papper utan också i den verkliga världen. di|Vi vill höra mer om just era utmaningar och önskemål li|Försök att täcka så många områden i ditt företag som du kan. Definiera principer, process och arbetsstil djupare. Definiera och förklara hur de implementeras. Förklara dina arbetsstandarder och säkerhetskopiera den med pålitliga resurser och kunskap. Var öppen och tydlig med dina affärsmässiga motiveringar, särskilt om det gäller en QSA. Försök att dela upp policyer i olika dokument som är specifika för dess karaktär, annars kommer du att uppdatera och släppa en ny version av det stora dokumentet hela tiden. Definiera roller och identifiera roller med sina uppdrag. h1|Vikten av att dokumentera h2|Kom igång redan idag h5|Varför är dokumentation så viktig i PCI DSS? Vissa riktlinjer för policyer och rutiner för att tänka på sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|On Moria’s door, the elder dwell of Durin, king of the dwarves, it was written: PEDO MELLON A MINNO. In Overstron language it sounded like “Speak friend and enter.” The mighty wizard struggled for almost a day to crack the password and finally Frodo just inferred what the password was, carved in a sort of ancient, monolithic, elven post-it: MELLON (friend). Quite a weak password, some would argue, but at least it was written in a runic language that very few people used to know and probably not intended to be a password, since dwarf hospitality was famous throughout the whole Middle Earth during the realm of Durin. With that in mind, let’s consider PCI-DSS requirement 8.2.3: It is not the same as writing it on the doormat or sticking it on the monitor, but seven characters and numeric and alphabetic? Assuming we are not considering salt, for purely brute-force attacks it means that a password like “aaaaaa1” and alike satisfy the requirement? Yes, strictly speaking yes, but let’s take a few things into consideration. Based on the result provided on the password calculator : A password like “aaaaaa1” would be cracked instantly. The same goes for “aAaaaa1” and all its different combinations, like “AaAaA1a”. If I insert just a single special character like “aa#aaa1” it takes 3 minutes. “AaAaA#1” takes one hour. “AaAaA#1a” takes 3 days. In general a password that contains 7 numeric and alphabetic characters, at a speed of 10.000.000 password/sec (the average speed of a fast computer) would take… drum roll: 13 minutes!!! That’s what the PCI SSC requires to protect cardholder data, a password that can be cracked in 13 minutes. If you add a little bit more entropy, like chars both in upper and lower case plus common symbols, it jumps to 87 days. Furthermore, in our analysis, another requirement that pairs with 8.2.3 is 8.2.4: But, if according to the requirement 8.2.3, I submit a compliant password with 7 chars that contains digits and letters, it takes only 13 minutes to crack it, so requirement 8.2.4 should be that you change your password at least every 10 minutes. Of course, that is impossible, but what should be done here is to enforce additional rules to comply with 8.2.3, such as: By doing so, an attacker would need 23 years to crack the password. Does an attacker have 23 years? Maybe, but according to 8.2.4 passwords must be changed after 3 months and when the attacker, after 23 years probably a more hoary attacker, would finish his nasty act, his newly-badly-hardly-elderly obtained access would be denied. Requirement 8.2.5 will make sure that a user doesn’t re-use the same password as the last four. As a QSA, when I inspect Active Directory GPO related to password requirements or a PAM module in Linux, 99.9% of the times I find settings that go “above and beyond” req. 8.2.3. But, why is there no mention of symbols such as,;.:-_’*¨^+?\!”#¤%&/()=}][{\@£$§ (question mark) in the requirement. The bottom line is, requirement 8.2.3 should be improved and all companies should ALWAYS try to go above and beyond the requirement. In such a scenario the wonderful concept of passphrase will come in handy: would take 18 duodecillion years to be cracked, but it is wonderfully compliant with 8.2.3 and it is also easy to remember. And yes, it would take more or less the same time if you have watched it 00 times, but in that case… SHAME ON YOU! Immediately go and rent the Blu-Ray long version! Anyway, multi-factor authentication (password + something you are or have) is the way to go. ALWAYS. References: P.S: Please, do not use (or any other number of times ? ) as a password, it is just for example, by the time this article is posted, such a password and its variant (like Iwatchedstarwars100times) is probably already inside a dictionary or computed in a hash in a rainbow table. di|Vi vill höra mer om just era utmaningar och önskemål li|Upper and lower case Symbols 8 characters h1|Pedo mellon a minno, speak friend and enter h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Passwords/phrases must meet the following: Require a minimum length of at least seven characters. Contain both numeric and alphabetic characters. Alternatively, the passwords/phrases must have complexity and strength at least equivalent to the parameters specified above. Change user passwords/passphrases at least once every 90 days. Iwatchedthelordoftherings30times Iwatchedthelordoftherings30times pa|I en inte så nyligen publicerad, men fortfarande aktuell Gartner-rapport konstaterades det att det är troligt att stora handlare med ett genomsnitt av 100 000 kundkonton lagrar kortdata i egen regi på 10-20 olika platser. Eftersom PCI-standarden kräver att alla system som hanterar kortdata (Cardholder Data Environment) måste granskas, skapar detta rätt vanliga scenario många potentiella sårbarheter eftersom det blir en mängd olika platser som måste granskas, vilket i sin tur kräver mer resurser och tid, vilket i sin tur resulterar i högre kostnader. Så finns det ett sätt att helt ta bort kortdata från handlarens miljön för att minska omfattningen av en revision? Svaret på denna fråga är ja, och lösningen är . Tokenisering ersätter helt enkelt kortdata med en alias vilket är ett värde som genererats slumpmässigt och kallas en token. De känsliga uppgifter finns i en token som cachas i en enda databas. Det är endast de symboliska värdena som lagras lokalt hos en handlare när man använder applikationer eller tjänster. Processen kan sedan vändas när tokendata måste översättas tillbaka till det ursprungliga värdet, det vill säga, de-tokenisering ersätter en token med tillhörande klartextvärde. Tokenisering kan göras på flera olika sätt. Det kan göras med in-house-applikationer som används på databaser och andra platser där känsliga data lagras, där tokens själva kan användas i transaktioner. Alternativt kan tokenisering att erbjudas som en tjänst där moln tokenisering plattformar tillhandahålls. Dessa omvandlar data till tokens och lagrar dem, och man kan även göra token mapping inom handlarens lokala databas. Med en som är outsourced via en SaaS-modell, så ligger kortdata aldrig i organisationens egna miljö. Det grundläggande syftet med kryptering är fortfarande sann: att skydda känslig data med starka krypteringsalgoritmer där kortdata lagras. Med tokenisering görs dock detta på en helt annan nivå - man skyddar kortdata genom att helt ta bort det från ett system. Organisationer behöver inte kryptera information som de inte lagrar, i detta fall tar någon annan hand om det. Det finns flera möjliga fördelar för organisationer om de väljer tokenisering som lösning. Bland annat ger det möjligheten att minska den komplexitet som finns i att hantera och sköta infrastrukturer, i synnerhet krypteringsnycklar. Det är mycket viktigt att komma ihåg att kryptering utan en lämplig nyckelhanteringsprocess är lika med noll, och skulle kunna liknas vid att använda ett starkt lösenord till din bärbara dator men samtidigt ha lösenordet nedskrivet på en post-it lapp alldeles bredvid. Inte optimalt. (Huvudämnet i avsnitt 3 av PCI DSS standarden handlar om krypteringsnycklar och nyckelhanteringsprocessen.) Det finns några grundläggande skillnader mellan tokenisering och kryptering som kan påverka säkerheten. Med tokenisering så ligger originaldata helt separat från de genererade tokens, medan kryptering generellt bibehåller en relation till den ursprungliga data i klartext. Säkerheten för krypterad data är även knuten till krypteringsalgoritmer och nycklar som används för att kryptera data, vilket ofta innebär att det finns en fast längd och struktur på output data. Tokens, å andra sidan, kan genereras på många olika sätt, vilket tillåter ändring av output-typ och längd, samt ändring av relationen till det ursprungliga värdet. Dessutom måste man med kryptering ta hänsyn till nyckelhanteringsprocessen, och det krävs mycket arbete, tid och pengar för att uppnå de krav som finns i sektion 3 i PCI DSS-standarden. Att flytta kortdata ’’off-site’’ innebär att man eliminerar dessa utgifter. Ju mindre data på plats, desto mindre blir kostnaderna för att säkerställa att den hålls säkert. Det kommer också att minska omfattningen av ett företags PCI DSS revision, eftersom att organisationen inte längre lagrar kortdata. Slutsatsen blir att ’’om du inte har ett stort affärsbehov av att lagra kortdata (CHD), gör det inte’’. Jag vet att lagring av PAN (Primary Account Number) kan tyckas göra livet lättare för vissa företag, kanske för att ni gör många återbetalningar eller behöver lagra kortuppgifter för återkommande kunder. Nackdelen är att processen med att elektroniskt lagra PAN medför en massa krav. Så om du absolut måste lagra PAN är mitt råd - överväg att använda en alternativ metod. di|Vi vill höra mer om just era utmaningar och önskemål st|Kan du minska PCI-omfattningen? Hur minskar tokenisering revisionsomfånget? Skillnader mellan tokenisering och kryptering Tokenisering ÄR EN BRA lösning. h1|Kan tokenisering minska omfattningen av PCI audit? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Using Tokenization to Reduce PCI compliance Requirements, pa|Artificiell intelligens (AI), är en avancerad teknik baserad på hjärnans funktioner. AI kan registrera, lära, förstå, agera och tänka som vi människor. AI kan driva innovation inom många områden, och företag utforskar olika sätt de kan använda tekniken i tjänster och processer. När man nämner artificiell intelligens möts man antingen av entusiasm eller oro. Det är svårt att förutspå hur AI kommer att utvecklas och det största frågetecknet är nog – vad kommer att hända när vi bygger maskiner som är smartare än oss själva? AI kan göra skillnad i samhället. Teknologin kan göra nytta i flera olika branscher, och kommer antagligen utföra många av våra jobb bättre än vad vi gör. Som med alla nya teknologier finns det risker. Informationssäkerhet och AI är värt att lyfta. Inte minst för att AI har väckt oro gällande både integritet och säkerhet. Ni kanske har hört talas om deepfakes, där man genom maskininlärning (machine learning) kan byta ut ett ansikte mot ett annat i t.ex. filmer. Detta började inom porrvärlden där man bytte ut kvinnors ansikten mot kända skådespelerskors som Gal Gadot och Scarlett Johansson. Tekniken har också används mer skämtsamt, som t.ex. när face-swap gjorde att Nicholas Cage medverkade i filmer som James Bond och Indiana Jones. Online-plattformen Reddit har nu förbjudit AI genererade face-swaps i bilder och filmer, men frågan är hur man ska kunna se till att det efterföljs allteftersom tekniken utvecklas. Det börjar låta som ett avsnitt av Black Mirror, eller hur? Det kan bli värre, eller häftigare beroende på din inställning till AI. Vi har nyligen sett uppkomsten av ”Deep Voice” – programvara som med hjälp av en AI-algoritm kan klona en röst. Med bara 3,7 sekunder av en röstinspelning kunde det kinesiska företaget Baidu klona en röst och ändra dialekt, tal och tonläge. . Även om detta är en innovativ användning av teknik, så kan man inte förneka att tekniken gör det möjligt att rätt enkelt ’hitta på’ intervjuer, nyhetssegment, tillkännagivanden etc. Nu får vi avvakta och se hur klonade röster kan komma att påverka marknaden för röstigenkänningsprogram och röst-autentisering. Dessa exempel visar att AI kan använda personuppgifter, för dit måste vi ju räkna min röst och bild, på skadliga sätt. Artificiell intelligens lyfter fram behovet av informationssäkerhet och bra lagstiftning, processer och rutiner. De företag som använder och utvecklar AI bör ha säkerhetsåtgärder på plats och vidta de åtgärder som krävs (t ex. sårbarhetsskanningar) för att säkerställa att man trots teknikens potential inte kompromissar på säkerhet. di|Vi vill höra mer om just era utmaningar och önskemål st|Deepfakes och Deep voice Uppmaning till diskussion om AI och informationssäkerhet h1|Artificiell intelligens – Pandoras ask eller fullt av möjligheter? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|A penetration test could be described as a simulated but realistic cyber attack action that aims to determine how deep an attacker would be able to penetrate into a well-defined target environment. The main benefit of such an effort would be to allow the assessed entity, which owns the environment, to gain a better understanding of their potential exposure and develop a strategy to defend against attacks. In a PCI DSS environment, the added scope is to confirm, by technical testing, that all the 12 requirements are correctly fulfilled. In order to practically fulfil such intent, a team of skilled “cyber-thieves” – commonly known as “ethical hackers” – get involved. Their job basically consists of trying to break into your protected environment through exactly the same techniques that a real and well-motivated attacker would employ to achieve a certain malicious goal in real life. What would however such goal be in practice? Well, it depends on the target environment at the base of the considered engagement. Above all, it depends on the nature of the data that the environment is supposed to protect. The more value data has to someone, the more likely it is that someone would consider seizing such data. Therefore, environment and data retained therein are the key elements that define the features and the overall area covered by any penetration testing exercise. In a nutshell, they define its “scope”. Now, when it comes down to PCI DSS, the scope of penetration testing is the Cardholder Data Environment (CDE) and all systems and networks connected to it. The PCI Security Standards Council defines the CDE as “ ”. From a technical standpoint, the primary goal of an attacker would be to break into the CDE and seize cardholder data. Testing should then include every location of cardholder data, key applications that store, process, or transmit cardholder data, key network connections, key access points, and other targets appropriate for the complexity and size of the organization. In light of the above, cardholder data is the true “holy grail” for any penetration test in the realm of PCI DSS, where gaining access to any key systems in CDE would be a secondary, but still important, aim. di|Vi vill höra mer om just era utmaningar och önskemål st|What is penetration testing? What does Cardholder Data Environment mean? h1|The Basics of Penetration Testing in PCI DSS h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg It is therefore clear that, at the base of any penetration testing exercise in a PCI DSS context, a clear and thorough definition of the scope in terms of cardholder data is mandatory and a rather critical task. Normally, just owning a strong competence in penetration testing would not suffice to do this. Without a consistent knowledge of the standard in all its facets and subtleties, and the ability to drill down into the whole card data flow, the outcome of any such testing would not be fully reliable. That explains why behind a good penetration test for a PCI DSS engagement usually stands a good PCI QSA (Qualified Security Assessor). The combined effort between QSA and penetration testing team throughout the assessment is in fact an essential requirement for the successful outcome of the entire campaign. Kontakta oss Anmäl dig till vårt nyhetsbrev em|The people, processes and technology that store, process or transmit card- holder data or sensitive authentication data, including any connected system components pa|På TV visas reklam efter reklam om nätkasinon. Spelindustrin blomstrar i Sverige. En kvinna sitter vid ett köksbord med obetalda räkningar framför sig och förtvivlan i blicken. I nästa klipp köper hon en lott och ansiktsuttrycket blir euforiskt. I sista klippet sprider hon pengar runt sig. Det är som att se drömmar spelas upp av personer som är dåliga på riskbedömning. Vi står dagligen inför riskbedömningar och många tjänar pengar på det. Har du funderat på att köpa livförsäkring? Med hjälp av statistik har matematiker anställda på försäkringsbolag skapat modeller som beräknar sannolikheten av när du kommer att dö. Man använder sig då bland annat av variabler som kön och ålder. Uträkningen är satt så att den gagnar försäkringsbolaget, inte dig. När man ansöker om ett banklån kommer banken att beräkna sannolikheten av att du inte kommer att kunna betala tillbaka lånet. De tar sedan detta i beaktande och räknar ut räntesatsen på ett sätt som gynnar bankerna själva; rent ekonomiskt vinner bankerna på att ge dig ett lån. När du köper en lott är lotteriet matematiskt utformat så att du allt som oftast förlorar. Priset du betalar för biljetten, sannolikheten för vinst och beloppet du kan vinna ligger inte till din fördel. Även i dessa vardagliga situationerna blir det otroligt tydligt hur företag och personer som behärskar konsten att rationellt bedöma risk kan fatta bättre beslut, och i det långa loppet gå med vinst. Frågan är, hur kan man bedöma risk på ett rationellt sätt? Riskbedömning är processen där man identifierar, analyserar och bedömer risk, tänk risk kontra belöning. Eftersom att vi tidigare nämnde spelande så kan vi ta pokerspelet Texas Hold’em som ett exempel. Texas Hold’em används av det amerikanska universitetet MIT som ett jättebra verktyg för att öva riskbedömning. Du har ruter 7 och 8 som hand, och ni är nu vid ’’the turn’’, ett fjärde gemensamt kort har delats ut och endast ett till kort kommer att delas ut, men först ska du och din motståndare inleda en satsningsrunda. I potten finns $200. Din motståndare satsar all-in med $500, och potten är nu $700. Du har 2 val, antingen satsa $500 och avslöja din hand, och därefter kommer ett kort delas ut och den med bäst hand vinner potten på $1200. Det andra valet du har är att ge upp, ’’fold’’. Vad borde du göra? Om du beslutar dig för att göra det första valet, satsa $500 och då få se det sista kortet, kan du endast vinna om du får en ’’straight’’, kort 5 eller 10 måste vara kortet som delas ut. Sannolikheten för att 5 eller 10 delas ut är: (8 kort som finns i kortleken kan göra att du vinner omgången. Det finns 52 kort i en kortlek, varav 2 du har i handen och 50 kort finns kvar. Dessutom finns det 4 kort som alla spelare kan se, och 46 kort finns kvar). Det finns 700$ i potten så 120$ är ett rationellt belopp att betala för att vinna potten (0.17 x 700 ≈ 120$), detta så att du går jämt upp ur ett långsiktigt perspektiv. Hade du istället betalat $70 och vunnit potten på $700, hade du vunnit en hel del och tjänat mer pengar i det långa loppet. I just detta fall är saken den att din motståndare tvingar dig att betala $500 för att se det sista kortet, vilket ger dig dålig valuta för pengarna. Det rätta valet i det här fallet är att snabbt lägga sig. Att kunna bedöma risker är en väldigt viktig del av livet, och är även speciellt viktigt när man arbetar med informationssäkerhet (information security). En populär kvantitativ metod för att bedöma risker inom informationssäkerhet är att beräkna förväntad årlig förlust (Annual loss expectancy, ALE). Som ett exempel, låt oss föreställa oss att en online-spelsajt i Sverige utsätts för DDoS-attacker av hackare i ett försök att störa deras verksamhet. Ledningen ber dig (som arbetar som säkerhetskonsult) om råd om vad de ska göra. Du säger att de behöver köpa en ny molnbaserad web application firewall (WAF) från en väletablerad leverantör. Detta kommer att kosta $7000/år. Deras svar är att detta är för dyrt. Efter att ha gjort en riskbedömning säger du att WAF faktiskt kommer att hjälpa dem att spara pengar. Det här visar varför: Tidigare data visar att de har drabbats av en lyckad DDoS-attack vartannat år. Detta innebär att risken för att drabbas av en lyckad DDos-attack årligen ligger på 50%. Den genomsnittliga kostnaden för en attack uppmättes till $20.000. Den nya WAF skulle minska risken för en lyckad DDoS-attack till endast 5% per år. 1: Annual loss expectancy (ALE) utan WAF: 0.5 x 20.000 = $10.000 2: Annual loss expectancy (ALE) med WAF: 0.05 x 20.000 + 7000 = $8000 Efter att ha visat ledningen dessa siffor insåg de att de faktiskt skulle spara $2000 varje år vid genomförandet av WAF, vilket gjorde dem ganska entusiastiska. Företag måste förstå att säkerhetslösningar är inte bara de smärtsamma kostnaderna man måste leva med för att kunna följa lagar och regelverk. Säkerhet är till för att minska risker, och kan till och med innebära att företag sparar pengar Riskbedömning handlar om att veta när man ska satsa och när man lägga sig, så att man kan ta smarta beslut. di|Vi vill höra mer om just era utmaningar och önskemål st|Vi kan inte endast utgå från sannolikheten av att vinna, utan även ta i beaktning det belopp vi kan vinna och priset vi måste betala för det h1|Att beräkna risk – satsa eller lägga sig h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Idag är Europa global ledare för smarta city-projekt, om man räknar antal och integration, enligt Smart City Tracker 1Q2017. De analyserade utvecklingen av globala smart city-projekt i olika regioner och tittade på smart energi, vatten, byggnader och mobilitet. Då mer än 70 procent av Europas befolkning bor i urbana områden har många städer rullat ut smart teknologi-projekt för att: förbättra offentliga tjänster, hantera ihållande problem och förbättra livskvalitén för sina invånare. I USA kan man se samma utveckling. Där allokerade den federala regeringen nästan $8.8 miljarder till IoT-infrastruktur, mjukvara och cybersäkerhet – allt som en del av att utveckla säkrare och smartare städer. Innan vi diskuterar risker, måste vi först förstå hur IoT (Internet of things) påverkar utvecklingen av smarta städer. Städer som vill uppnå en ”smartare” status har en gemensam vision: att använda IoT för att hantera resurser på ett mer effektivt sätt och att förbättra offentliga tjänster, verktyg och infrastruktur. Ett exempel är smarta självläkande nät som används för att snabbt identifiera och åtgärda strömavbrott. Smarta nät fungerar också som en ryggrad för andra smarta projekt såsom smarta trafikljus, energieffektiva byggnader och laddningsstationer för eldrivna fordon. Flera av dessa smarta teknologier används i London. Där finns trafikljus som är utrustade med sensorer som känner av och prioriterar cyklar, bussar och ambulanser. Dessutom hjälper stadens IoT-nätverk bilisterna genom smart parkering. Med hjälp av sensorer som identifierar lediga platser visar en app en karta över tillgängliga parkeringsplatser i realtid, vilket minskar tiden det tar för en förare att hitta en ledig plats. En del av stadens högprioriterade insatser för att minska trafikstockningar och koldioxidutsläpp. I Barcelona använder man sin fiberinfrastruktur för att skapa det som som ett ’’nätverk av nätverk’’. Kollektivtrafiksystem är anslutna till digitala busshållplatser som ger pendlare uppdateringar om kollektivtrafiken. På busshållplatserna finns det även USB-laddningsstationer. Staden har också smarta energisparande gatlyktor med sensorer som känner av fotgängare och dimmar när det inte är någon som går förbi. Vidare så hanteras vattenförsörjningen med anordningar som mäter nederbörd och därefter justerar bevattningen i exempelvis parker. I USA har IoT haft en viktig roll i förbättringsarbetet gällande frågor som trafiksäkerhet. har infört, som kräver att förare och ’fleet owners’ ska använda elektroniska loggenheter (ELD – electronic logging devices). Tekniken har tagits fram för att se till att förare inte överstiger maximalt antal servicetimmar. Systemet, som kontinuerligt skickar status till förare och deras ledare, uppdateras automatiskt och syftet är att minimera utmattning och minska riskerna för trafikolyckor. En annan smart teknik som hjälper bilister är Car eWallet, som underlättar betalningstransaktioner vid parkering, tullavgifter, laddning av elbilar och avgifter för bilpooler. Vi har tidigare pratat om denna teknik på 24 Solutions, där vi diskuterade säkerhetsaspekterna av smarta bilar som är en logisk del av den generella utvecklingen av bilindustrin – eldrivet, smart och uppkopplat Tyvärr så innebär uppkoppling, sammankoppling och stora mängder data genererade i IoT-system ett antal säkerhetsrisker för både ledningsgrupper och stadsbor. Att utveckla hårdvara och mjukvara innebär att de kan användas för skadliga ändamål, och möjligheten att orsaka skada kan bli lika stor som deras möjlighet att göra nytta. IoT-teknik kan tillhandahålla offentliga tjänster till allmänheten, vilket kan vara en sårbarhet då en mängd olika säkerhetsbrott kan uppstå till följd av detta. gör dem mycket värdefulla, och vilken som helst av de anslutna enheterna kan vara en potential ingång för attacker. I världen finns det ungefär 2.3 miljarder uppkopplade saker, vilket har beskrivits som en säkerhetsmardröm. Säkerhetsbrott i IoT-nätverk blir allt vanligare, men är någonting som hittills har hållit sig utanför massmedias bevakning. Hackare i Dallas, Texas väckte t ex de sovande invånarna genom att aktivera alla 156 av stadens orkansirener – samtidigt. Detta skedde inte bara en gång, utan ett dussintal gånger under april månad. Under 2011 använde hackare i Illinois enkla buggar för att förstöra ett kontrollsystem för vattenförsörjning, vilket berövade över 2 200 medborgare på vatten. I Ryssland genomförde cybersäkerhetsföretaget Kaspersky Lab ett experiment där de framgångsrikt kunde ta över kontrollen av trafiksensorer. . Något man kunde läsa sig till i användarmanualen som fanns tillgänglig online. Även om detta gjordes i en kontrollerad miljö och inte var en verklig attack, så visar det hur lätt det är att få fram resurser som kan peka ut sårbarheter i system. Smarta termostater, dockor, baby monitors och tv-apparater har enligt uppgift tidigare hackats via en algoritm som fungerar på samma sätt som en Wi-Fi WPA/WEP-brytare. Det är bara en tidsfråga innan offentliga system blir mål för hackare, och detta problem kommer att förvärras om man inte tar fram och inför mer avancerade säkerhetsstandarder för internet. I takt med att smarta städer växer och lokala regeringar vill använda IoT för att förbättra stadslivet, så måste insatserna för att skydda hårdvara, mjukvara och databanker bli större och bättre. Robusta tester och säkerhetsåtgärder för IoT måste utvecklas – medborgarnas välfärd får inte bortprioriteras. di|Vi vill höra mer om just era utmaningar och önskemål st|Potentialen med smarta städer ( En varning gällande IT-säkerhet h1|Hur vanligt blir det med säkerhetsbrott när det kommer till smart city data? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|The Federal Motor Carrier Safety Administration) Skrivet av SolutionsByJB för Complior SolutionsByJB är en nätverksadministratör och IT-konsult med över 8 års erfarenhet. Just nu etablerar hon en startup tillsammans med vänner. Deras mål är att tillhandahålla VR-resurser till personal utanför IT-sektorn med syfte att utbilda dem i grundläggande datorfelsökning. She’s currently working with friends to establish a startup. Their goal is to provide VR resources for training non-IT personnel with regards to basic computer troubleshooting. pa|Dataskyddsombudet (DSO) är organisationens kontaktperson för privacyfrågor, både mot kunder och Datainspektionen. Dataskyddsombudet är ansvarigt för att organisationen har rutiner och policys på plats, samt att konsekvensanalysen, Privacy Impact Assessment är uppdaterad. Personen som utses till DSO får alltså inte bara en titel utan har ett stort ansvar och en nyckelroll i företagets arbete med efterlevnad av GDPR. is responsible for ensuring that the organization has procedures and policies in place, and that the Privacy Impact Assessment is updated. DPO is not just a title, the person appointed as Data Protection Officer has great responsibility and a key role in the company’s work on compliance with GDPR. Med personuppgifter menas i GDPR uppgifter som direkt eller indirekt kan kopplas till en levande person. Exempel på direkta personuppgifter är namn, användarnamn, lösenord, hemadress, telefonnummer eller e-postadress. Indirekta personuppgifter är data som kan kopplas till en person, som till exempel uppgifter om etnicitet, om personen har barn, vad hen har handlat för varor eller kör för bil. En personuppgiftsincident är felaktigt röjande av uppgifter. Det kan exempelvis handla om uppgifter som genom slarv eller misstag blivit hackade eller stulna, exponerats på internet, spridits via mejl eller använts på felaktigt sätt. Incidenten betraktas som stor om den antingen omfattar många personers uppgifter eller extra känsliga uppgifter om enskilda. Vid personuppgiftsincident är alla som hanterar personuppgifter skyldiga att skyndsamt informera både den drabbade enskilde och kontrollmyndigheten Datainspektionen. Privacy Impact Assessment (PIA) är en konsekvensanalys som svarar på hur, var, när och varför organisationen hanterar personuppgifter. I Privacy Impact Assessment görs också en riskanalys av hanteringen. PIA måste uppdateras varje gång någon parameter förändras. Privacy by design innebär att på strategisk nivå möjliggöra integritetsskydd, att designa system som inte exponerar personuppgifter i onödan. System i det här fallet syftar inte på tekniska system utan kan vara resultatet av alla företagets policys, processer och tekniska system. Privacy by default är den operativa nivån, alltså den tekniska systemnivån, av integritetsskyddet. Det kan handla om kryptering av personuppgifter eller separering av olika typer av uppgifter i olika system. di|Vi vill höra mer om just era utmaningar och önskemål st|Dataskyddsombud, DSO Personlig information Personuppgiftsincident Privacy Impact Assessment, PIA Privacy by design Privacy by default h1|Ordlista GDPR h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|“Tala aldrig respektlöst om överklassen Algernon. Endast personer som inte kan komma in i gör det.” Citatet kommer från Oscar Wildes pjäs Mister Ernest. När ett företag eller organisation startar en compliance process är det väldigt viktigt att göra en så kallad GAP-analys. Varför? Jo, för att ett bra grundarbete gör hela resan lättare. Gapanalysen är inte minst en bra början då det fungerar lite som en förhandsrevision, och belyser luckorna som behöver åtgärdas för PCI DSS-efterlevnad. Gapanalysen är det allra första man bör börja med och PCI SSC har ett verktyg som man kan använda, men för en icke QSA kan det bli lite för komplext och därmed snarare försvåra än att vägleda. Jag har därför själv utformat ett frågeformulär som utvärderar ett företags säkerhet utifrån PCI DSS, och den fylls i av en person väl insatt på företaget för att spara tid och pengar. Frågorna kommer väl till hands då de belyser vart fokus bör ligga, både hos QSAn och företaget, för att bäst utnyttja resurser för att uppnå compliance En gapanalys kan förutom att belysa åtgärder även hjälpa ledningsgruppen med tidsperspektiv för lansering vilket ger dem möjlighet att allokera resurser där man vill ha prioriteringen. Underskatta aldrig det inledande skedet av en process, och som man på Latin brukade säga: “En bra start är halva slaget” di|Vi vill höra mer om just era utmaningar och önskemål st|Gapanalys som en förrevision Fördelar med att utföra en gapanalys h1|Vikten av att vara Ernest och PCI DSS h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Dimidium facti, qui coepit, habet pa|Applikationer spelar en viktig roll i våra liv, och vi använder dem till allt möjligt. De underlättar bland annat kommunikation och hjälper oss i vårt arbete och dagliga liv. Applikationer kan dock också innebära en säkerhetsrisk, och dåligt kodade applikationer med bristande säkerhet kan resultera i att de utsätts för attacker, och i värsta fall dataintrång. Attacker mot webbapplikationer är lukrativa mål för hackare, och de letar ständigt efter nya sätt att få tillgång till, stjäla och förstöra företagsdata och persondata. Under Q3 2017 Under Q4 2017 skedde det och Storbritannien. OWASP (The Open Web Application Security Project) listar varje år de 10 vanligaste hoten mot applikationer. I rapporten går de även igenom åtgärder företag kan implementera för att motverka varje attacktyp. Du kan hitta . Den främsta orsaken bakom attacker mot webbapplikationer brukar handla om bristande säkerhetstänk när man har utvecklar själva applikationen. Rent tekniskt finns det sätt att förbättra säkerheten i sina applikationer, och den största utmaningen brukar inte vara teknisk, utan brukar faktiskt vara att övertyga företagsledningen att säkerhet är någonting de bör prioritera. Nedan kommer några tips om vad ditt företag kan göra för att skydda er och motverka attacker mot webbapplikationer. - Implementera även ett säkerhetstänk i företagskulturen, och se till att det avspeglas i hela livscykeln för applikationer. - En annan teknisk lösning som motverkar de vanligaste attacktyperna när det kommer till webbapplikationer är en Web Application Firewall (WAF). En WAF skyddar mot de vanligaste attacktyperna, som SQL-injection och cross-site scripting. . – För att säkerställa hög säkerhet behöver säkerheten testas regelbundet. Tyvärr är detta någonting som ofta förbises. Att genomföra penetrationstest på sina applikationer är grundläggande och ett effektivt sätt att utvärdera säkerheten. Då identifierar man sårbarheter och säkerhetshål innan hackare gör det. – när det kommer till informationssäkerhet bör man tänka i lager. Att skydda webbapplikationer är en aspekt, men det finns andra lager gällande säkerhet. Ha ett skydd mot DDoS-attacker, skydda ditt Domain name system (DNS) och kryptera viktig data, exempelvis genom att använda HSM. Dessutom kan olika komponenter i applikationen behöva olika typer av skydd. . di|Vi vill höra mer om just era utmaningar och önskemål st|Vanligaste hoten mot applikationer Vad kan man göra för att motverka attacker? Tillämpa security by design i era applikationer Använd WAF för skydd på applikationsnivå Testa säkerheten, och gör det regelbundet Integrera med andra säkerhetslösningar h1|Varför applikationssäkerhet är viktigare än någonsin h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|In recent years we have seen the emergence of new payment methods, and a growing number of companies offer financial services. The European Banking Authority (EBA) issued the PSD2 (Revised Payment Services Directive) in response to the growing number of fintech companies and innovative payment solutions. The directive opens up the market, giving more players the opportunity to offer consumers new and innovative products. PSD2 means that banks are required to provide third party providers with access to customers’ bank accounts, as well as allowing them to use the banks’ infrastructure as a platform for their financial services. This is done by building open APIs. The new payment services directive brings a number of challenges for banks. PSD2 opens up for more players to compete with banks, which means increased demands on the availability and security of financial services. Banks also face technical challenges, as they must create the technical conditions to give fintech companies and PSPs (Payment Service Providers) access to their data. API, Application Programming Interface, is a protocol that specifies how different programs or applications can communicate with each other. It is a set of instructions by which you can access web-based applications or tools. PSD2’s requirements for open APIs allow financial actors to exchange information about, for example, transactions. The Payment Services Directive requires European banks to open up their platforms and provide data to third party providers through open APIs. Third party providers have had difficulty competing with banks, as many of their services require direct access to consumer bank accounts. PSD2 enables third party providers to access users’ bank data and financial information. PSD2 gives consumers more options when choosing financial service providers, and one now has the opportunity to use other players than banks to for example pay bills. An international IT and management consulting company had developed an ecosystem for PSD2. They were looking for a Swedish hosting provider to provide a secure platform for the product. The company has created a solution that allows banks to provide open interfaces to customer data. The API solution for PSD2 with dedicated APIs enables secure access to the banks’ various financial functions as well as customers’ bank accounts. The product solves many of the technical challenges that the PSD2 brings to banks, fintech companies and PSPs, and facilitates the implementation of the directive. Ready-to-integrate open interfaces are a big cost saver and time saver for banks. This allows all stakeholders to focus on their core businesses. The requirement from the consulting company was that the solution should be hosted in an incredibly safe IT-environment in Sweden. With a security focus, a PCI DSS-certified technical platform and infrastructure in some of Sweden’s safest data centers, Complior became the obvious choice. Complior provides a for the company’s API solution and delivers secure infrastructure. This includes servers, , network, load balancing and . High availability and a secure IT environment are critical to the company’s API solution. Our PCI DSS certified platform guarantees the highest level of security of sensitive information. With a redundant architecture in disaster-proof data centers in Sweden, we can minimize downtime. Complior’s secure infrastructure ensures high availability and that the customer’s solution works 24/7/365. This allows banks and other financial players to meet the requirements of PSD2. di|Vi vill höra mer om just era utmaningar och önskemål st|Säker hosting av en revolutionerande PSD2 lösning PSD2 opens up the market New challenges What is an API? New conditions for players Banks Third party providers Customers A solution for PSD2 Secure hosting for API systems h1|PSD2 h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Betalkortsindustrin har idag världens tuffaste standard för datasäkerhet. Den heter PCI DSS (Payment Card Industry Data Security Standard) och är normerande långt utanför betalkortsvärlden. Standarden är till för att skydda kortföretagens kunder mot hackers och andra obehöriga så att de inte kan stjäla värdefull kortdata som dessa verksamheter ofta lagrar. Denna säkerhetsstandard blir allt viktigare då samhällen blir mer digitaliserade, och konsumenter i allt större utsträckning överger kontantbetalningar för kortbetalningar. PCI DSS täcker in allt från hur en butiksinnehavare ska verifiera identiteten på en person som kommer för att byta betalterminal i kassan, vilken kryptering som ska användas för kortdata, till vad företag som hanterar kortdata måste kräva av sina datacenter. , som i sin tur är uppdelade i över 250 kontroller. De kravkriterier som måste uppnås sätts utifrån transaktionsvolymer och affärsområde dvs. en e-handel med tusentals dagliga transaktioner har högre krav än specialisten som säljer en produkt i månaden. Att klara en PCI DSS-certifiering ställer höga krav på kunskap inom datasäkerhet och innebär ofta en stor utmaning för de företag som försöker klara av det på egen hand. Det kan därför vara fördelaktigt att köpa IT-drift i en redan PCI DSS-certifierad infrastruktur. Inte minst då många företag inte klarar en certifiering utan extern hjälp. När man klarat certifieringen blir det viktigt för företag att säkerställa att de fortsätter att uppfylla PCI DSS kraven. För att kunna behålla sin status efter en certifiering förbinder sig därför företaget att årligen låta organisationen granskas av en så kallad Qualified Security Assessor, QSA. En QSA är något av en kortvärldens riddare, vars uppdrag är att skydda alla de som använder betalkort mot bedragare. Dessa väktare, specialutbildade datasäkerhetsexperter, certifieras av PCI SSC (PCI Security Standards Council). En gör är att validera efterlevnad av regelverk hos företag, och jobbar under valideringsprocessen med en så kallad Report on Compliance (RoC) som bekräftar att man följer reglerna för PCI DSS. En RoC är vid leverans flera hundra sidor lång med kommentarer för varje kontroll under varje krav. Det första och enligt vissa det viktigaste momentet är att definiera vad som är ’in scope’, dvs. omfattningen av revisionen. Det är kortdata som berörs, och det gäller att isolera det i segmenterade nätverk. När man har omfattningen klar börjar utsedd QSA med en . En är en utvärdering av kundens nuvarande läge i relation till säkerhetsstandarder och man identifierar vilka förändringar och/eller åtgärder som krävs för att kunna uppfylla PCI DSS-certifiering. Därefter måste företaget i fråga åtgärda det som identifierats innan man kan börja med en . Under en pentest testas servrar och externa tjänster för att identifiera sårbarheter och säkerhetsluckor från ett infrastrukturperspektiv. Ett sätt att beskriva en penetrationstest är som en realistisk cyberattack i syfte att fastställa eventuella säkerhetshål och brister i system. När pentesten är avklarad är det dags att fixa sårbarheter innan en slutlig validering görs och en utsedd QSA levererar RoC. di|Vi vill höra mer om just era utmaningar och önskemål li|Säkra installation och upprätthållande av en brandvägg som skyddar kortdata Använd inte standardinställningar för lösenord till system Skydda kortdata Kryptera kortdata som skickas över öppna offentliga nätverk Använd anti-virus och uppdatera regelbundet Utveckla och upprätthåll säkra system och applikationer Upprätthåll en säkerhetspolicy Begränsa åtkomst till kortdata i förhållande till verksamhetens behov Unikt ID för alla användare med systemtillgång Implementera en restriktiv hållning för fysisk tillgång till kortdata Övervaka all tillgång till nätverk och kortdata Genomföra regelbundna tester av säkerhetssystem och procedurer st|Att bli hackad och exponera känslig data är många organisationers värsta mardröm. Samtidigt krävs ständig datatillgång. Lösningen heter säkra molntjänster. Men vad är det för skillnad på säker och säker? Vi har tittat närmare på marknadens säkraste säkerhetsstandard – och på riddarna som är satta att skydda den. h1|Så bidrar riddare till säkrare molntjänster h2|Kom igång redan idag h4|PCI DSS 12 krav sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Innan man ska börja tänka på vilka säkerhetslösningar man behöver bör man utvärdera och definiera vad IT-säkerhet egentligen betyder för er och vad ni förväntar er av lösningarna. Har ni känslig information som behöver skyddas? Är hög tillgänglighet er högsta prioritet? Definiera era viktigaste tillgångar och vad det är som behöver skyddas. Är det er hemsida eller applikation? Ni kanske hanterar känslig information som kreditkortuppgifter eller personuppgifter När man väl har identifierat det är man vill skydda så kan man börja tänka på de ska skyddas. Det kanske behövs vissa skyddsmekanismer, eller så kan det vara så att hela IT-infrastrukturen ska ha hög säkerhet. För företag som hanterar kreditkortuppgifter och behöver efterleva säkerhetsstandarden PCI DSS kan det exempelvis underlätta att använda sig av en leverantör med en PCI DSS-certifierad plattform. När det kommer till skydd mot IT-attacker kan man dela in skyddsåtgärder i tre delar, , och . Det finns ett antal saker företag kan göra för att förbättra sitt försvar mot cyberattacker. – Håll era system uppdaterade och patcha dem regelbundet. Då minimerar ni er exponering till olika sårbarheter. – Det är viktigt att engagera hela verksamheten när det kommer till skydd mot IT-attacker. Utbilda er personal regelbundet om olika typer av IT-attacker, som social engineering-attacker och nätfiske, och hur den mänskliga faktorn spelar roll. – Skydd mot malware kan exempelvis blockera mejl innehållande virus och förhindra malware från att laddas ner från internet. – En populär typ av attack för hackare är DDoS-attacker. DDoS står för Distributed-Denial-of-Service och är överbelastningsattacker, där målet är att överbelasta dina system och orsaka avbrott. Ett DDoS-skydd möjliggör för tidig upptäckt av attacker och minimerar påverkan på tjänster. Det är svårt att helt förhindra IT-attacker från att ske, men det finns tekniska lösningar man kan implementera för att upptäcka och motverka attacker. En er en brandvägg som skyddar nätverkstrafik på applikationsnivå. Den granskar och filtrerar trafik till webbapplikationer. En av fördelarna med WAF är att den har en snabb reaktionstid mot hot och attacker. Den kan snabbt lära sig hur legitim trafik ser ut, och kan detektera ovanliga trafikmönster och blockera den trafiken. En WAF kan upptäcka och skydda mot attacktyper som cross-site scripting och SQL-injection. Vid misstanke om en incident kan logghantering användas för att bevisa ifall att en attack har skett eller ej, och kan ge detaljer om hur en sådan attack har skett. säkrar spårbarhet, och tillåter dig kontrollera och övervaka vilka som har tillgång till dina system. Du kan då få svar på frågor som när, vem, hur, var – värdefulla frågor vid misstanke om en IT-attack. Om ens mardrömmar nu besannas och ens företag råkar ut för en IT-attack så gäller det ha skyddsåtgärder på plats för att minimera skadorna. – för att skydda företag mot datorförlust är säkerhetskopiering och backup-tjänster viktigt. Då skapas en kopia av din IT-miljö, och vid ett driftstopp kan man snabbt få upp funktioner och systemdata, och återställa förlorad data. Säkerhetskopior bör lagras på en annan plats än det data som ska skyddas, så att man undviker att själva säkerhetskopian också går förlorad. - Som ett extratips vill vi betona hur viktigt det är att kontinuerligt testa de skydds- och säkerhetsåtgärder som finns på plats. Då kan man säkerställa hög säkerhet, och upptäcka och åtgärda sårbarheter. Det finns ett antal sätt man kan göra det på. En sårbarhetsskanning skannar interna och externa IP adresser och identifierar potentiella säkerhetshål. Penetrationstest kan man beskriva som simulerade cyberattacker där säkerhetsexperter testar hur djupt de kan ta sig in i dina system. Du kan då få reda på sårbarheter och svagheter och åtgärda dem. di|Vi vill höra mer om just era utmaningar och önskemål st|Vilka steg kan företag ta för att förbättra skydd mot IT-attacker? vad hur försvar upptäcka reaktion Förbättra ditt försvar mot IT-attacker Patcha system regelbundet Utbilda er personal Ha ett bra skydd mot Malware DDoS-skydd Upptäck och motverka IT-attacker Web application firewall för att skydda din applikation – Använd logghantering för att identifiera attacker – Reaktion – skyddsåtgärder för att minimera påverkan av IT-attacker Använd backup-tjänster Kontinuerlig utvärdering och test av säkerhet h1|Hur ditt företag kan förbättra ert skydd mot IT-attacker h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|While GDPR went into effect in May of 2018, this past year, 2019, was when we truly saw its impact. All organizations under the scope and jurisdiction of the regulation have to fulfil the requirements that calls for legal, organizational and technical knowhow. The requirements of the GDPR are in effect for any organization, regardless of their location, that processes personal data (including transmitting and storing personal data) of European Union/EEA citizens. And its authority is no joke. One of the repercussions of non compliance with GDPR is fines and it was exactly this impact many organizations felt first hand in 2019. According to the GDPR the maximum fine is €20 million or 4% of global revenues, whichever is higher. This level of fines is far above anything that has ever previously come into effect for data security breaches. Proving one point that’s been talked about in the boardroom for years now, data security is a top priority for each and every business. In 2019 was imposed the biggest fine as of yet, over €200 Million for a breach that occurred in 2018 just after the GDPR went into effect. This past year we also saw fined €110 million for data exposure of guest information that may have actually begun back in 2014 upon its takeover of the Starwood Hotel group. This points to the scrutiny and due diligence that must be deployed in meeting GDPR and ensuring all access points, even those of significant past transactions like mergers and acquisitions, to ensure compliance. It was not just private organizations that the ICO went after, but public services such as hospitals like in och , the Professional Football League of , €10 million to ’s telecom firm, and even Google “ in . But Google is a US-based business, why was it fined by the ICO? In fact one of the largest hurdles for US businesses in 2019 has been understanding and implementing appropriate changes to comply with GDPR. Because GDPR explicitly states that its regulations apply not only to EU businesses but to any organization that may reach, collect and store data of EU citizens. This essentially means all organizations’ websites accessible within EU countries fall under the grasp of the ICO and the regulations of GDPR. In fact there is a for companies to provide GDPR compliance services and assist US businesses. We at offer assessments, consultancy, training, project management and even fulfilling the DPO role as a service which can be key for small to medium sized businesses. Wherever your business is headquartered around the globe, if it ever reaches EU citizens which is almost guaranteed, you are required to abide by the GDPR. While the process seems arduous, timely and expensive, and it can be, we can work with you, your existing team and your budget to assist in the process and ultimately avoid significant brand-traumatizing effects With 2019 behind us and numerous examples of the repercussions of GDPR non-compliance evident, what can we expect for 2020? Dubbed GDPR-lite, the California Consumer Privacy Act is effective January 1, 2020. While the CCPA doesn’t encompass all businesses but only those that meet one or more of the following three criteria, “a gross revenue over $25M, more than 50,000 customers, or whose revenue is 50% or more based on user data” and its fees are much lower ranging US$2,500-US$7,500/occurrence as reported by the Guardian, it shows that data security regulations are becoming a norm in today’s world. More countries around the globe are adopting similar laws and in the next decade we may have to ask, will there need to be alignment between regulations? Will there need to be a regulatory body globally? Businesses today are accessible by anyone with a wifi connection wherever in the world they may find themself, how do we protect their personal information? Another question looming in 2020 is around the collected funds from GDPR fines. Where will the money collected from fines by the ICO in the EU and other regulatory bodies like in the US go and what will it be used for? We are talking potentially billions over the next few years and an uncapped potential with the 4% of global revenues regulation. More than likely in 2020 we will start to see answers to some of these questions as the next phase of GDPR, perhaps some transparency from the ICO and undoubtedly more organizations being fined in 2020. di|Vi vill höra mer om just era utmaningar och önskemål h1|GDPR: A review of 2019 and what to expect in 2020 h2|Kom igång redan idag h5|GDPR. General Data Protection Regulation. Four little initials that have caused mass panic, organizational changes and spurred action internationally all within a span of less than two years. sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|for lack of transparency, inadequate information and lack of valid consent regarding the ads personalization” pa|Six months into 2019 and had not only been stolen but were readily available for sale for as little as $5 on the Internet, you just have to know where to look. In today’s ecommerce world where credit cards are the currency of choice, keeping personal information secure and protecting client data is a top priority for a growing number of businesses. Globally the three major credit card companies – Visa, Mastercard and American Express – have issued credit and debit cards and, as reported by Visa, there are 270 billion credit card transactions annually. More than 66% of stolen cards were issued in the US, so it’s no wonder that credit card fraud costs American businesses upwards of each year. While the US is leading the pack, most countries are being affected worldwide with the UK trailing in a close second. Most of the credit card information seems to be gathered in unsuspecting, everyday transactions. From restaurant and retail staff who duplicate cards when processing bill payments, to ATM machines and gas pumps that have ‘skimmers’ installed on card readers and, of course, the more sophisticated hackers that take down entire ecommerce websites and business sites gathering information on millions of users at a time. The preferred stolen credit card information being sold seems to be gathered from online transactions that include the ‘CVV’ number, those three little digits on the back of the card. Once purchased by criminals, it’s easy to utilize this information on ecommerce sites and max out cards long before the credit card companies and actual card holders notice. As a credit card user there are a number of security precautions you can take, such as setting up alerts on accounts and regularly checking credit card reporting agencies for exposure risk. As a business, familiarizing yourself with to ensure your business, and the businesses you trust with personal information are taking the right measures to keep data protected from cyber crime is key. Partnering with a company like Complior allows you to have experts that regularly educate, explore and monitor exactly this criminal behaviour online so you can sleep at night with your cards safely in your wallet. SixGill’s report delved deep into the dark crevices of the internet to discover this information, for further reading head . For more great info, read our piece di|Vi vill höra mer om just era utmaningar och önskemål st|So who is stealing this information, where and how are they selling it to black market buyers and most importantly, what can consumers and businesses do to minimize their exposure? h1|Are you protected? 23 Million Credit Cards Stolen h2|Kom igång redan idag h4|So what can you do to stay protected? sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Någonting som nämns mycket inom GDPR är policyer. Företag ska kunna demonstrera efterlevnad av GDPR genom exempelvis dokumentation och policyer, och det finns krav på att bland annat ha en dataskydds- och informationssäkerhetspolicy och integritetspolicy/privacy policy. En dataskydds- och informationssäkerhetspolicy är ett dokument som handlar om organisationens hantering av information, och de övergripande processer och rutiner som finns vid hantering och skydd av personuppgifter. Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. Det finns inte någon specifik mall man ska följa när man tar fram en policy för att följa GDPR. Vårt tips är att utgå från ISO 27001 och anpassa policyn till det som kommer att prioriteras enligt GDPR. Inledningsvis ska dokumentet innehålla en allmän beskrivning av policyn, omfattningen, intressenter och deras krav. Dokumentet ska även innehålla följande punkter: För att anpassa policyn till GDPR är det viktigt att dokumentera och specificera de saker som prioriteras i förordningen. Saker som åtkomstkontroll, Security by Design, tillgångar i form av en registerförteckning, och såklart incidenthantering då GDPR kräver snabb rapportering vid incidenter. – Använd termer och benämningar som redan används inom er organisation. Alla ska kunna förstå innehållet i dokumentet. – Detta gäller både före, under och efter utformningen av policyn. Även om informationssäkerhetspolicyn är ett ledningsdokument så tveka inte att involvera personer från alla delar av organisationen. Dessutom är det viktigt att kontinuerligt utbilda personal internt om policyn. – Finns det gamla policyer? Var inte rädd att återanvända det som redan finns och fungerar. Delar av gamla policyer kan fungera jättebra! – På policy-nivå ska man vara bred och övergripande. Prata syfte och mål istället för detaljerade processer. – En policy är ett levande dokument och, inte bara bör, utan hållas uppdaterad. di|Vi vill höra mer om just era utmaningar och önskemål li|Organisation (intressenter, omfattning) Ledarskap (ledningens inriktning, policy, ansvar) Planering (risker/möjligheter, mål) Stöd (resurser, kompetens, awareness, dokumentation) Verksamhet (planering, bedömning/behandling av risker) Utvärdering av prestanda (mätning, analys, utvärdering, revision) Förbättringar (och avvikelser) st|Kom överens om vilket språk som ska användas Främja engagemang från hela organisationen Återanvänd gamla policyer Bli inte för detaljerad Var inte rädd för att ändra i en policy h1|5 tips för att skriva en dataskydds- och informationssäkerhetspolicy h2|Kom igång redan idag h4|Vad en informationssäkerhetspolicy bör innehålla: 5 snabba tips sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|På sistone har fenomenet (Distributed) Denial of Service-attacker, eller överbelastningsattacker, varit på dagordningen. Bara i Sverige har vi kunnat läsa om några uppmärksammade attacker mot myndigheter och organisationer. För oss som jobbar i IT-branschen är (D)DoS-attacker en del av livet, och har varit det i ett antal år. Attackerna växlar i stil, typ och utförande likt modetrender. Attackernas intensitet och frekvens är ibland högre och ibland lägre – men de finns alltid där. Ibland är det trendigt att utföra attacker med hjälp av stora volymer, och vid andra tillfällen är det mer populärt att använda stora mängder av små datapaket som kan vara svåra för en infrastruktur att hantera, och ibland kombineras metoderna. Målet är dock alltid detsamma, att skapa ett avbrott eller överbelastning av en tjänst eller tjänster. Många gånger är det inget mer än så, någon kanske är uttråkad eller bara vill lära sig hur man genomför attacke Det kan finnas många olika anledningar till varför någon väljer att utföra en (D)DoS-attack, allt från att man vill störa en konkurrents verksamhet till att en utländsk stat söker information eller att någon som försöker maskera att man faktiskt hackar ditt system någon annanstans medan du är upptagen med (D)DoS-attacken. Listan kan göras lång. Och på samma sätt som när det gäller kriminalitet utanför Internet, så verkar skurkarna vara uppfinningsrika, kreativa och ha närmast oändlig uthållighet. Först och främst är min rekommendation att aldrig betala lösensummor. Det är givetvis lättare sagt än gjort i en situation där din verksamhet står på spel. Det finns dock inget som tyder på att dessa människor kommer att sluta attackera när de har fått en lösensumma. De har dock lärt sig att du är ett bra mål om de behöver pengar igen i framtiden, och det är inte en lista du vill vara på. Jag rekommenderar också att anmäla alla attacker till myndigheterna, om inte annat för att kunna visa dina kunder att du tar detta på största allvar. Därefter måste du titta på de konkreta åtgärder som finns tillgängliga. Om du är ett genomsnittligt företag så har du förmodligen några eller alla dina kritiska IT-lösningar outsourcade på något sätt. Du måste då ta upp informationssäkerhet i allmänhet och (D)DoS-attacker i synnerhet med din tjänsteleverantör. Har de ett (D)DoS-skydd på plats? Har det testats? Har de rutiner för hur de hanterar en attack? En tjänsteleverantör som har en väldokumenterad erfarenhet och kunskap av informationssäkerhet kan mer sannolikt hantera en situation där intrång eller attacker av olika slag sker. Inom informationssäkerhet talar vi ofta om CIA-triaden, Confidentiality, Integrity and Availability, som på svenska blir konfidentialitet, integritet och tillgänglighet. Genom att välja en tjänsteleverantör som har ett väl fungerande DDoS-skydd säkerställer du tillgängligheten. Dessutom, om du vill vara säker på konfidentialitet och integritet, se till att din tjänsteleverantör har certifieringar som ISO 27001 och PCI DSS, de är starka indikatorer på att leverantören tar dessa frågor på allvar. Tyvärr är den tråkiga verkligheten att (D)DoS-attacker och andra skadliga aktiviteter kommer att fortsätta att hemsöka oss – förmodligen för evigt. Vi alla, och särskilt vi tjänsteleverantörer, måste vara förberedda. Vi måste göra allt vi kan för att minimera de konsekvenser som attacker, såsom (D)DoS, har på de tjänster vi tillhandahåller. Det här är inte ett affärsproblem, det är ett samhällsproblem. Om vi vill kunna fortsätta använda Internet på det sätt vi gör idag måste vi ta fram lösningar och strategier så att de onda inte vinner! di|Vi vill höra mer om just era utmaningar och önskemål st|Vad kan du göra? h1|(D)DoS – Gåvan som bara fortsätter att ge … h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Vad PCI-standarden har som mandat gällande penetrationstester hittar man i krav 11.3. Där står det att organisationer måste utföra årliga penetrationstester som huvudsakligen ska täcka: Nätverkstesterna sätts ihop av den som testar, men nedan faktorer måste inkluderas i en test av applikationslagret: Ovanstående lista består av de vanligaste secure code-rutinerna som gällde när PCI DSS version 3.0 publicerades. När secure coding-rutiner förändras, som t ex med OWASP, SANS CWE Top 25, CERT Secure Coding, osv. förväntas att även organisatoriska rutiner uppdateras. Men, de exempel på secure coding-resurser som tillhandahålls av PCI SSC är endast där som vägledning. En organisation är alltid skyldig att ta under beaktning det praxis som gäller för tekniken i sin specifika miljö. Inga ytterligare riktlinjer eller föreskrifter tillhandahålls annat än vad som nämnts. Så ett välstrukturerat tillvägagångssätt för penetrationstestning är acceptabelt, så länge som ovanstående punkter täcks och att fokus ligger på korddata. Generellt är det lämpligt att alltid titta på alla kärnområden för säkerheten av applikationen, som: Om gjort på rätt sätt bör man täcka det nödvändiga för PCI DSS, om än t o m lite mer. När det kommer till infrastrukturen vid ett PCI-penetrationstest dvs. brandväggar, routrar, system, webbservrar, databaser, applikationsservrar osv. så har inte rådet gett några tydliga riktlinjer. Men, oavsett så bör några grundläggande principer hållas i åtanke: Det här ämnet täcker ett av de vanligaste testerna och innebär att man letar måltavlor i nätverket, öppningar i underliggande operativsystem och tillgängliga nätverkstjänster och utnyttjar sedan det på distans. Det verkar faktiskt rimligt att begränsa den interna bedömningen till nätverksnivå snarare än ett lokalt perspektiv, vilket innebär att fokus bör vara på att hitta problem på remote visible ports/services. I de flesta fall skulle det inte finnas något värde i att dyka ner i ett kompromissat filsystem eller databas-tabeller eftersom det är en QSA:s ansvar. Ett penetrationstest på nätverksnivå bör fokusera helt på att upptäcka möjliga brister som påverkar nätverkstjänsterna och då ur perspektivet av en host som finns på samma nätverkssegment/subnet. Några av nätverksteststester görs på distans via Internet och riktar in sig på organisationens perimeter-nätverk. Andra lanseras lokalt, från organisationens egna anläggningar, för att utvärdera säkerheten på det interna nätverk och/eller DMZ från insidan, för att se vilka sårbarheter en intern användare kan hitta. Ett penetrationstest kan vara ganska omfattande och komplicerat till skillnad på kraven på en QSA som utför ett test i en PCI DSS-miljö. QSA:er måste därför vara otroligt noggranna för att ett penetrationstest ska vara effektivt. di|Vi vill höra mer om just era utmaningar och önskemål li|Utvärdera både nät och applikationslager Inkludera både interna och externa tester Injektionsbrister, särskilt SQL-injektion Buffer overflow vulnerabilities Insecure kryptografisk lagring Osäker kommunikation Hanteringsfel Cross-site scripting (XSS) Felaktig åtkomstkontroll Cross-site request-förfalskning (XSRF, CSRF) Bruten autentisering och sessionshantering Andra sårbarheter som identifierats som hög risk under riskbedömningen Applikationslogik (kontroller av klientsidan, logiska brister, osv.) Åtkomsthantering (autentisering, session hantering, åtkomstkontroll) Input-hantering(parameter fuzzing) Applikationsdrift (delad driftmiljö, säkerhet av webbserver) Övriga diverse kontroller (lokala sekretessproblem, informationsläckor, SSL/TLS-svagheter osv.) gå in så djupt och brett som möjligt var alltid uppmärksam gällande kortdata st|Vad säger PCI DSS om penetrationstest? h1|Riktlinjer för pentester h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Vi lever i en tid där ökad digitalisering har förändrat våra köpbeteenden. Vi har sett utvecklingen av olika betalningslösningar, och allt fler konsumenter väljer idag att betala med kort. Detta har medfört en ökad press på företag att säkerställa säker hantering av kortdata. En kritisk del i detta arbete har varit PCI DSS. Så vad är PCI DSS och hur skyddar denna säkerhetsstandard kortuppgifter? Det ska vi reda ut nu! PCI DSS står för Payment Card Industry Data Security Standard och är en säkerhetsstandard vars syfte är att förbättra säkerheten för kortdata. Det gäller alla företag som lagrar, överför och behandlar kortuppgifter. kan delas in i 12 krav, som i sin tur kan delas in i 250 kontroller. . PCI-standarden skapades år 2004 av kreditkortsföretagen Visa, MasterCard, American Express, Discover och JCB, med syftet att se till att handlare som hanterar kortuppgifter uppfyller en viss säkerhetsnivå. Detta för att motverka bedrägerier. Det finns många anledningar till varför PCI DSS efterlevnad behövs. Den absolut viktigaste är att PCI DSS minskar risker för dataintrång och att känslig information missbrukas av cyberkriminella. Genom att följa PCI DSS gör du som företag ditt absolut bästa för att skydda dina kunder och deras personuppgifter. PCI DSS kan ses som en säkerhetsstämpel som hjälper dig att öka både förtroende och trovärdighet hos dina kunder. Om man som företag inte uppnår kraven i PCI DSS medför det en del risker. För det första kan du bli tvingad till att betala böter, och din kortinlösare kan välja att inte låta dig ta emot kortbetalningar. Eftersom PCI DSS compliance är direkt kopplat till hög säkerhet, så betyder det helt enkelt att företag som inte följer PCI-kraven inte har en lika hög säkerhetsnivå. Säkerhetsbrister innebär ökad risk för cyberbrott och dataintrång. Du riskerar då att utsätta dina kunder för bedrägerier och olovlig användning av personuppgifter di|Vi vill höra mer om just era utmaningar och önskemål li|Säkra installation och upprätthållande av en brandvägg som skyddar kortdata Använd inte standardinställningar för lösenord till system Skydda kortdata Kryptera kortdata som skickas över öppna offentliga nätverk Använd anti-virus och uppdatera regelbundet Utveckla och upprätthåll säkra system och applikationer Upprätthåll en säkerhetspolicy Begränsa åtkomst till kortdata i förhållande till verksamhetens behov Unikt ID för alla användare med systemtillgång Implementera en restriktiv hållning för fysisk tillgång till kortdata Övervaka all tillgång till nätverk och kortdata Genomföra regelbundna tester av säkerhetssystem och procedurer st|Vad är PCI DSS? PCI DSS krav Vilka står bakom PCI DSS? Varför är PCI compliance viktigt? Vad händer om ditt företag inte följer PCI kraven? Learn more about h1|Vad är PCI DSS och varför är compliance viktigt? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|With our we delve into the significance of protecting your client data and why it’s critical for businesses to be PCI DSS certified. But how rigorous is the certification process? If you’re a small to medium sized business do you have to meet as many requirements and jump through as many hoops as a large enterprise? The answer is yes and no. There are many benefits to partnering with a PCI DSS cloud hosting provider like Complior. In our latest post, we outline the including costs, staying up-to-date and scalability. Understanding what the PCI DSS certification process entails is outlined in this post below to help you grasp what’s in store as your company works to become PCI DSS compliant. PCI DSS outlines technical and operational requirements for those who in any way store, process and/or transmit payment card data. PCI DSS has 12 main requirements and over 300 sub-requirements. The standard is ever-developing to reflect the payment industry, and updated versions are released regularly. The PCI DSS requirements are related to the technology, people and processes surrounding payment card data. This is to ensure a high level of security for everything involved in the process of handling payment card data. 1. Install and maintain a firewall configuration to protect cardholder data 2. Do not use vendor-supplied defaults for system passwords and other security parameters 3. Protect stored cardholder data 4. Encrypt transmission of cardholder data across open, public networks 5. Use and regularly update anti-virus software or programs 6. Develop and maintain secure systems and applications 7. Restrict access to cardholder data by business need-to-know 8. Assign a unique ID to each person with computer access 9. Restrict physical access to cardholder data 10. Track and monitor all access to network resources and cardholder data 11. Regularly test security systems and processes 12. Maintain a policy that addresses information security for employees and contractors The first thing you need to know is that the PCI DSS certification process can be very different between businesses. This is dependent on how many transactions a company processes per year. Below we have outlined the different levels of PCI DSS compliance for merchants and service providers so you can get an understanding based on how many transactions your business currently processes annually. Note that a service provider is directly involved in the payment process as a third party. Service providers store and/or transmit payment data on behalf of other companies. Some examples are hosting providers and managed service providers. The PCI compliance levels are used to determine the amount of assessment and security validation required for the merchant or service provider to obtain a PCI DSS certification. Based on the type of provider your business is and the number of annual transactions there are, this is what is expected during the certification process for each level. It’s worthwhile mentioning that since Level 1 companies process the most transactions per year, it is natural that these companies also have to fulfill the strictest PCI requirements on security. Armed with this basic understanding of what PCI DSS is all about, the level of detail and significance it plays in the role of business today and how prudent it is to ensure you comply, for a free consultation and get started right away. di|Vi vill höra mer om just era utmaningar och önskemål td|6 million or more Visa and/or MasterCard transactions processed per year. 1-6 million Visa and/or MasterCard transactions processed per year. 20,000 to 1 million Visa and/or MasterCard e-commerce transactions processed per year. Fewer than 20,000 online transactions a year or up to 1 million regular transactions per year. Store, process, or transmit more than 300,000 credit card transactions annually. Store, process, or transmit less than 300,000 credit card transactions annually. 1. Undergo annual on-site security assessments. 2. Undergo quarterly network scans by an ASV. 3. Submit an annual report on compliance (ROC) written by a QSA (Quality Security Assessor). 1. Undergo annual on-site security assessments. 2. Undergo quarterly network scans by an ASV. 3.Submit an annual report on compliance (ROC) written by a QSA (Quality Security Assessor). 4. Undergo penetration tests.Undergo internal scans. 5. Submit an Attestation of Compliance Form (AOC). 1. Fill applicable Self Assessment Questionnaires (SAQ) annually. 2. Undergo quarterly network scans by an ASV. 1. Fill out the Self Assessment Questionnaire D (SAQ) annually. 2. Undergo quarterly network scans by an ASV. 3. Undergo penetration tests. 4. Undergo internal scans. 5. Submit an Attestation of Compliance Form (AOC). 1. Fill applicable Self Assessment Questionnaires (SAQ) annually. 2. Undergo quarterly network scans by an ASV. 1. Fill applicable Self Assessment Questionnaires (SAQ) annually. 2. Undergo quarterly network scans by an ASV. st|Understanding Levels of PCI DSS Compliance PCI DSS Requirements*: Build and Maintain a Secure Network Protect Cardholder Data Maintain a Vulnerability Management Program Implement Strong Access Control Measures Regularly Monitor and Test Networks Maintain an Information Security Policy PCI DSS Levels: Merchant provider levels of PCI Compliance: Level 1 Level 2 Level 3 Level 4 Service provider levels of PCI compliance: Level 1 Level 2 PCI DSS Certification: Merchant Providers: Service Providers: Level 1 Level 2 Level 3 Level 4 are you ready to simplify your life and trust the certification process to PCI DSS experts? Read previous posts: Should you outsource? Are you protecting your client data securely enough? Understanding PCI Levels h1|Are you protecting your client data securely enough? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|*https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security pa|What the PCI standard explicitly mandates about is illustrated in Requirement 11.3, requiring organizations to perform annual penetration tests that would mainly: Nätverkstesterna sätts ihop av den som testar, men nedan faktorer måste inkluderas i en test av applikationslagret: Ovanstående lista består av de vanligaste secure code-rutinerna som gällde när PCI DSS version 3.0 publicerades. När secure coding-rutiner förändras, som t ex med OWASP, SANS CWE Top 25, CERT Secure Coding, osv. förväntas att även organisatoriska rutiner uppdateras. Men, de exempel på secure coding-resurser som tillhandahålls av PCI SSC är endast där som vägledning. En organisation är alltid skyldig att ta under beaktning det praxis som gäller för tekniken i sin specifika miljö. Inga ytterligare riktlinjer eller föreskrifter tillhandahålls annat än vad som nämnts. Så ett välstrukturerat tillvägagångssätt för penetrationstestning är acceptabelt, så länge som ovanstående punkter täcks och att fokus ligger på korddata. Generellt är det lämpligt att alltid titta på alla kärnområden för säkerheten av applikationen, som: Om gjort på rätt sätt bör man täcka det nödvändiga för PCI DSS, om än t o m lite mer. När det kommer till infrastrukturen vid ett PCI-penetrationstest dvs. brandväggar, routrar, system, webbservrar, databaser, applikationsservrar osv. så har inte rådet gett några tydliga riktlinjer. Men, oavsett så bör några grundläggande principer hållas i åtanke: Det här ämnet täcker ett av de vanligaste testerna och innebär att man letar måltavlor i nätverket, öppningar i underliggande operativsystem och tillgängliga nätverkstjänster och utnyttjar sedan det på distans. Det verkar faktiskt rimligt att begränsa den interna bedömningen till nätverksnivå snarare än ett lokalt perspektiv, vilket innebär att fokus bör vara på att hitta problem på remote visible ports/services. I de flesta fall skulle det inte finnas något värde i att dyka ner i ett kompromissat filsystem eller databas-tabeller eftersom det är en QSA:s ansvar. Ett penetrationstest på nätverksnivå bör fokusera helt på att upptäcka möjliga brister som påverkar nätverkstjänsterna och då ur perspektivet av en host som finns på samma nätverkssegment/subnet. Några av nätverksteststester görs på distans via Internet och riktar in sig på organisationens perimeter-nätverk. Andra lanseras lokalt, från organisationens egna anläggningar, för att utvärdera säkerheten på det interna nätverk och/eller DMZ från insidan, för att se vilka sårbarheter en intern användare kan hitta. Ett penetrationstest kan vara ganska omfattande och komplicerat till skillnad på kraven på en QSA som utför ett test i en PCI DSS-miljö. QSA:er måste därför vara otroligt noggranna för att ett penetrationstest ska vara effektivt. di|Vi vill höra mer om just era utmaningar och önskemål li|Utvärdera både nät och applikationslager Inkludera både interna och externa tester Injektionsbrister, särskilt SQL-injektion Buffer overflow vulnerabilities Insecure kryptografisk lagring Osäker kommunikation Hanteringsfel Cross-site scripting (XSS) Felaktig åtkomstkontroll Cross-site request-förfalskning (XSRF, CSRF) Bruten autentisering och sessionshantering Andra sårbarheter som identifierats som hög risk under riskbedömningen Applikationslogik (kontroller av klientsidan, logiska brister, osv.) Åtkomsthantering (autentisering, session hantering, åtkomstkontroll) Input-hantering(parameter fuzzing) Applikationsdrift (delad driftmiljö, säkerhet av webbserver) Övriga diverse kontroller (lokala sekretessproblem, informationsläckor, SSL/TLS-svagheter osv.) gå in så djupt och brett som möjligt var alltid uppmärksam gällande kortdata h1|Riktlinjer för pentester h2|Kom igång redan idag h4|PCI penetration test infrastructure level Network level penetration test sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Det har alltid funnits ett slags spännande (ett mer passande ord är kanske diskutabel) drag av (icke) samstämmighet när det kommer till några av PCI DSS- kraven. Det här är enligt min mycket personliga QSA-synvinkel. Ibland känns det som om siffrorna inte summerar rätt och jag kan då inte låta bli att mumla för mig själv om syftet med (vissa delar av) standarden (ja, jag vet att det är något jag inte skulle få nämna om jag skulle gå på QSA-utbildning igen idag, men jag tror att det är rimligt att anta att det är en “acceptabel risk” efter flera års praktiskt arbete). Låt oss fokusera på följande krav i PCI DSS (från den allra senaste versionen v3.2, även om poängen jag vill göra gäller överlag): Särskilt i förhållande till syftet med krav 4 Innan jag avslöjar vad som gör mig så förbryllad med ovanstående, låt oss mycket snabbt titta på avsikten med dessa krav genom att hänvisa till de riktlinjer som tillhandahålls av PCI DSS-standarden. Här är ett betydande utdrag när det gäller 2.3-kravet: Under krav 8.2.1 står dock följande. Låt oss nu fokusera på den första delen av texten som hör till det allmänna avsnittet av sektion 4. I grund och botten definierar PCI DSS standarden behovet av att använda starka kryptografi och säkerhetsprotokoll för att skydda ”känsliga” uppgifter under transmission. Som förväntat, kan ‘channel-level’ säkerhet betraktas som en av standardens viktigaste frågor. Det är förståeligt (sektion 4) att, med kortdata som grund i standarden, vill PCI DSS skydda den data när det sänds över ‘öppna och publika nätverk’ (ex. Internet, trådlös teknik, bluetooth, mobilteknik, GPRS, satellitkommunikation etc.) eftersom att sådana typer av nätverk per definition inte går att lita på fullt ut. Det som jag har aldrig riktigt förstått i hela den här historien, är hur PCI DSS krav för kryptering av data i transit kan vara så olika för privata nätverk och publika nätverk - särskilt när det gäller vilken typ av data det är som överförs. Med tanke på att det är ett faktum att klartext kortdata rör sig i interna nätverkssegment i de flesta PCI DSS miljöer, varför skulle jag om jag vore en ‘tjuvlyssnare’ som kollar på trafiken i en intern PCI miljö, bara leta efter giltiga behörighetsuppsättningar och inte gå ’’rakt på sak’’? are not able to unencrypted passwords and gain non-console administrative access to system components, web GUIs and stuff, since that would indirectly pose a threat to cardholder data. Det som jag har aldrig riktigt förstått i hela den här historien, är hur PCI DSS krav för kryptering av data i transit kan vara så olika för privata nätverk och publika nätverk - särskilt när det gäller vilken typ av data det är som överförs. Med tanke på att det är ett faktum att klartext kortdata rör sig i interna nätverkssegment i de flesta PCI DSS miljöer, varför skulle jag om jag vore en ‘tjuvlyssnare’ som kollar på trafiken i en intern PCI miljö, bara leta efter giltiga behörighetsuppsättningar och inte gå ’’rakt på sak’’? Som saker och ting är idag, känns det nästan som att man tar itu med en större risk om man gör inloggningsuppgifter oläsbara under transmission än att ha läsbar PAN och SAD ute. Känner inte du att PAN och SAD då borde ha ett extra lager av säkerhet när de rör sig internt, för konsekvens? My conclusion, simply put, either internal network is trusted or any data classification criteria would impose me to protect PAN and SAD before anything else, being the most critical piece of information handled in my PCI environment. In which case, I would expect some sort of a dedicated “Requirement 4” for internal network segments too. di|Vi vill höra mer om just era utmaningar och önskemål li|2.3 Kryptera alla icke-konsol administrativ åtkomst med stark kryptering. 8.2.1 Använd stark kryptering, gör alla autentiseringsuppgifter (såsom lösenord/fraser) oläsliga under överföring och lagring på alla systemkomponenter. Krav 4: Kryptera överföring av kortdata över öppna, publika nätverk st|Sammanhang i vissa av PCI-kraven Skillnader i PCI DSS-krav h1|Blindfläck i PCI interna kortdataflöden? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|’’Om icke-konsol (inklusive fjärr) inte använder sig av säker autentisering och krypterad kommunikation, kan administrativ och information på en operativ nivå (såsom administratörers ID eller lösenord) avslöjas för en ‘tjuvlyssnare’. En illasinnad individ kan använda denna information för att få tillgång till nätverket, bli administratör och stjäla data. Klartext protokoll (som HTTP, telnet etc.) krypterar inte trafik eller inloggningsuppgifter, vilket gör det enkelt för en ‘tjuvlyssnare’ att fånga upp denna information.’’ ”Många nätverksenheter och applikationer sänder okrypterade, läsbara lösenord över nätverket och/eller lagrar lösenord utan kryptering. En illvillig person kan lätt avlyssna okrypterade lösenord under transmission med hjälp av en ”sniffer” eller direkt få tillgång till okrypterade lösenord i filer där de lagras, och använda dessa data för att få obehörig åtkomst.” ”Känslig information måste krypteras under transmission när det sker via de nätverk som illvilliga personer lätt kan ha tillgång till.” Också förståeligt (krav 2.3 och 8.2.1), vill PCI DSS också bevilja skydd för andra relevanta känsliga uppgifter (t.ex. admin-ID och lösenord) i transporten inom interna segment av nätverket, så att eventuella ‘tjuvlyssnare’ inte kan nosa upp okrypterade lösenord och få administrativ åtkomst till systemkomponenter, webb GUI osv, eftersom att det skulle innebära ett hot mot kortdata. eavesdroppers sniff inherently pa|I det här inlägget kommer jag att förklara begreppet säkerhet / privacy by design i relation till programvaruutveckling, GDPR och PCI DSS. I PCI DSS-kravet 6.3 beskrivs ett delkraven så här: Develop internal and external software applications (including web-based administrative access to applications) securely, incorporating information security throughout the software-development life cycle. I GDPRs artikel 25 hittar man något väldigt liknande: ”... ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper ...” Både PCI DSS och GDPR kräver att säkerheten ska genomsyra hela SDLC – från det att kraven tas fram till det att programvaran är i bruk och underhålls. Säkerhetsåtgärder att ha i åtanke är till exempel riskanalyser, secure code-praxis och kryptering för att kunna implementera de grundläggande principerna för datasäkerhet, dvs. sekretess, integritet och data-minimering. Det är allt för vanligt idag att man inte har säkerhet med som en självklar del under hela SDLC. Företag vill att deras programvara ska ut på marknaden innan deras konkurrenter hinner före vilket gör att det måste gå så fort som möjligt. Att göra en programvara säker tar tid, därför börjar man ofta hantera säkerhetsaspekterna efter att produkten kommit ut på marknaden genom patchar eller tillägg, allt eftersom sårbarheter upptäcks. Det kommer inte längre vara acceptabelt för organisationer som behandlar personuppgifter, säkerhet är inte ett tillägg. di|Vi vill höra mer om just era utmaningar och önskemål st|Säkerhet by design i PCI DSS Privacy by design i GDPR h1|Säkerhet / privacy by design och programvaruutveckling h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Direktöversatt blir det: Utveckla interna och externa programvaror (inklusive webbaserad administrativ åtkomst till programvara) säkert, med inbyggd informationssäkerhet under hela programvarans utvecklingsfas. Det som är underförstått är: Tänk på säkerhet först och börja utveckla senare. pa|Inom informationssäkerhet pågår det en ständig katt-och-råtta-lek mellan cyberkriminella och företag. Inom IT-branschen måste man alltid ligga steget före. Brandväggar har avsevärt förbättrat säkerheten på internet. Det finns dock fortfarande många säkerhetshot på internet, och vi har sett en utveckling av brandväggar för att ge ett bättre skydd. Utvecklingen stavas Web Application Firewall, eller WAF som det också kallas. Vi har tidigare gått igenom hur en WAF fungerar, men vilka sorts företag kan ha nytta av att använda en? En De flesta företag har nytta av att använda WAF, men låt oss gå in på några praktiska exempel. Några tillfällen där vi starkt rekommenderar användning av WAF är vid nyetablering och när en befintlig kund vill göra ändringar på sin webbapplikation. Vid nyetablering kanske man inte vet hur ett “normalt” trafikmönster ser ut. En WAF kan då lära sig hur legitim trafik ser ut för just den webbapplikationen. För etablerade företag som har en WAF och kanske kommer på att den ska skriva om sin webbapplikation så kan mjukvaran på samma sätt lära sig trafiken. Detta tillåter kunder att fokusera mer på sin tjänst, och de behöver inte koncentrera sig på hur nätverket är byggt. Många av de som i nuläget använder sig av web application firewall är stora banker och finansinstitut, där det är kritiskt att skydda sina tjänster mot hackare. Egentligen bör alla som har en webbapplikation och som tycker att den är värd att skydda använda WAF. Detta just för att säkerställa hög tillgänglighet och förhindra säkerhetshot och data loss och data corruption. Om man tittar på säkerhetstrender och IT-trender rent generellt så ser man att fler och fler organisationer använder sig av molnet. Denna utveckling har lett till något av ett paradigmskifte i synen på säkerhet. Man utgår från applikationen istället för att se på säkerhet från en nätverksnivå. Traditionellt sätt pratade man om brandväggar, nu pratar man om applikationsskydd. Detta gäller även om man tittar på de säkerhetshot som finns. Attacker sker idag allt mer på applikationsnivå och inte på nätverksnivå. Cyberkriminella vill överbelasta applikationen. Med en WAF kan man lättare (och mer effektivt) skydda sig mot de vanligaste attacktyperna, som cross site scripting och SQL-injektioner. Traditionellt sätt har man sett på säkerhet på en nätverksnivå. Det pågår nu ett generationsskifte – där man allt mer fokuserar på hur man ska skydda applikationen. Den tekniska möjligheten att skydda applikationen har dessutom inte funnits särskilt länge, om man jämför med traditionella paketfiltrerande brandväggar och vi kommer nog se att fler och fler företag väljer WAF, och att fler och fler brandväggsleverantörer börjar erbjuda applikationsbrandväggar. Speciellt i och med att allt fler väljer att flytta sin IT-miljö till molnet. di|Vi vill höra mer om just era utmaningar och önskemål st|Vilka sorts företag kan ha nytta av en WAF? Varför utvecklingen mot WAF? WAF och applikationsbrandväggar i allmänhet låter ju som lite av en ’Holy Grail’ - hur kommer det sig att fler inte använder det? h1|Vilka har nytta av att använda en Web Application Firewall? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Enligt Verizon Risk Teams senaste Data Breach Investigations Report (DBIR) rankas hotellbranschen högt när det kommer till cyberattacker. Branschen har i många år varit mål för cyberkriminella som är ute efter kreditkortsinformation. Orsaken är främst för att det handlar om höga antal transaktioner och att man rätt enkelt kan rikta sina attacker mot flera hotell inom samma hotellkedja samtidigt. Hotell brukar i regel lagra kortdata på flera olika platser: centralt bokningssystem, reception, mejl och kortformulär – både fysiska och virtuella POS system och PMS (Property Management Systems), inklusive anslutna system. Det finns helt enkelt väldigt många platser där kortdata finns tillgängligt vilket ökar riskerna för stöld och säkerhetsintrång. Tyvärr är hotellbranschen väldigt långsam med att identifiera luckor och potentiella säkerhetsrisker. Många hotell får reda på att ett intrång har skett först när kunderna själva uppmärksammar hotellet om att de har blivit offer för kortbedrägerier. När en hackare väl har komprimerat ett POS eller PMS så kan de vara inloggade i systemet i flera dagar, månader, till och med år, utan att bli upptäckta. Och när de väl är inne i systemet är det oftast inte bara kreditkortsinformation som är i fara, utan även personlig data som namn, adresser, personnummer och passinformation. Dessa uppgifter, i synnerhet kreditkortsuppgifter, stjäls inte bara av hackare för att användas för inköp, men också för att säljas. På ’The Dark Web’ kan värdet av ett giltigt kreditkort med SAD (Sensitive Authentication Data) ligga på över 50 dollar! Många hotell tror att de behöver lagra kreditkortsdata, främst för att erbjuda bättre kundservice – vilket snarare blir varför de är i fara! För ett hotell är första steget i försvaret mot cyberkriminella att ändra hur kreditkortsuppgifter lagras. Att bara inhämta och lagra kortdata när det absolut är nödvändigt kan dramatiskt minska risken för att det hamnar i fel händer. Att upprätta och upprätthålla ett korrekt PCI DSS-program inom IT-avdelningen är avgörande, inte bara för att påvisa efterlevnad gentemot inlösare och betalningsföretag, utan framförallt för att utmana och förbättra den interna IT-säkerhetsprocessen. PCI-standarden tvingar IT-chefer att utvärdera om nuvarande teknik och processer är lämpliga eller inte och om alla kritiska datalagringsplatser är nödvändiga. Ju mindre kortdatamiljö (så länge skyddet implementeras ordentligt) desto svårare blir det för brottslingar att stjäla kortdata. Huvudsakligt fokus för den som hanterar kreditkortsdata bör vara: "om du inte behöver det, lagra det inte". Mitt tips är, gör allt för att eliminera data – utbilda personal, skapa processer och hitta verktyg som underlättar det arbetet. Ofta är det möjligt att ersätta data som lagras med kryptering eller tokenization vilket även bidrar till att minska omfattningen av en PCI DSS-bedömning och förenklar compliance. Om möjligt, outsourca hela kreditkortsadministrationsprocessen till en PCI-kompatibel tjänsteleverantör. Att outsourca minskar inte bara risken för intrång och stöld av kreditkortsinformation, det reducerar också dramatiskt arbetet som behövs för att uppnå PCI DSS-efterlevnad. di|Vi vill höra mer om just era utmaningar och önskemål h1|Varför PCI DSS är viktigt för hotellbranschen h2|Kom igång redan idag h4|Varför har hotellbranschen drabbats av cyberattacker? PCI DSS och hotellbranschen sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Personliga molnutrymmen blir allt vanligare och snart kommer det att bli en nödvändighet snarare än lyx. Det råder ingen tvekan om att personliga moln är mycket bekväma, billiga och lätta att hantera. IT-jättar som Apple, Google och Microsoft har anammat denna förändring och gett människor en helt ok plattform för att kunna uppleva personliga moln. Men, nu är det dags för fler företag att anamma denna förändring och öppna upp. Anställda använder handhållna enheter i större utsträckning för att kunna vara mer produktiva och det finns ingen tvekan om att produktivitet inte längre är begränsad av tillgång till kontor. Mobila enheter och moln är bekväma, lättillgängliga och gör anställda glada, vilket i sin tur gynnar företaget. Idag är det till exempel vanligt att anställda använder personliga moln för att lagra företagets data, vilket öppnar upp för nya utmaningar och risker för företag. Med en enskild användare multipliceras utmaningen när du tänker in möjligheten att nå det personliga molnet från flera olika enheter. Så vad händer om en anställds enhet utsätts för något IT-relaterat säkerhetsintrång? Eller om en användare av misstag delar en känslig fil till en vän, familjemedlem eller någon annan? Dessa risker prioriteras fortfarande inte tillräckligt av företag och i framtiden kommer de sannolikt att bli allvarligare. Företag måste omfamna utvecklingen utan att bortprioritera säkerhetsaspekterna. Jag tror att viss utbildning kan vara användbart, där företag kan utbilda medarbetare om användning av molnlagring och/eller själva förse de anställa med ett moln som de kan lita på. Företagsvärlden behöver utvärdera fördelarna och nackdelarna med personliga molntjänster och få fram en bekväm och flexibel lösning – som givetvis även är säker. Detta för att denna trend kommer att fortsätta att utvecklas, expandera och driva gränserna. di|Vi vill höra mer om just era utmaningar och önskemål h1|Personal Cloud Space och hotbilder h2|Kom igång redan idag h4|Vanligt att lagra företagsdata i personligt moln Företagsmoln för molnlagring sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Säkerhetsmedvetenhet används ofta, med rätta, när man talar om informationssäkerhet. Jag vill hävda att de två enskilt viktigaste faktorerna för framgångsrik hantering av informationssäkerhet: A) Säkerhetsmedvetenhet B) Samarbete Utan att kunna samarbeta lyckas man inte med mycket. Och, när informationssäkerhet numera påverkar hela organisationer känns det särskilt relevant. Data finns överallt, i olika system, på olika platser, så samarbetet blir väldigt viktig. För att lyckas med att samarbeta när det kommer till informationssäkerhet blir säkerhetsmedvetande avgörande. Om de anställda inte är medvetna om potentiella risker eller ens vad deras kollegor gör, blir det svårt att identifiera och etablera rätt arbetsgrupper. De flesta organisationer skulle troligtvis dra nytta av att koppla arbetet runt säkerhetsmedvetenheten till sina riskbedömningar. Gör man det får man en logisk inmatning i processflödet och ett enkelt sätt att belysa fördelarna med arbetet. Vad jag sett fokuserar många organisationer alldeles för mycket på tekniska detaljer och fördefinierade problem i sitt arbete runt att öka medvetenheten runt säkerheten. Gör man det kan man inte förvänta sig att de anställda börjar tänka fritt och kritiskt runt potentiella risker. Jag rekommenderar att man strävar efter att få alla inom organisationen att självständigt identifiera möjliga risker inom sitt eget och, som utmaning, även andras område. Samarbete som grundprincip blir än mer relevant i stora organisationer där man absolut bör vara säker på att anställda från olika delar av organisationen sätter sig ner och diskuterar säkerhetsfrågor. Delar man erfarenhet och får nya perspektiv, inte minst om områden som man aldrig reflekterat över tidigare, har man en mycket större chans att öka den allmänna medvetenheten och förståelsen för vikten av säkerhet överlag. di|Vi vill höra mer om just era utmaningar och önskemål h1|Säkerhetsmedvetenhet ... Eh? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Enligt National Cyber Security Centre i Storbritannien har brittiska personer i genomsnitt 22 lösenord. Om man tar detta som en indikation för resten av Europa och världen, är det minst sagt rätt många lösenord att behöva komma ihåg! Lösenord är nog den vanligaste säkerhetsåtgärden man använder för att skydda information. Därför är det viktigt att de är säkra. Lösenord kan hackas på ett flertal sätt, och vissa metoder är mer komplexa än andra. Ni kanske kommer ihåg den virala bilden nedan. Bilden är från Hawaii Emergency Management Agency och visar hur ett lösenord står skrivet på en post-it-lapp. Nu kanske inte ’tjuvkika på post-it-lappar’ är det vanligaste sättet för hackare att få tillgång till lösenord, men det visar hur lätt det kan vara. Här följer några av de vanligaste teknikerna hackare använder för att komma över lösenord. – Ibland kan någonting så enkelt som att titta över en axel vara allt man behöver göra. Shoulder surfing är när någon tittar över din axel när du skriver in ditt lösenord, och på sätt kommer åt din information. Shoulder surfing är dock mer vanligt när det kommer till tillfällen när du ska slå in din pinkod till ditt betalkort, som i affären eller vid bankomater. – Brute force kan beskrivas som en trial-and-error-teknik. Specialiserade automatiserade program gissar sig till rätt lösenord genom att gå igenom miljardtals av olika kombinationer av ord, siffor och tecken. Brute force-program kan styras av hackaren själv, som kan ange vilka ord hen vill att programmet ska rikta in sig på baserat på information tillgänglig om dig, som födelsedatum, namn på familjemedlemmar, favoritfotbollslag, husdjur etc. – Key logging är en typ av malware/virus som ofta sprids genom mejl där du uppmanas att öppna suspekta bilagor eller klicka på konstiga länkar. En keylogger registrerar tangenttryckningar. När keyloggern installerats på din dator så väntar den på att du ska börja skriva på ditt tangentbord. Sedan loggar den allt du skriver och skickar denna information till hackare, som då får tillgång till lösenord och annan känslig information. – Social engineering är attacker där man genom olika tekniker helt enkelt försöker att manipulera användare till att avslöja sina inloggningsuppgifter. En vanlig social engineering-teknik är nätfiske, eller phishing som det är känt som på engelska, där en av teknikerna är att man skickar mejl som ser ut att komma från en pålitlig avsändare, exempelvis banker eller myndigheter. Istället ligger en hackare bakom mejlet, och du luras på ditt lösenord. Nu har vi gått igenom några av de tekniker hackare använder för att komma åt lösenord. Hur kan då företag förbättra lösenordssäkerheten? Det första man bör göra är att ta fram en lösenordspolicy. En lösenordspolicy är en policy för kvaliteten på lösenord, hur de ska hanteras, och vilka krav som finns på exempelvis överföring och lagring av lösenord. Behöver ni följa säkerhetsstandarder som PCI DSS? Säkerställ att er lösenordspolicy följer de säkerhetsstandarder ni måste efterleva. – För att undvika användandet av enkla lösenord kan ett tips vara att blacklista vanliga lösenord som 123456 och Password1. – förstärk lösenord med tvåfaktorsrautentisering, vilket innebär ett extra krav på att visa att du är du. Då blir användaren uppmanad att ange mer information efter att denne har skrivit in sitt lösenord, exempelvis en kod som skickas via sms. Tvåfaktorsautentisering är en bra extra säkerhetsåtgärd för exempelvis remote access och administratör-konton. – Det finns exempelvis Password Managers som hjälper användare skapa säkra lösenord, och som sedan förvarar dessa krypterade. Lösningar som single-sign-on kan också implementeras för att minska användandet av lösenord. . – Det säkraste sättet att nå framgång brukar vara att involvera hela företaget, och detta gäller även lösenordssäkerhet. Utbilda er personal om er lösenordspolicy, uppmuntra dem att inte använda samma lösenord privat som de gör på jobbet, hjälp dem undvika att använda för enkla lösenord och lär dem om hackarnas knep för att sno användaruppgifter. - Lösenordssäkerhet är viktigt, men som företag har man också ett ansvar att se till att tillgång till era företagshemligheter inte ska bära eller brista beroende på om en individ har ett enkelt eller komplext lösenord. Prioritera säkerhet på alla plan och ha andra skyddsmekanismer på plats för att skydda er känsliga information, som exempelvis säkra servrar, brandväggar och HSM. di|Vi vill höra mer om just era utmaningar och önskemål st|Hur hackas lösenord? Shoulder Surfing Brute force Key logging Social engineering Sätt att förbättra lösenordssäkerhet på företag Blacklista de vanligaste lösenorden Använd tvåfaktorsautentisering Använd tekniska lösningar för att underlätta för era anställda Förvara inte lösenord i klartext. Utbilda er personal Säkerställ att ni har andra skyddsmekanismer på plats h1|Din guide till säkra lösenord – hur de hackas och hur du skyddar dina anställda h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|The financial technology (FinTech) industry is an exciting and disruptive one. It has revolutionized the payment landscape, and continues to provide innovative solutions and alternate business models to meet changing customer demands. Some examples stemming from FinTech are the use of AI in financial services, e-ID to sign transactions and the use of blockchain technology in payment solutions. The introduction of has also given FinTech companies a major opportunity to offer more services and compete with traditional banks on a whole new level. The future for FinTech is bright, but the industry does face some challenges that could potentially disrupt the industry. In this blog post we will discuss two of the biggest challenges for FinTech startups, and what companies can do to solve them. Companies today not only face threats from cyber criminals when security protocols aren’t up to par, but also financial penalties from regulatory bodies. The increasing need and emergence of regulations reflects today’s society where our lives are lived online to a much greater extent and a lot of personal information is exchanged and collected. Standards and regulations create benchmarks for organizations to protect themselves from getting compromised and exposing their users’ personal information. The that came into effect in 2018 forced companies in all industries to evaluate processes, routines, and even entire business models. The purpose of the GDPR is to extend and ensure the privacy rights of all EU/EEA citizens, specifying how personal data can be collected, managed and stored. The regulation enhances the privacy rights of data subjects, as well as specifies the security measures companies should have in place. Failure to comply with the regulation results in fines of up to 20 million Euros or 4% of total worldwide annual turnover from the previous year. Another important security standard for the FinTech industry is (Payment Card Industry Security Standard).The PCI DSS lists information security standards for those who handle cardholder information and data. It has 12 requirements organized in six groups that companies have to meet, as outlined below: Failure to comply with PCI DSS can result in high monthly fines, up to $100,000 per month, and can damage your brand reputation beyond repair. Regulations such as GDPR, PCI DSS and recent big data privacy scandals such as Facebook’s mishandling of personal data have heightened people’s awareness of data privacy. We want some kind of guarantee from companies that our data is handled securely. This is particularly relevant for FinTech companies, as they handle critical information like payment card data. In the event of a cyber attack or data breach FinTech companies have more to lose. Cyber attacks on FinTech companies can put credit card data in the wrong hands and jeopardize your business and your reputation. It is important that FinTech companies work from a ‘security by design’ and ‘privacy by design’ perspective when developing the application. Transparency is key, especially when handling sensitive data. What can FinTech startups do to ensure they meet all regulations and standards while maximizing data security and minimizing cyber attacks? We’ve dwindled it down into four key steps to get you started. Prioritizing data security for your organization stems from the top down – ensure management teams support the significance of customer’s data and corporate objectives reflect this. Review the most up to date regulations and evaluate your compliance levels. . Where are the gaps and what are the most effective ways to get your organization up to par? This is for the benefit of protecting your most important asset – your customer’s personal information and trust, which rolls up into your brand. IT teams and security specialists are key in hedging cyber security threats. The need for security testing your application and monitoring the latest cyber attack methods is critical. A identifies security related flaws hidden in your code. A determines how deep a malicious attacker would be able to penetrate your environment. Adding these professionals to your team can be all the difference. Depending on your organization’s size it can get overwhelming and costly to monitor and upgrade security requirements. Consider partnering with a PCI DSS-certified platform solution like our team at . Take away some stress, stay within budget and implement expertise to do the work for you while following industry best practices. di|Vi vill höra mer om just era utmaningar och önskemål st|Existing and Emerging Security Standards and Regulations 1. Build and Maintain a Secure Network and Systems 2. Protect Cardholder Data 3. Maintain a Vulnerability Management Program 4. Implement Strong Access Control Measures 5. Regularly Monitor and Test Networks 6. Maintain an Information Security Policy Data Security and Cyber Attacks How to Overcome Security Challenges 1: Make security a priority. 2: Follow industry best practices. 3: Integrate Information Security Specialists. 4: Consider using PCI DSS certified hosting. h1|2 Challenges FinTech startups Face and How to Solve Them h2|Kom igång redan idag h4|1: 2: sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|When selecting a reliable, trusted PCI DSS cloud-hosting provider it is critical to understand and investigate the seven main areas outlined below so you can partner with confidence. Doing your research and understanding your options, the potential hidden costs, depth of security available and level of customer service provided allows you to select a cloud-hosting provider for the long-term. You can focus on growing your business knowing you’re up to PCI DSS standards and your data, as well as your client’s personal information, is protected. the easy to use chart below that allows you to directly compare Complior with any other cloud-hosting providers you’re researching. For an editable Word document along with a thorough explanation of each of the seven areas di|Vi vill höra mer om just era utmaningar och önskemål st|fill out the contact form below h1|Checklist: 7 Questions to ask potential hosting providers h2|Kom igång redan idag h3|Checklist: 7 Questions To Ask Potential Hosting Providers sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|För att ladda ner detta dokumentera behöver du bekräfta vår e-post prenumeration. Vänligen kolla din inkorg och klicka på länken för att bekräfta din prenumerati pa|In these uncertain times of COVID-19 the entire business spectrum is changing. It is more important than ever to grasp the significance and difference of IT security vs IT compliance. The restrictions and rules many governments of numerous countries have laid out such as closing international borders, cancelling national bus and train lines, restricting physical contact with a 2m or 10ft distance, calling for citizens to stay home, could be compared to IT compliance. These are standards, rules, and laws in place to keep all citizens, and in the case of IT, businesses to a certain standard. They are laid out but it is up to each individual business to adhere to them, monitoring updates and changes and adapting as necessary. IT security, on the other hand, is the actual protections taken to minimize risk of a data breach. Again compared to the current times this is the physical act of washing your hands, sanitizing clothes/shoes/phones upon returning home from the store, limiting trips outside and eliminating contact with others now called ‘social distancing’. IT security is utilizing the proper hardware and software to put barriers in place for hackers accessing private and confidential business data, including personal information of customers, employees, business partnerships and so on. Routine IT activities like password change prompts, remote access points when working out of the office and utilizing company issued equipment would all fall into this category. , compliance is defined as an accordance or cooperation to laws set out while security is defined as the precautions taken to guard against crime, attacks and/or espionage. Best represented with a visual it is easy to categorize what belongs to IT compliance and what to IT security. There has long been a confusion in the difference of IT Security and IT compliance. Are they not one and the same? If you follow all the latest regulations, do you achieve IT security? As you can see there are actually vast differences between compliance and security and in fact not both rest on the shoulders of the IT department. While the IT department is critical in managing IT security, compliance may be a place where they are merely internal consultants. Protecting your business on both fronts is essential in achieving optimal operational excellence for your clients, your confidential processes, and in following the law. GDPR has had a tremendous impact on many businesses with issued to the likes of British Airways. We are operating in uncertain times and while there is currently a period of lull, waiting to see when and how the repercussions will unfold, cyber security is on the rise. The World Health Organization and health organizations have had numerous attempts in March to gain access to confidential information as reported by . While your business may or may not be related to the medical field, with so many people telecommuting and working from home on personal wifi connections, hacks are on the rise. This is an opportune and absolutely critical time to check in on your compliance levels and IT security protocols and ensure everything is up to date and safeguarded. Not only will you protect your business in the case of an attack, because as we’ve hackers don’t discriminate on business size and it is not just large health organizations at risk here. When COVID-19 settles, controls loosen and people begin to return closer to a normal pace of life if you act now, your business will be prepared. di|Vi vill höra mer om just era utmaningar och önskemål li|Regulatory frameworks like Policies Standards like Processes Risk Analyses Secure network access like 2 factor authentication Strong identity controls Encryption controls with Business processes Security frameworks like firewalls and antivirus st|Using the current global situation it can be best described as: In summary IT Compliance: IT Security: h1|IT Compliance vs. IT Security: Understanding the Difference h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|När du sätter igång med ett PCI DSS-projektet är ’scoping’, dvs. vad som ska omfattas, vad vissa av oss QSA:r kallat ”krav noll”. Ju mer komplexa processerna och systemen för lagring, överföring och/eller behandling kortdata är, desto svårare blir det att uppnå och behålla efterlevnad. Detta är förklaring till varför just att minska omfattningen utgör en sådan viktig målsättning. Det kommer i slutändan leda till en (ofta drastisk) sänkt total kostnad för efterlevnad. Det är i själva verket ganska givet att om man kan utesluta ett system från PCI DSS-omfattningen kan man undvika både kostnaderna och arbetet, både när det gäller kontinuerliga arbetsuppgifter (t.ex. patchning, sårbarhetsskanningar, etc.) samt den årliga bedömningen på plats. Andra fördelar är att det underlättar säkerhetskontroller och reducerar risk eftersom det begränsar bredden på det som kan attackeras. Att begränsa omfattningen är därför det viktigaste verktyget du har för att begränsa vad som krävs för efterlevnad. Därför rekommenderas att organisationer tar fram en specifik strategi för att kontrollera omfattning. Det bör göras i början av ditt PCI DSS-projekt eftersom det kommer att definiera och identifiera kraven som bör vara på plats. Att minska omfattning är inte alltid en lätt uppgift eftersom det kan innebära förändringar både gällande nätverksarkitektur och affärsprocesser. Utmaningen är att göra det utan att påverka tjänsten eller dra på sig stora kostnader. Det är viktigt att komma ihåg de två nyckelorden: Att verifiera vad som är utanför ramen innebär att organisationer måste PCI Council utfärdade mars 2015 dokument med vägledning om hur man genomför en penetrationstest och skriver uttryckligen: PCI SSC ger dock ingen vägledning eller riktlinjer för att definiera godkända och rekommenderade metoder för att begränsa omfattning vilket organisationer behöver. Ett dokument som hjälper dem undvika att inkludera komponenter i onödan för att man inte är säker på hur man ska tolka PCI DSS-standarden. Förutom riskbedömningen och utvärderingen av de komponenter som omfattas, kräver PCI DSS v3.1 också verifiering av de uteslutna systemkomponenterna. Därför bör organisationer genomföra en riskbedömning av anslutna system samt även de uteslutna systemkomponenterna, för att avgöra om uteslutna komponenter skulle kunna påverka säkerheten i CDE:n. Om svaret är ja, måste de inkluderas. Genom att minska de platser där CHD (kortdata) kan vara en riskfaktor kan organisationer begränsa sin PCI DSS-omfattning. De viktigaste sätten: använda ett detaljerat CHD-flödesdiagram och konsolidera alla system som lagrar, bearbetar eller överför CHD (både fysiskt och logiskt) och eliminera redundant lagring, system och applikationer. använda eller lagra trunkerade PAN när det är möjligt minskar risk och kan i de flesta fall även göra det out-of-scope. använda stark kryptografi och ersätta PAN med ett antal nummer/bokstäver som är slumpmässigt genererade och inte kan leda tillbaka till PAN. Ett ytterligare, slumpmässigt genererat ingångsvärde före hashing gör det ännu svårare för en angripare att jämföra data mot tabeller med förberäknade hashvärden. : att gå ifrån kryptering är en till en stor fördel, i synnerhet på grund utmaningarna kring nyckelhantering och ökade av attacker där program används för att extrahera nycklar och känslig data direkt från RAM. Lösningarna runt tokenization blir bättre och erbjuds nu även av kreditkortsbolag. Tokenization as a Service (TaaS) är på frammarsch. Traditionella lösningar ersätts av innovationer såsom vault-less och in-memory tokenization som är mindre komplexa och erbjuder bättre prestanda. April 2015 utfärdade PCI SSC riktlinjer om just tokenization. : en rekommenderade och viktig metod för att skydda data. Antalet godkända P2PE-lösningar, i synnerhet de som erbjuder betalterminaler som också stödjer EMV, är fortfarande begränsat. I skrivande stund finns det 16 validerade Point-to-Point krypteringslösningar PCI SSCs webbsida. Antalet förväntas öka under 2016 och uppdateringar av P2PE-standarderna kommer att generera fler detaljerad certifieringslösningar inom området. Flera organisationer föredrar att kombinera avancerad punkt-till-punkt-kryptering med en driftad tokenization-lösning eftersom det är ett sätt att skydda data under hela transaktionsförloppet som är både flexibelt och heltäckande och som ger möjlighet till data mining och detaljerade kundanalyser. di|Vi vill höra mer om just era utmaningar och önskemål li|“ ”: ett system (eller systemkomponent) anses vara out-of-scope endast när det är helt isolerat från CDE , så att även om denna systemet äventyras skulle det inte påverka säkerheten i CDE. “ ”: CDE och alla dess anslutna system anses vara in-scope. Ett anslutet system är systemkomponenter som etablerar kommunikation eller kommunicerar med systemkomponenter i CDE:n, oavsett skäl, typ av kommunikationsprotokoll, och oberoende av vilken anordning som faktiskt initierar kommunikationssessionen. En systemkomponent betraktas som isolerad - och därmed utom räckvidden - endast när den inte kan kommunicera med någon komponent i CDE:n, och när en utvärdering har gjorts för att bekräfta att den inte kan äventyra säkerheten i CDE:n. st|Viktiga ord out-of-scope connected systems Hur man kontrollerar att ett system är utanför räckvidden Sätt att minska PCI DSS-omfattning Ta bort: Trunkera/Maskera: Hashing: Tokenisering Point-to-point encryption (P2PE) h1|Att begränsa PCI DSS-compliance h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|(kortdatamiljön) “Implement a methodology for penetration testing, and perform penetration tests to verify that implemented segmentation methods are operational and effective”. “The segmentation check is performed by conducting tests used in the initial stages of a network penetration test (i.e., host discovery, port scanning, etc.). It should verify that all isolated LANs do not have access into the CDE.” pa|Jag måste erkänna att bankomater alltid har fascinerat mig. Jag vet att det kan låta som ett ganska "misstänkt" uttalande av uppenbara skäl, men det handlar inte om de pengarna som de håller utan snarare om hur de är konstruerade. Därför blev jag lycklig när jag nyligen fick en möjlighet att ta mig an en rad olika bankomater. Det var i samband med en större säkerhetsrevision som syftade till att utvärdera nätverks- och applikationssäkerheten på ATM:er för en av de mest berömda bankerna i världen (mer om det på nyhetssidan). Därför tyckte jag att det kunde vara trevligt att dela med mig av mina erfarenheter från ett roligt och givande uppdrag, speciellt då det är ett ovanligt case. Jag började med att undersöka och definiera hur bankomater fungerar och arbetar i praktiken och vilka som är de kritiska komponenterna och gränssnitten, dvs vilken är den faktiska "exponeringsytan". Genom att titta på en bankomat vet du att de flesta har två huvudingångar (kortläsare och knappsats) och fyra utgångar (skärm, kvitto, kassaskåp och högtalare). Att hacka sig in i en bankomat genom att utnyttja sådana användargränssnitt är dock inte ett rekommenderat tillvägagångssätt. Inte minst för att ATM-applikationen då måste ha stora logiska brister. Naturligtvis blir bilden en annan när vi tittar på den mer intressanta och "rikare" baksidan av bankomaten. Där finns en hel massa ingångs-/utgångsgränssnitt samt anslutningspunkter som bildar den "mörka sidan" av en bankomat (den IT-relaterade sidan som ingen någonsin ser), dvs. saker som anslutningen till den auktoriserande bankens finansiella host, administration, applikationer, nedladdning av programvara, operativsystemuppdateringar, övervakning av ATM, bedrägeribekämpning - bara för att nämna några. Hur som helst, om sanningen ska fram, är bankomaterna som andra vanliga (fristående) nätverksanslutna enheter. Det innebär i grunden att, liksom alla andra gemensamma nätverksåtkomliga enheter, kan alla utsatta tjänster, system eller applikationsgränssnitt attackeras av alla som har tillgång till ett lokalt eller intilliggande nätverkssegment. Det var kärnan i mitt uppdrag som ATM-säkerhetsbedömare: Att försöka manipulera de olika gränssnitten med målet att avgöra om obehörig åtkomst eller annan skadlig aktivitet skulle kunna leda till otillåten utdelning av pengar. Jag kände att det fanns ett behov av att studera den ATM-specifika arkitekturen som ligger till grund för den ordinarie ATM-applikationen. Vanligtvis, körs inte ATM-programmet direkt på OS (ofta är ett fristående Windows-skrivbordssystem, till exempel Windows 7 eller XP på plats) men det finns några lager mellan. Bortsett från olika ad hoc-säkerhetslösningar som kan variera och tillåter ATM-programmet att köras i en mycket restriktiv miljö med begränsade tjänster och processer i bakre änden, innefattar en ATM-arkitektur alltid ett så kallat XFS ( EXtensions for Financial Services) middleware lager. En sådan middleware tillhandahåller normalt sett en klient-server arkitektur för finansiella applikationer byggda ovanpå Windows-plattformen. XFS är en internationell standard som främjas av Europeiska kommittén för standardisering (känd under förkortningen CEN, följaktligen CEN / XFS). Den tillhandahåller ett gemensamt API för åtkomst till och hantering av olika utrustning och finansiella serviceanordningar oavsett tillverkare. ATM-applikationen kommunicerar sedan genom XFS-skiktet, vilket i sin tur är det som verkligen ger kommandon till hårdvaran. Som sådan är det därför den som till exempel interagerar med en ATM:s kassaautomat för att dispensera kontanterna, vilket förklarar varför åtkomst till XFS-kommandon bör begränsas mycket noggrant genom ATM-operativsystemets kontrollmekanismer. Detta förklarar också varför kunskap kring XFS kan vara nyckeln när man bedömer bankomater. Detta var överlägset den mest tidskrävande delen av minaförberedelser, inte minst eftersom XFS vanligtvis är resultatet av en egenutvecklad utveckling av ATM-tillverkaren och involverade mycket dokumentation. Det är självklart att ens förberedelser beror på det faktiska tillvägagångssättet som kommer att följas under den aktiva delen av testningen. Vad jag menar är att om man ska genomföra ett white-box penetrationstest, så är ett test av tillvägagångssättet ett måste. Om du istället är i ett grått / svart-box område så är det upp till dig att avgöra, beroende på om du tror att du kommer att lyckas få tillgång till antingen den ordinarie ATM-applikationen eller operativsystemet. Man inser snabbt att man bör behandla bankomater som vilken enhet som helst som är ansluten till ett nätverk. Därför kommer i de flesta fall en penetrationstestare troligtvis inte att tvingas arbeta utanför sin vanliga komfortzon. Detta betyder dock inte att det är lätt att bedöma bankomater. Bankomater har särskilda hotmodeller som man måste vara medveten om! Bortsett från att försöka bryta sig in i systemet via credentials brute forcing vid detekterad inloggningspunkt och försöka utnyttja eventuella opatchade eller osäkert konfigurerade nätverks-tjänster, kan en annan bred uppsättning av testaktiviteter utföras som avgörs genom en inspektion av ’sniffed’ nätverkstrafik (om och när det finns möjlighet att göra det). De som är bekanta med nätverkstrafikanalyser kommer att veta vilken utmaning en sådan fas kan vara, särskilt när det finns massor av (nästan aldrig självförklarande) anslutningar till och från miljön. Att sätta all trafik i ett sorterat och förståeligt format kan vara svårt och innebära många ovanliga proprietära protokoll. Det kommer emellertid att ge massor av användbar information som kan förlänga räckvidden av en pentesters checklista. Vi har till exempel bara ett sätt för att bestämma huruvida svagt krypterad eller till och med vanlig textkommunikation kan överföra möjliga kritiska eller känsliga data. Även om många kan betrakta det som en del av en tråkig testfas, har jag faktiskt fått några av de mest intressanta resultaten under ett sådant skede! Om man tittar på genererad nätverkstrafik avslöjar man vad som händer bakom kulisserna och kan både bekräfta den typ av fynd som upptäckts i tidigare (mer aktiva) faser och samtidigt indirekt gissa andra system- och programkonfigurationer som inte kunde inspekteras direkt. Det var i ett sådant skede, tack vare den kunskap som samlats in genom analys av nätverkstrafik, som en intern nätverk/applikations pentest förvandlades till en mer proaktiv säkerhetsrådgivning. Jag fokuserade på själva ATM-systemet och hjälpte min tekniska kontaktperson att definiera en uppsättning skräddarsydda patchpaket som var inställda för att uppnå följande säkerhetsmål: Genom att införa alla de ovannämnda delarna på en och samma gång, och tillfoga några andra ad-hoc-säkerhetsmekanismer, såsom IP-baserade anslutningsregler till server endpoints med tvåvägs certifikatvalidering, blev den nätverksrelaterade ytan för exponering av alla in-scope-bankomater effektivt reducerad. Det är inte en lätt uppgift att beskriva ett så omfattande jobb i ett inlägg och jag kan av uppenbara skäl inte avslöja för många detaljer. Annars skulle det här varit en mer tydlig teknisk handledning. En sak är säker och det är att det är nästan omöjligt att uppfylla de förväntade säkerhetsmålen utan att först att förstå målens natur och övergripande sammanhang, särskilt när de är så ovanliga. Därför bör man allokera tillräckligt med tid för att studera, läsa dokumentation, googla runt och samla på sig så mycket kunskap som möjligt. Och man bör fråga alla möjliga frågor – ju mer kunskap man har ju effektivare blir testerna. Avslutningsvis vill jag hänvisa till en resurs som hjälpte mig att ta fram en skräddarsydd checklista, (särskilt kapitel B), det är ett riktigt inspirerande dokument vid en säkerhetsbedömning av detta slag. di|Vi vill höra mer om just era utmaningar och önskemål li|Aktivera bara nödvändiga system- och nätverkstjänster och inaktivera allt annat Förhindra att ATM-applikationen kopplas till något nätverksgränssnitt Härda nödvändiga tjänster och operativsystem enligt de mest relevanta accepterade konfigurationsstandarderna Förhindra direkt inkommande tillgång till nödvändiga tjänster genom en kombination av både lokala och perimeter FW-policyer Revidera kryptering av alla klientkomponenter så att endast bästa möjliga chiffer och protokoll aktiveras (om och när möjligt, naturligtvis, kompatibelt med vad de olika server endpoints faktiskt hanterar) Tillåt aldrig något textutbyte mellan klient- och server-endpoints, inte ens för mindre tillbehörstjänster st|Fastställa exponeringsytan XFS och övergripande arkitektur Pentest av tillvägagångssätt Network Traffic Sniffing Försvar i djupet Ett lyckligt slut Slutsats h1|Tankar kring konsten att bedöma bankomater h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Blockchain-teknologier bryter idag många invanda mönster, speciellt inom områden som valutor och betalningar. De involverar även ofta ett nätverk av individer, titta exempelvis på bitcoin och ethereum kryptovalutor. Eftersom de presenterar nya synsätt så måste man även analysera teknologierna ur nya perspektiv – ett är det legala. Det blir därför intressant att ta sig en närmare titt på Blockchain/GDPR-kombinationen, mer specifikt, hur Blockchain kommer att kunna stödja och respektera kraven om skydd av persondata. Enligt prognoser som presenterades under förra World Economic Forum (WEC), kommer så mycket som 10% av världens BNP att komma från aktiviteter och tjänster som distribueras genom Blockchain år 2025. Detta scenario innebär att man förr eller senare kommer att omfattas av olika förordningar, och det som ligger närmast i tiden är GDPR (the European General Data Protection Regulation). Så som det ser ut idag kommer den nya förordningen att ha en stor påverkan på minst tre områden av Blockchain. Som jag ser det, finns det dock två principer inom Blockchain, som faktiskt till stor del utgör grunden av Blockchain, som riskerar att krocka med GDPR. Det är därför nödvändigt att förstå hur skydd av personuppgifter kan integreras i ett system som Blockchain där det finns stora dataflöden, och även hur man ska följa regler för datalagring då det kan lagras på obestämd tid. Trots dessa utmaningar så kan Blockchain/GDPR-kombinationen även erbjuda intressanta möjligheter – till exempel ’’security by design’’, där man tar bort kopplingen mellan data och individuell identitet och därmed minimerar insamlad data (endast hantera det som är nödvändigt). Detta för att säkerhet och skydd i Blockchain säkerställs av: Då blir det omöjligt att rekonstruera innehållet av en transaktion från en ensidig kryptografisk hash. Och såvida inte någon av parterna i transaktionen beslutar att länka en publik nyckel till en känd identitet, så är det generellt sätt inte möjligt att kartlägga och koppla transaktioner till individer eller organisationer. Detta betyder att även fast Blockchain är ’’public by design’’ (vem som helst kan se alla transaktioner), så är inga personuppgifter publika. Vad som än sker i framtiden så är en sak säker, det finns många saker som måste åtgärdas – och det kommer att bli intressant att se hur! Någonting som ska bli extra intressant att se är: hur kommer Blockchain att ta itu med den rätt kantiga frågan ’’rätten att bli glömd’’, med tanke på att kedjan i grund och botten inte är modifierbar? di|Vi vill höra mer om just era utmaningar och önskemål li|Data som lagras i ett blockkedje-nätverk anses vara stöldsäkert och manipuleringssäkert, vilket innebär att man inte kan radera data efter att det har placerats i och distribuerats i en blockkedja. En av grunderna i ett Blockchain-nätverk är att det distribueras, så kontrollen över data decentraliseras och delegeras till alla Blockchain-deltagare (t.ex. datautvinnare, som i vilket fall som helst inte skulle betraktas som DPO enligt GDPR). Smarta kontrakt kommer att förlita sig på sina inbyggda automatiserade beslutsmekanismer vilket kan leda till rättstvister. Data som läggs in i blockkedjan är publikt och tillgängligt för alla som finns i kedjan Data i blockkedjan lagras utan tidsbegränsning Den publika nyckeln från avsändaren av transaktionen Den publika nyckeln till mottagaren av transaktionen En kryptografisk hash av innehållet i transaktionen Datum och tid för transaktionen st|GDPR-påverkan på Blockchain Möjligheter för GDPR och Blockchain h1|Blockchain och GDPR – när möjligheter och utmaningar möts (och kanske till och med kolliderar) h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Ofta under en PCI DSS-revidering tenderar organisationer att anta att allt som inte är Cardholder Data Environment (CDE) är out-of-scope, alltså att det inte omfattas av PCI DSS-standarden. CDE-anslutna system som inte har någonting att göra med säkerhet (i PCI DSS ord: konfidentialitet och integritet), såsom monitoring systems eller databaser för produkter, glöms ofta bort. När det sedan är dags för PCI DSS-revision, så brukar PCI DSS-ansvarig på företaget bli besviken efter QSA:ns bedömning av omfattning. Det här är ett sätt som kan minimera besvikelsen och istället få drottningen att le igen. PCI-rådets redogörelse gällande omfattning är följande: Det finns inga genvägar när det kommer till att "ingår i eller är anslutna till" kan vara utgående, inkommande eller dubbelriktad och på följande sätt: Och, följande uttalanden gäller alltid när man definierar omfattning/scope: Det enkla svaret: använd en proxy. Om ditt nätverk är väl segmenterat kommer en IN-SCOPE-proxy att koppla bort CDE och de system som kan påverka säkerheten för CDE-enheten från resten av ditt nätverk. Ett typiskt exempel är en övervakningsserver med en agent installerad på CDE-systemen. Utan proxy skulle agenten på ett in-scope-system upprätta en direkt anslutning med övervakningsservern, vilket skulle innebära att det omfattas av säkerhetskravet. Med en proxy kommer agenten att bara trycka ut information från maskinen som är in scope till proxyn som är in scope och i sin tur kommer proxyn att vidarebefordra sådan agentinformation till övervakningsservern och om övervakningsservern behöver koppla tillbaka, kommer anslutningen via proxyservern, vilket leder till att övervakningsservern inte omfattas. Proxy kan vara till nytta för olika anslutningar för olika ”service”-system, vilket gör att de hamnar out-of-scope; med bara ett ytterligare system (en proxy) kan omfattningen bli mycket mindre. Det finns andra sätt att minska omfattningen, till exempel genom Tokenization, Containers eller Network Segmentation, men det gott folk tar vi en annan gång. di|Vi vill höra mer om just era utmaningar och önskemål li|Fysiskt Trådlöst Virtualiserade System som är placerade inom CDE:n omfattas, oberoende av deras funktionalitet eller anledningen till att de är i CDE. På samma sätt kan system som ansluter till ett system i CDE omfattas, oavsett funktionalitet eller orsaken till att de har anslutning till CDE. I ett platt nätverk är alla system ’in scope’ även om det bara är ett enskilt system som lagrar, behandlar eller överför kontodata. st|PCI-rådets uttalande om 'Scope' Hur gör man för att ta de system som finns anslutna till ditt nätverk men inte hanterar kortdata out-of-scope; så att de inte längre omfattas av PCI DSS? h1|Spegel, spegel på väggen där, säg mig vem som ’in scope’ är? h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|PCI DSS-säkerhetskraven gäller för alla systemkomponenter som ingår i eller är anslutna till kortdatamiljön. Kortdatamiljön (Cardholder Data Environment – CDE) består av personer, processer och teknik som lagrar, hanterar eller skickar kortdata eller känslig autentiseringsdata. pa|eller till en hostingleverantör kan minska kostnader, effektivisera ditt arbetsflöde och minska behovet av intern IT-personal och hårdvara. Men den kanske största fördelen är att man kan lägga mer fokus på sin kärnverksamhet och överlåta en stor del av hanteringen kring IT-frågor som drift, säkerhet, underhåll, backup och support till någon som specialiserar sig på just det. Marknaden för molntjänster är stor och det finns både giganter som Microsoft, Amazon och Google, och mindre nischaktörer som, t ex Complior som har säker IT-drift som fokus. Det är oerhört viktigt att välja rätt eftersom valet av molnleverantör kan vara avgörande för ditt företags framgång. Så hur väljer man rätt? Den grundläggande principen är att du måste veta vad du behöver och vad du vill. För att hjälpa dig på traven – här är 10 frågor du bör ställa till potentiella leverantörer. När det gäller prissättning brukar man oftast utgå från företaget och dess specifika behov. Att behöva betala i förskott är inte normen för etablerade molnleverantörer och vill man ha ett fast hyllpris får man räkna med att ingenting är anpassat för just ditt företags behov. En sak som ofta glöms bort är helhetskostnaderna, då ett stort fokus läggs på de hårda tjänsterna som behövs. De mjuka tjänsterna såsom drift och det dagliga samarbetet med leverantören missas ofta i kalkylen. Lägg lite extra krut på kravspecifikationen för att säkerställa att allt kommer med. Säkerhet bör alltid vara en prioritering för idag är data ofta affärskritisk och grunden till många verksamheter. and frameworks such as ISO 27001 or PCI DSS if you work in the payment industry, demonstrate that they follow best practices in terms of security. Security measures to look for are firewalls, anti-virus protection, multi-factor user authentication, encryption and regular security audits. En stor del av säkerheten ligger också i att veta vem som kommer åt vad, och att personen ifråga är betrodd och har godkänd behörighet. Bakgrundskontroller, säkerhetsutbildning, behörighetskontroll och spårbarhet är saker som säkerställer att du som kund kan känna dig tryggare. The location and security of the data centers and servers where your company’s information will be stored are as important as online security. There should be processes and routines in place on how the cloud vendor protects the data center from natural disasters such as fires and storms. We also have this (not so) minor detail of how the facility itself is protected against burglary, and that unauthorized personnel are not able to access physical machines. Technical support should be available to you online or by phone 24/7/365. When you contact the service desk, the person answering enquiries should be a knowledgeable technician! Many deliveries are entirely dependent on technicians and support. One thing that is often forgotten is that the day-to-day collaboration and contact can take different forms. Look for a supplier that can offer you more personal service or a contact person that can handle discussions, planning and project management over time. Om du av misstag raderar eller förlorar data – kan du få tillbaka den? Vilka bestämmelser finns det gällande förlust av data? Det är viktigt att säkerställa att det finns spårbarhet och övervakning i tjänster och kanske även en redundant miljö som minskar risken för dataförluster. Du vill att en potentiell leverantör ska ha dokumenterade och formaliserade 'change management policies' och rutiner för ändringar i informationssystem, inklusive en process för att begära, logga, testa och godkänna förändringar före genomförandet. Det är också bra att förstå leverantörens processer vid kriser och att även nödförändringar går igenom en formell granskningsprocess. Roller och ansvarsområden, eskaleringsprocesser och vem som har bevisbörda måste vara tydligt dokumenterat i serviceavtalet. Om du av misstag raderar eller förlorar data – kan du få tillbaka den? Vilka bestämmelser finns det gällande förlust av data? Det är viktigt att säkerställa att det finns spårbarhet och övervakning i tjänster och kanske även en redundant miljö som minskar risken för dataförluster. När ditt företag växer, så växer ofta ditt behov för molntjänster. Därför är det bra att välja en skalbar lösning, och ta reda på lagringskapacitet och hur mycket det kostar. Det är onödigt att behöva se sig om efter en ny molnleverantör när behoven ökar – då vill man med all säkerhet fokusera på affärerna. Eftersom driftstopp kan vara kostsamma för ditt företag så är det förstås lämpligt att välja en leverantör som upplever så få som möjligt. Men det är också viktigt att förstå att driftstörningar är svåra att undvika och alla molnleverantörer upplever det vid något tillfälle. Det som blir relevant är hur leverantören hanterar driftstörningar. De bör ha planer och processer på plats som inkluderar hur de kommunicerar med kunder under avbrott. De bör också ha kunskap om hur applikationer och system kan byggas upp i deras infrastruktur för att minska risken för störningar vid eventuellt avbrott. Många tjänsteleverantörer erbjuder migrationstjänster och hjälp i bedömnings- och planeringsfasen, samt även teknisk personal som kan komplettera med kompetens. Se till att du har en bra förståelse för det erbjudna stödet och bestäm vem som ska göra vad. Undersök vem som ska leda projektet och hur projektets dialog med dess resurser ska hanteras. Man vill inte tänka avslut i början, men det är bra att ha en färdig strategi på plats redan från start. Du vill veta hur du får tillgång till din data, vilket skick det kommer att vara i, och hur länge leverantören lagrar det. Som kund vill du inte bli låst hos en leverantör på grund av att din data inte kan flyttas. Undersök redan innan du väljer leverantör om hur en eventuell flytt till annan leverantör kan gå till, och om det finns begränsningar. Leverantörer har ofta underleverantörer och komplexa nätverk av anslutna komponenter. Det är därför viktigt att säkerställa att leverantören kan garantera leverans av alla delar av tjänster, även de som ligger hos samarbetspartners eller tredjepartsleverantör. Du bör också se över de begränsningar och ansvarsfördelningar som finns när det gäller support och driftstörningar eller avbrott. Denna fråga blir även viktig i förhållande till lagar och förordningar som GDPR och den kontroversiella CLOUD Act i USA. Det blir därför väldigt viktigt att fråga potentiella leverantörer var din data kommer att finnas, hur dataflödet ser ut och vem som har tillgång till din data. Det finns mycket att tänka på när man ska välja molnleverantör, men det hjälper om du vet vilka frågor du ska ställa. – både säkerhetsstandarder och den fysiska säkerheten av din data. Tänk långsiktigt – se till att molnet kan växa i takt med dig. – se till att molnet kan växa i takt med dig. – lägg tid på avtal och avtalsvillkor så att det blir tydligt om vem som ansvarar för vad. – den återkommande dialogen på olika plan är viktigare än man tror i en säker leverans av IT-system. di|Vi vill höra mer om just era utmaningar och önskemål st|Sammanfattning Tänk säkerhet Tänk långsiktigt Tänk ansvar Tänk samarbetsformer h1|10 frågor att ställa när du ska välja hosting eller molnleverantör h2|Kom igång redan idag h5|1: What does the cloud hosting solution cost? 2: How secure is the hosting solution? 3: Where is the data center located and how safe is it? 4: What customer support services are offered? 5: What happens if your data is lost? 6: What if your business grows? 7: What is the hosting provider’s downtime history? 8: How do you get started with the cloud? 9: What happens if you part ways? 10: Who does the cloud hosting provider work with? sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Dessa fyra gjorde det möjligt att tillverka den magiska artefakten som skulle göra att de blev av med elakingen. Faktorer behövs också för att få tillgång till Cardholder Data Environment (CDE). I synnerhet kraven 8.2 av PCI DSS v3.2: Och krav 8.3: . I februari 2017 släppte PCI SSC ett . Så, vad är det? Multifaktorautentisering är användningen av olika faktorer för att få tillgång till något, i vårt fall ett system i CDE:n. De faktorer som kan användas är: Sådana faktorer, vid ett tillfälle och endast om de kombineras, ska ge dig åtkomst till CDE. Att använda samma faktor två gånger (eller mer) anses inte vara multifaktorautentisering och uppfyller därmed inte den säkerhet som standarden kräver. Med tanke på ovanstående innebär det att faktorerna måste skyddas för att bibehålla sin egen integritet och därmed integriteten av CDE:n: I det "något du har" räckvidd är det värt att nämna att medan NIST fortfarande tillåter användning av out-of-band-autentiseringsmekanismer (t.ex. SMS, röst på PSTN), har NIST uttryckt missnöje och det kan komma att tas bort i framtid, enligt . Multifaktorautentisering är otroligt viktigt för att hålla skurkarna borta från CDE:n. Hur du skyddar faktorerna för multifaktorautentisering är avgörande, så ingen post-its med lösenord eller obevakade smartcards / OTP-tokens / smartphones från och med nu! di|Vi vill höra mer om just era utmaningar och önskemål li|Något av tråden Något från huvudet Något från de döda Något från kroppen Något du vet Något du har Något du är Lösenord och annat "någonting du vet" data ska vara svårt att gissa och att komma fram till med envetenhet, för att de ska vara skyddad från obehöriga parter. Biometri och annat "något du är" data bör skyddas mot replikering eller användning av andra med tillgång till enheten som datan finns på. Smarta kort, programcertifikat och annat "något du har"-data ska inte delas och ska skyddas mot replikering eller att de hamnar i händer hos obehöriga parter. st|faktorer h1|Multifaktorautentisering och voodoo h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|8.2 Förutom att tilldela ett unikt ID, säkerställ korrekt hantering av användarautentisering för användare som inte är konsumenter och administratörer på alla systemkomponenter genom att använda minst en av följande metoder för att autentisera alla användare: Något du vet, till exempel ett lösenord eller lösenordsfras Något du har, t.ex. en token eller ett smartkort Något du är, som är biometrisk. 8.3 8.3 Säkerställ all administrativ åtkomst och all fjärråtkomst till CDE med hjälp av multifaktorautentisering. Obs! Flerfaktorautentisering kräver att minst två av de tre autentiseringsmetoderna (se krav 8.2 för beskrivningar av autentiseringsmetoder) används för autentisering. Att använda en faktor två gånger (till exempel två separata lösenord) räknas inte som multifaktor-autentisering. pa|Complior har ett starkt fokus på informationssäkerhet och compliance. Det är en del av vårt DNA. Vi strävar alltid efter att hålla oss uppdaterade om det senaste inom dataskydd och säkerhet, och arbetar kontinuerligt med att stärka upp och förbättra interna processer. Complior är därför glada att meddela att vi blivit omcertifierade inom standarderna ISO 27001, ISO 9001 och ISO 14001. är en ledningssystemstandard med fokus på informationssäkerhet. Information av olika slag utgör ofta grunden för ett företags verksamhet. Det kan exempelvis vara affärskritisk information, personliga uppgifter, betalkortdata, patientdata. Kärnan i informationssäkerhet enligt ISO 27001 handlar om att göra riskbedömningar och klassificera information för att sedan införa proportionerliga skyddsåtgärder. är en ledningssystemstandard som kräver att organisationen på ett systematiskt sätt arbetar med att uppnå hög kvalitet av tjänster och produkter för att uppnå kunders krav. är ett miljöledningssystem med syfte att förbättra miljön, minska resursanvändning och effektivisera processer utifrån en miljöpåverkansynpunkt. Med en förnyad certifiering kan våra kunder vara ännu mer säkra på att vi har den expertis och de processer som krävs för att leverera det bästa inom IT-säkerhet, kvalitet och miljö. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad omfattar de olika ISO standarderna? ISO 27001 ISO 9001 ISO 14001 ISO är en kvalitetsstämpel h1|Complior förnyar certifieringar inom ISO 27001, ISO 9001 och ISO 14001 h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|Medan GDPR-efterlevnad har legat högst upp på dagordningen för många företag både i Sverige och världen över, har det dykt upp ett nytt orosmoln på himlen, som stavas Cloud Act. Den amerikanska lagen Cloud Act innebär bland annat att amerikanska myndigheter ska kunna ges tillgång till amerikanska leverantörers data – även data som lagras utomlands. Många har uttryckt oro över vad lagen kan komma att innebära i praktiken. CLOUD Act står för The Clarifying Lawful Overseas Use of Data Act och är en amerikansk lag som klubbades igenom den 23 mars 2018. Syftet är att modernisera övervakning och integritetslagar för att spegla det ökade användandet av molntjänster. Territoriella gränser har i stort suddats ut på internet, och det förekommer mer internationell brottslighet, och den amerikanska staten vill ha en lagstiftning som reflekterar detta. CLOUD Act innebär att amerikanska molntjänstleverantörer på begäran ska kunna tillhandahålla amerikanska staten med data som lagras på servrar, oavsett om datat lagras i USA eller utomlands. Detta innebär att amerikanska myndigheter kan kräva ut stora mängder data, vilket i sin tur kan innebära tillgång, läsning och utlämning av data som tillhör europeiska medborgare. Vilken sorts information är det företag kan komma att behöva lämna ut? Kort sagt är det all slags information. I lagen skriver man: “[a] provider of electronic communication service or remote computing service with the obligations of this chapter to preserve, backup or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, .” Det som gör CLOUD Act till en rätt kontroversiell lag är att den kringgår andra länders lagar gällande integritet och skydd av information. Man menar att amerikanska molntjänstföretag ska följa amerikanska lagar, oavsett var de har sina servrar, vilka andra länder de verkar i, och vilket land den berörda personen bor i. Någonting som dock är viktigt att nämna är att denna begäran på utlämning av information sker vid brottsmisstanke eller brottsutredningar, och amerikanska myndigheter ska då tillhandahålla en så kallad ’’warrant’’. Det finns andra detaljer i lagen som kan komma att bli problematiska. De berörda individerna behöver i vissa fall inte informeras när informationsutlämnandet sker. Lagen tillåter även USA att ingå avtal med länder där länderna kan få tillgång till information lagrad på amerikanska servrar, utan krav på rättslig grund för informationsinhämtning och helt kringgå det amerikanska rättssystemet. Detta har alarmerat människorättsorganisationer. I Europa har företag arbetat hårt för att följa den nya dataskyddsförordningen GDPR. GDPR som förordning handlar om att skydda och stärka individens integritet, och ger individen mer makt över sina personuppgifter. Cloud Act och GDPR skiljer sig mycket i omfattning och syfte, och visar rätt tydligt på skillnaden mellan Europa och USAs syn på integritet och hantering av personuppgifter och information. I GDPR skriver man om dataöverföring till tredje land, och i artikel 48 står det att beslut från myndigheter eller domstolar där man kräver överföring av personuppgifter endast får genomföras om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp. Det finns alltså en potentiell konflikt mellan Cloud Act och GDPR. Många organisationer och experter har uttryckt oro över Cloud Act och att lagen kan ha en negativ inverkan på EU-medborgares integritet. Från EUs sida har man inte gett sin syn på saken, då de enligt Datainspektionen inte ännu diskuterat hur lagen kan komma att påverka EU-medborgares rättigheter. För svenska verksamheter som använder sig av amerikanska leverantörer så bör de utvärdera riskerna med att använda sig av en amerikansk leverantör, och se över hur dialogen med denna leverantör ser ut. Många av jättarna inom molntjänster och IT-tjänster, som Google, Microsoft och Amazon behöver alla följa Cloud Act. Det kan vara fördelaktigt för företag att istället välja en lokal leverantör som man vet följer det lokala landets lagar gällande exempelvis integritet och dataskydd. Detta gäller speciellt svenska och andra europeiska företag vars data är extremt känslig, exempelvis myndigheter, kommuner och banker. di|Vi vill höra mer om just era utmaningar och önskemål st|Vad är CLOUD Act? Vad innebär CLOUD Act? Cloud Act och GDPR Hur bör företag utanför USA agera? h1|Cloud Act – hur den nya amerikanska lagen kan påverka svenska företag h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy em|shall comply regardless of whether such communication, record, or other information is located within or outside of the United States pa|The hospitality industry is the industry that is ranked the highest when it comes to risk of experiencing breaches, this according to the latest DBIR (Data Breach Investigations Report) conducted by the Verizon Risk Team. The criticism towards the hospitality industry stems from the fact that card data and personal information is usually stored in several places, and in general there has been a slow response rate to breaches. There are three main categories of players in the hotel industry online in terms of the booking process: are the online booking sites, some of the major ones being booking.com, hotels.com and Expedia. allows properties to manage onlinemdistribution outlets, and makes sure that rates and inventory are kept up to date. receive the booking information and payment. In a regular booking process, the booking message is sent from the OTA to the Channel Manager and then to the Hotels. The nature of the booking process and flow of information means that Channel Managers handle and store a lot of sensitive data, including booking information, personal information and cardholder data. As a result, Channel Managers have to have a secure IT environment and be compliant with PCI DSS – to ensure that data is kept safe. A Channel Manager in Italy who manages more than 3 500 properties contacted us in the spring with the challenge of becoming PCI DSS compliant. They prefered not having to invest in their own hardware and to only pay for what they needed. Our answer was Tokenization where their cost is based on the number of PANs stored. Handling and storing sensitive information means that companies have to be compliant to security standards such as PCI DSS and GDPR. Traditional tokenization services are used a lot in e-commerce, where cardholder information is removed and replaced with an indecipherable token. For this particular Channel Manager, Complior delivered a customised service. We developed ready-to-use, simple API’s, meaning that the customer does not have to build systems or install servers. In this case, the solution was bigger than traditional tokenization since instead of sending only the card data to us, the OTA sends the whole booking message, and we replace the card information with a token ID that is then to the Channel Manager or the hotel. The card data is stored in our PCI DSS certified environment, putting the Channel Manager out of scope when it comes to compliance with PCI DSS. Compliors for the Channel Manager has been a success. We process between 4000-5000 cards each day, and expect to process around 1.2 million cards this year. The solution has meant that the Channel Manager now meets security standards and has been able to continue to conduct business, and we have managed to significantly reduce the risk of breaches and theft of cardholder information. Tokenization is being highlighted more and more in the industry. Tokenization means that sensitive cardholder information, such as credit card number, expiration date, and card name, are removed from your systems and replaced with a token. It is a simple and cost efficient way for companies who handle card data to reach compliance to security standards like PCI DSS – mainly because it puts you out of scope. There is no data to steal if you are targeted with an attack, because all of the data is stored in our PCI DSS certified environment. A person makes a booking on an online travel agency site (OTA). The OTA sends the booking information, including card in clear text to our booking engine; the tokenization service. The booking engine replaced the card information with a token, which is sent to the Channel Manager. The Channel Manager sends the booking information to the hotel. The hotel can also retrieve the card in case it is needed for payment. di|Vi vill höra mer om just era utmaningar och önskemål st|Channel Manager använder tokenisering för att ersätta kreditkortsdata Online Travel Agencies A Channel Manager Hotels Why use Tokenization? h1|Tokenisering h2|Kom igång redan idag h4|Challenges in the Hospitality industry The players The booking process A Channel Manager Using Tokenization to outsource data The outcome Before How does it work? After sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev em|Many industries handle and process card data, making them a natural target for hackers and cyber criminals. There is a simple solution to mitigate this risk – it is called Tokenization. With Tokenization, Complior takes responsibility for your sensitive data, without complicating the end-user experience. You never sit on any data that poses a security threat. Here is our latest case where we solved a major challenge for a Channel Manager. pa|This of course applies to any PCI-related pentest being carried out against the infrastructure layer of an entity under assessment. The main goal of the scanning phase is, indeed, to learn more about the target environment and find openings by directly interacting with any detected target system and/or network component. As a positive side-effect, scanning might lead to identifying further items that were not included in the PCI scope of the target environment. Several types of scans are performed during this phase, including but not limited to: The main aim of the exploitation phase is to demonstrate the actual presence of exploitable vulnerabilities as detected in the previous core phase, with special focus on the ones that could expose card data that can be compromised. During this phase the tester tries to actively gain access by circumventing security measures that are in place, expand access and elevate the level of privilege obtained. This is normally achieved through: A successful exploitation phase eventually offers proof that vulnerabilities are actually there to harm, helping to identify the relevant threat scenarios that may directly or indirectly affect cardholder data and, thus, PCI compliance. Regarding PCI compliance specifically, it is important to point out that, out of the total set of issues that would result from the whole testing campaign, only a specific sub-set will most likely have an impact on compliance. This is a very important aspect in PCI related penetration testing and, as such, it deserves some further explanation. As highlighted several times in this and previous articles, PCI DSS is all about securing cardholder data. This means that, regardless of how critical an issue might be, any relevant findings are subject to further “filtering” criteria where only possible direct and indirect impacts on card data confidentiality is considered relevant for compliance. So, if you manage to find a way to remotely switch off or erase the main back-end database without being able to get in touch with its content, it would not necessarily imply a “PCI Fail” condition. Even if all mission-critical data is lost. Basically, unless Confidentiality of cardholder data is directly or indirectly in jeopardy, Availability and Integrity generally don’t determine any impact on compliance on their own. This is only one of the many possible examples leading to the very important conclusion that PCI DSS compliance alone is not necessarily synonymous with good overall security. Many organizations today unfortunately still tend to overlook this aspect and continue to be exposed to considerable business losses, since they somewhat pretend that the “compliant checkmark” is a shield against all evil. Well, in a way it is, but it is way too small of a defense. The Standard in fact “only” defines a security baseline for any organization that processes, transmits, or stores cardholder data. Being compliant only involves satisfying the requirements; it does not AT ALL mean that the organization’s business is exhaustively and thoroughly secure and all related security objectives are met. Keep this well in mind when it comes to choosing your own approach to security testing for PCI DSS requirement 11.3. At least, if you want penetration testing to bring actual value added to the organization from an overall security standpoint. The bottom line is, when you undergo your next annual pentest, don’t just look at the “PCI Fail” findings: carefully read through the list of findings and fix ALL that would actually put your business at risk. di|Vi vill höra mer om just era utmaningar och önskemål li|Network sweeping: aims at identifying which hosts that are actually live by sending packets to all network addresses in a specific target range Port scanning: once live hosts have been detected, this phase discerns potential openings in all target machines by looking for listening TCP and/or UDP ports OS fingerprinting: aims at determining the target operating system type based on network behavior Service detection: attempts to determine both the version and type of service which is presumably bound to the listening port Vulnerability scanning: a crucial part of the scanning process, since it measures whether, based on the above, the target machines COULD be affected by one of the thousands potential vulnerabilities, including but not limited to misconfigurations or unpatched services Searching for proof of concept code in the tester’s repository Searching for exploit code from publicly available sources Development of own tools/scripts Using tools, scripts, exploit and/or proof of concept code against the target to gain as many points of unauthorized access as possible st|When it comes to pen testing, it can always be roughly broken down in to two core phases: scanning and exploiting. Simply put: know what you’re dealing with; then you may push the red “fire” button and unleash hell. h1|The Two Core Phases of Penetration Testing and PCI Compliance Pitfalls h2|Kom igång redan idag h4|The scanning phase The exploitation phase A compliance checkmark is not a shield against evil To summarize sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev pa|I GDPR finns det krav på Privacy by Design. Det innebär att det ska finnas inbyggda mekanismer i tjänster och system som skyddar den personliga integriteten. En grundprincip är att man ska begränsa mängden insamlade uppgifter, så kallad uppgiftsminimering. Det betyder att alla produkter, tjänster och system ska utformas så att så få personuppgifter som möjligt behandlas. Enligt datainspektionen kan man minimera antalet personuppgifter som behandlas genom att: I samband med Privacy by Design och uppgiftsminimering har man pratat mycket om pseudonymisering och anonymisering av personuppgifter. Både pseudonymisering och anonymisering syftar till att dölja identiteter och personuppgifter – men på olika sätt. I detta inlägg går vi igenom skillnaderna. Pseudonym betyder ’falskt namn’ på grekiska, och ett känt exempel är den fiktiva karaktären Bruce Wayne som ibland går under namnet Batman. Likt Bruce Wayne och Batman så innebär pseudonymisering i IT-system att man maskerar den registrerade och dennes personuppgifter. I GDPR definierar man pseudonymisering som ’’behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används’’. Personuppgifter byts alltså ut mot icke-identifierande information, och det krävs kompletterande information för att återskapa ursprungsinformation. Dessutom ska de kompletterande uppgifterna förvaras separat. Pseudonymisering gör att informationen blir mindre tillgänglig för obehöriga, och är en bra metod för att uppnå säkerhetskraven i GDPR, då det är praxis att information som personnummer och personuppgifter ska pseudonymiseras. I GDPR skriver man att anonymiserad data är gjord anonym på ett sätt så att den registrerade inte längre kan identifieras. Man tar helt enkelt bort möjligheterna att identifiera en person, och det finns inga kompletterande uppgifter som kan koppla informationen till den registrerade. Anonymisering är svårt. Man tappar helt kopplingen mellan data och individen. Ett område där man kan ha nytta av det är om man ska använda data för statistiska eller forskningsändamål. Som ni kanske märker finns det en tydlig skillnad mellan de två begreppen. Pseudonymisering innebär att en individ fortfarande går att identifiera genom indirekta uppgifter eller kompletterande information. Detta betyder att pseudonymiserade personuppgifter fortfarande omfattas av förordningen. Anonymisering betyder att man inte kan återskapa ursprungsinformationen, och sådana uppgifter omfattas inte av förordningen. Det finns olika tekniker man kan använda för att, främst pseudonymisera, men även anonymisera personuppgifter. Några exempel är: Substitutionsmetod (Directory replacement) betyder att man modifierar data om den registrerade, samtidigt som det fortfarande finns en koppling mellan värdena. Man kan exempelvis använda sig av kundnummer för att identifiera en individ, och lagra information som direkt identifierar en individ, som personnummer, separat. På så sätt pseudonymiserar man de känsliga uppgifterna. För att anonymisera skulle man radera den separata identifierande informationen. Scrambling-tekniker innebär i enkla ord att man blandar om bokstäver, och några exempel på scrambling-tekniker är kryptering och hashing. På 24 Solutions erbjuder vi HSM-tjänster där persondata kan krypteras. Maskering innebär att en del av informationen göms med hjälp av slumpmässiga karaktärer eller annan data. Ett exempel är söksidor som hitta.se, ratsit och eniro där de fyra sista sifforna i födelsedatum ersätts med tecken. Maskering används även mycket inom PCI DSS och behandling av kortdata, där man maskerar delar av kortnumret. di|Vi vill höra mer om just era utmaningar och önskemål li|begränsa sig till uppgifter som endast indirekt pekar ut en individ begränsa sig till uppgifter som är mindre känsliga ersätta namn, till exempel med pseudonymer inte rutinmässigt ha med personnummer som fält i databaser st|Vad innebär då anonymisering och pseudonymisering? Finns det någon skillnad mellan begreppen? Pseudonymisering: Anonymisering: Hur fungerar pseudonymisering och anonymisering i praktiken? Substitutionsmetod Scrambling Masking h1|Pseudonymisering och anonymisering av personuppgifter h2|Kom igång redan idag sp|Meny SV EN Meny SV EN Tillbaka Blogg Kontakta oss Anmäl dig till vårt nyhetsbrev Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa| di|En Privat molnleverans från Complior ger ditt företag en trygg tillvaro för er IT-miljö eller applikation. Vi garanterar att data lagras i Sverige och erbjuder en miljö med en fast månadskostnad som gör att ni enkelt kan förutse er kostnad. Om ditt företag behöver prestanda, säkerhet och skalbarhet är Private Secure Cloud det rätta valet för dig. Compliors privata molntjänst är en dedikerad miljö för ditt företag. Den ger dig hög säkerhet och flexibilitet, samtidigt som du behåller kontrollen. Molntjänsten levereras från våra säkra datacenters i Sverige. Du specificerar dina behov och utmaningar. Vi erbjuder en portfölj av tjänster och produkter för att underlätta och hantera den dagliga verksamheten, så att du får ut det mesta av din IT-investering. Med Private Secure Cloud kan du lita på att din data lagras säkert, och att dina applikationer är skyddade. Du får en dedikerad servermiljö som endast du och behörig personal har tillgång till. Molninfrastrukturen ligger i några av Sveriges säkraste datacenter. Du har full kontroll. Vi erbjuder 24/7/365 support. Våra tekniker står alltid redo med sin expertis för att vara till din hjälp. Vi hjälper dig med allt från arkitekturförslag till effektiv applikationsdrift. Hög tillgänglighet är kritiskt för affärsframgång. Complior kan säkerställa att dina applikationer alltid är tillgängliga. Vi har också de resurser och rutiner som krävs för att snabbt identifiera och lösa eventuella problem om de skulle uppstå. Vi vill höra mer om just era utmaningar och önskemål li|Fast kostnad ger full kontroll på driftskostnad Alltid data i Sverige Snabb väg till marknaden för er applikation Din applikation är alltid tillgänglig Skala ut och in vid behov 24/7 Övervakning och avhjälpning IT-drift upp till önskad nivå h1|PRIVATE SECURE CLOUD h2|Om ditt företag behöver prestanda, säkerhet och skalbarhet är Private Secure Cloud det rätta valet för dig Läs mer Kom igång redan idag sp|Meny SV EN Meny SV EN MOLNPLATTFORM Kontakta oss Anmäl dig till vårt nyhetsbrev bo|Privat moln anpassad efter dina behov Högsta möjliga säkerhet i Sverige Tillgång till våra experter Hög prestanda pa|Good architecture and cost-effective set-up in AWS, is what many companies strive for. Choosing to highlight your environment in the cloud is becoming more common, but it is not entirely straightforward. There are often requirements for industry compliance standards such as PCI DSS and ISO27001 to ensure safe and reliable architecture with 24hr operation, such is the case in AWS. A successful trip to the cloud places high demands on organizations, as it is resource-intensive and cost-driving. It is a challenge for many to understand the full scope but Complior is there to help you throughout the journey from pre-study to full establishment in AWS. AWS is constantly evolving with new services and opportunities. In order to optimize resources and costs, continuous work is needed to manage the environment and for improvement. We want to work closely and offer a transparent dialogue to become your partner and advisor, regardless of whether it is the first step or if you are already set up and want to optimize your environment. di|Whether AWS is new to you or not, we have our experts on hand to support you with all types of questions and requests. Best practice is to always provision infrastructure as a code, a flexible way for you to get started and facilitate compliance with standards such as PCI DSS and ISO 27001. We have a team of certified AWS technicians who monitor and respond 24/7 on incidents. Our team continuously reviews your environment to be continuously cost-effective and optimized. We assure that your environment is safe and complies with set goals and standards such as PCI DSS or ISO27001. For a worry-free existence, we ensure that your daily operation is performed professionally and according to set criteria and goals. We at Complior have many years of experience in secure operations in IT environments that meet industry standards such as PCI DSS. This has established us as experts in these type of more demanding, managed IT operations. You as a customer always have close and direct contact with our technicians and service hosts, so that you have the right conditions to succeed with a safe and cost-effective operation in AWS. We would like to hear more about your challenges and goals h1|Amazon Web Services h2|We are here for you all the way: Advisory Architecture Monitoring Resource and Cost Optimization Security and compliance Daily operation, support and maintenance Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV What is your responsibility in AWS? How to proceed to meet regulatory requirements in AWS? What is important to think about? What requirements are placed on you and what do your customers expect? What does an AWS partner really do? Contact us Sign up for our newsletter pa|Complior can provide a Web Application Firewall (WAF), one of the many security measures we can set up to ensure the security of your organization’s IT environment. A Web Application Firewall can be defined as a firewall for web applications; it is a way to protect network traffic on an application level using advanced traffic inspection. The WAF monitors and analyses web traffic and detect and deter web-based attacks such as SQL injections, cross-site scripting, parameter or URL tampering, session hijacking, and buffer overflows. A WAF allows you to, on a very detailed level, control access and decide what traffic should be blocked. The WAF provides additional protection against threats that an Intrusion Protection System (IPS) cannot prevent. We provide a secure WAF that not only stops attacks that are known to occur in web applications, but also detects and prevents new, unknown types of attacks. By monitoring traffic and the requests made for each incoming and outgoing packet, the WAF essentially creates a foundation of normal activity, and can then watch for any unusual patterns in traffic and defend against unknown attacks. A WAF is self-learning and offers companies flexibility since the settings can be changed over time. Our Web Application Firewall is always combined with our Load Balancer (LB), which is a hardware-based load-balancing service with SSL acceleration. The WAF solution has to support failover and therefore works with load balancers to prevent disruption of service, so that we can always provide the highest availability of your protected applications. Both WAF and Load Balancers are critical for ensuring the security of a PCI environment. The Payment Card Industry Data Security Standard (PCI DSS 3.2) requirement 6.6 suggests “installing an automated technical solution that detects and prevents web-based attacks”. A WAF will help companies meet this PCI requirement. di|We would like to hear more about your challenges and goals st|WANT PROTECTION THAT CAN STOP CYBER ATTACKS BEFORE THEY HAPPEN? WHAT IS A WAF? A WAF STOPS KNOWN ATTACKS AND PREVENTS UNKNOWN WAF SOLUTION ALWAYS IN COMBINATION WITH LOAD BALANCER WEB APPLICATION FIREWALL HELPS YOU FULFIL THE REQUIREMENTS IN PCI DSS h1|WAF h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIANCE CLOUD PLATFORM Contact us Sign up for our newsletter pa|At the moment we do not have any positions available, but feel free to send an email to describe why you want to be a part of our team. di|We would like to hear more about your challenges and goals h1|Join the team h2|Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Back Blog Contact us Sign up for our newsletter pa|Complior Booking helps hotels, OTAs, Channel Managers and other actors in the hospitality and travel industry remove cardholder data from their systems. This simplifies the booking process – putting companies out of scope for PCI DSS and increasing the overall security. Complior Booking is designed to simplify the transfer of sensitive information between actors in the booking chain. Traditionally, booking information, including payment card data has been shared with all actors in the booking chain in a non-secure way. This has put companies at risk for data theft. With Complior Booking, all payment card data is removed from your systems – so that you don’t directly handle any sensitive information. Complior Booking works using tokenization technique, where the card data is replaced with a token. Tokenization is an extremely secure technology, since it moves payment card data out of your systems. Instead, the sensitive data is stored in Complior’s PCI DSS certified platform. With Complior Booking, payment card data is removed from your systems with the use of tokenization – putting your systems out of scope for PCI DSS. Not only does Complior Booking increase security since there is no card data for criminals to steal, the solution also saves you costs on compliance projects. Complior Booking is easy to use and integrate, requiring only a few API requests. It can also be integrated with your booking engine on your website, with a customizable look. In our secure booking portal, you can safely view reservation details and associated payment card information. di|We would like to hear more about your challenges and goals li|An individual makes a booking on a travel website. The travel agency sends the booking information to our booking engine Complior Booking. The booking engine cleans the booking information from credit card data by searching and replacing the card information with a token. This is sent to the Channel Manager or Property Management System. The cleaned booking information is then sent to the hotel. The hotel can also retrieve the card information in case it is needed for payment. st|Simplify your booking system with tokenization! A more secure way to send booking information How Complior booking works Benefits h1|Booking h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV PRODUCTS COMPLIANT CLOUD SERVICES Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Reduce the amount of sensitive data in your systems. Compliant Cloud Services uses tokenization to simplify compliance and improve the way you do business. A Hardware Security Module (HSM) will keep your business critical data secured and protected. We help companies and organizations to backup their data in Office365, which gives the security to always be able to restore your data in the event of accidental deletion or other data loss di|We would like to hear more about your challenges and goals h1|Products h2|Do you want to make it easier to handle payment card data and sensitive information? Complior offers solutions that make compliance and information management easier. Compliant Cloud Services HSM Service BACKUP OFFICE365 Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Learn more Learn more Learn more Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Our products and services help companies with daily operation of IT systems, protect sensitive data and comply with security standards such as PCI DSS, ISO27001 and GDPR. Personal data drives societal development, innovation and the economy. Managing personal data provides a shared responsibility and obligation to ensure security, integrity and confidentiality. Standards such as PCI DSS, GDPR and ISO 27001 are guiding principles for us who respect and protect personal data. Christer has considerable experience in leading companies in a wide range of industries to success. Ronnie has long experience in sales, business development and IT security, Ronnie is also a certified PCIP (Payment Card Industry Professional) Carina assumed the role of CFO in 2014 and has extensive knowledge and experience of Finance. Johan has worked in the IT industry since 1994 and holds a Ph Lic in Data Science. (Licentiate Exam) Jonas ensures that Complior and our customers meet the requirements in security standards such as PCI DSS and GDPR. The PCI-DSS (Payment Card Industry Data Security Standard) is an information security standard for organizations that handle cardholder information and data. Complior has been certified as a Level 1 Service Provider (the top level) by the Security Standards Council.​ ISO 9001 sets out the criteria for a quality management system based on a number of quality management principles including a strong customer focus, the motivation and implication of top management, the process approach, and continual improvement.​ ISO 14001 sets out the criteria for an environmental management system that maps out a framework for a company or organization to follow so that environmental impact is being measured and improved.​ ISO 27001 specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. It also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization.​ Close collaborations with innovative IT and security companies allow us to provide our customers with cutting edge solutions. +46 8 535 24 100 +46 8 535 24 199 556608-2268 Check out the latest news and blog posts Boost your knowledge with our guides and resources Learn about how we have helped other companies di|is to help companies and organizations to continue to be socially developing, innovative and leaders in their field of activity without compromising on security. We strive to be your advisory security partner and provide the support you need to succeed in your business strategy. We are a team of data protection and cloud experts, who are determined to do everything it takes to make your business grow. Do you want to be a part of We would like to hear more about your challenges and goals st|GENERAL QUESTIONS: info@complior.se SWITCHBOARD: FAX: ORG. NO.: h1|Complior h2|Complior is a cloud service provider and experts in IT operations, IT security, high availability and regulatory compliance. MANAGEMENT​ OUR COMPLIANCE PCI DSS 3.2.1 ISO 9001​ ISO 14001 ISO 27001 Partners and suppliers Get more info Get started today h3|Christer Nilsson Ronnie Johansson Carina Lönn Johan Kummeneje Jonas Gharanfoli Send us a message Blog Knowledge center success stories h4|CEO Sales and Marketing Manager Finance Manager CTO Compliance Manager Contact sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV OUR POLICY PRIVACY POLICY COOKIE POLICY our team? Learn more Previous Next Read More Read More Read More Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy bo|Our mission pa|Once a company has obtained a PCI DSS certification, work begins to remain certified. By working closely with an approved ASV (Approved Scanning Vendor), Complior can help companies with quarterly vulnerability scans to meet the requirements of PCI DSS. PCI ASV scans are a requirement for companies who need to be compliant with requirement 11 of PCI DSS. The requirement obliges entities to, among other things, scan the external perimeter of the Cardholder Data Environment (CDE) on a quarterly basis and also perform both internal and external scans after any significant change. Complior can offer ASV scans provided by an Approved Scanning Vendor, approved by the PCI SCC (Payment Card Industry Security Standards Council). The experienced PCI QSA Security Specialists can scan your IT environment on a regular to help you reach and maintain your PCI DSS certification. The client is provided with an account on the ASV platform where they manage their scans on a quarterly basis and where they assess any eventual vulnerabilities that arise on their own. The client gives Complior their IPs and our experienced security consultants conduct the scan on a quarterly basis and deliver a report for the client’s records. With Complior managing the process, you as the client doesn’t need to hire security experts or vulnerability assessors, since we do it all for you. di|We would like to hear more about your challenges and goals li|Performing external vulnerability scans in accordance with PCI DSS requirement 11.2. Maintaining security and integrity of systems and tools that are used to perform scans Making reasonable effort to ensure scans: Do not impact the normal operation of the customer environment Do not penetrate or intentionally alter the custom environment Scanning all IP ranges and domains provided by customer to identify active IP addresses and services Consulting with the customer to determine if IP addresses found, but not provided by the customer, should be included Providing a determination as to whether the customer’s components have met the scanning requirement Providing adequate documentation within the scan report to demonstrate the compliance or non-compliance of the customer’s components with the scanning requirements Submitting the ASV Scan Report Attestation of Scan Compliance in accordance with the acquirer of payment brand instructions Retaining scan reports and related work products for two years Providing the customer with a means for disputing findings in the scan report Maintaining an internal quality assurance process for ASV st|Do you need help with Quarterly Vulnerability Scans (ASV) to follow PCI DSS? QUARTERLY ASV SCANNING A PCI DSS REQUIREMENT WE OFFER TWO DIFFERENT APPROACHES TO ASV SCAN AS A SERVICE: SCAN IT YOURSELF (SIY) WE SCAN IT FOR YOU (WSIFY) THE RESPONSIBILITIES OF A PCI APPROVED SCANNING VENDOR h1|Vulnerability Scan (ASV) h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV SECURITY SERVICES PCI QSA Contact us Sign up for our newsletter pa|Check out our latest news and blog posts Boost your knowledge with our guides and resources Learn about how we have helped other companies di|We would like to hear more about your challenges and goals h1|Resources The latest news and tips from Complior! Boost your knowledge on compliance and cyber security. h2|Blog Knowledge center success stories Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Read More Read More Read More Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa| di|We would like to hear more about your challenges and goals h2|Get started today h3|Sign up h4|Subscribe to our Newsletter sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Complior must have a strong focus on compliance and information security in order to be perceived as the most secure IT service provider in the Nordic region. We have a Management System in place to ensure that we conduct our business and it’s operations in a controlled manner with regards to Quality, Information Security and Environment, and in accordance with applicable best practices and defined standards as well as legal requirements. Effective security, as well as continuous improvement, is a team effort involving the participation and support of all personnel using the processes and whom they affect. It is the responsibility of every employee to know these guidelines, and to conduct their activities accordingly. To be able to continuously improve it is imperative that the business and its processes and procedures are constantly evaluated with regards to Quality, Information Security and Environment. It is vital that the management team leads by example in terms of adhering to the policies and providing input to the management system in order to convince all staff to contribute in a similar manner. The management system must be an integral part of the business’s day-to-day operation. The management system is presented to all employees to acquaint them with the company’s policies at the start of their employment and all included policies and procedures are considered mandatory and applicable to the entire staff during the full term of the employment. All employees must annually reconfirm that they have read and understood the policies. All employees are expected to contribute to the continuous development of the management system by suggesting improvements, reporting deviations and participating in announced events. Our quality objectives should be communicated and be made available, to all interested parties. Our security objectives should be communicated, and be made available, to all interested parties. Our environmental objectives should be communicated, and be made available, to all interested parties. di|We would like to hear more about your challenges and goals li|We aim to provide services with the highest possible availability. We aim to provide our services with a quality that exceeds our customers’ expectations. We believe that good customer relations and high customer satisfaction are crucial to the continued success of our business because our customers are our most important partners. We shall continuously evaluate and improve the quality of our services and be receptive to feedback from our customers. IT Security is fundamental to our business and is a key factor for us to be successful in our focus markets. Our ability to have a unique offering is contingent on us being perceived as security experts who deliver secure, compliant services. Internal communication and knowledge sharing is an important factor in ensuring that our staff has a high level of awareness. We conduct regular follow-ups to ascertain the minimum required security level of our office IT devices. Supplier assessment, including environmental aspects, is mandatory prior to any type of collaboration. Deviation from supplier assessment with regards to environmental aspects is only permissible following a formally documented management team decision. All IT hardware suppliers should adhere to environmental standards, such as, but not limited to: Energy Star, Epeat Recycling shall be prioritized and facilitated in all possible ways. We should use our environmental policy as part of our marketing. We shall, to the extent possible, influence customers, partners, suppliers and competitors to prioritize environmental issues. We shall continuously evaluate and work to improve our environmental work and reduce our environmental footprint. h1|OUR POLICY h2|Learn more Get started today h3|We live as we teach h4|Quality objectives Security objectives Environmental objectives sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIOR ABOUT US Contact us Sign up for our newsletter pa|An important part of business success is operational dependability and security. Complior can offer the highest-grade security and availability possible today through our top quality infrastructure. Our platform is PCI DSS certified and our infrastructure is located in the safest data centers in Sweden, with a security level beyond regulatory frameworks. We can provide dynamic, cloud based solutions managed from our state-of-the-art data centers. Our two data centers are built with reliable hardware, fully redundant architecture, and PCI DSS compliant security measures. The data centers are connected using high-capacity communication and provide each client with an ideal environment that offers the highest level of availability. Complior has two fully redundant data centers in Stockholm, Sweden that were built to act as network backups for one another. The two data centers are disaster protected, and physically separated. One of our data centers is located in Kaknästornet where security systems, shell protection and access controls have been developed and implemented for maximum security. The tower has a CCTV system, 24/7/365 surveillance and only authorised staff have access. Backing up of important data is a way to protect your company from loss of data if disaster strikes. Some companies are even required by law and regulatory authorities, such as PCI SSC, to do regular backups to achieve and maintain compliance. At Complior, all data is stored in some of the safest data centers in Sweden, which means that we can also provide the highest possible protection of your backup data. The data resides in a PCI DSS-certified infrastructure that is audited yearly. di|We would like to hear more about your challenges and goals st|DATA CENTER WITH TOP QUALITY INFRASTRUCTURE HIGH SECURITY AND COMPLETE REDUNDANCY YOU ARE PROTECTED EVEN IF DISASTER STRIKES h1|Data Center h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIANCE CLOUD PLATFORM Contact us Sign up for our newsletter pa|The payment landscape is a complex one. Your company is usually part of an elaborate chain of actors like PSPs and acquirers, banks and credit card distributors – all wanting their piece of the cake! Complior can offer Complior Payment Hub, a flexible tool that lets you regain control over payments. Complior Payment hub is a payment tool that allows you to process payments from different payment channels, such as in store and online. The solution also lets you control which acquirer should be used for what payments. Switching acquirer is usually something that takes a lot of work, and the process of migrating to a new acquirer can be a pain. Complior Payment Hub allows your company to craft payment flows and freely connect and switch between acquirers via a single point of integration. You can even switch on a transaction-to-transaction basis and in real time. This allows you to benchmark different acquirers on things like transaction fee, market restrictions and downtime – so you can make the best choice for your business and your customers. – The ability to choose an acquirer on the fly not only saves you money on transaction fees, but it also gives you the possibility to grow your business to serve more markets. – Complior Payment Hub saves costs for your company in several areas. The integration is easy using API requests; you avoid hardware investment, and only pay for the number of PANs stored. The solution is also scalable and can grow as you go! In the Complior Payment Hub Portal, you get a comprehensive and detailed overview of your payments and transactions. – Complior Payment Hub is built using tokenization technology, which lets you process payments without managing cardholder data. Your systems never store the Cardholder Data, only a token – making PCI DSS compliance a lot easier. di|We would like to hear more about your challenges and goals st|Are you looking for a solution that makes payments more flexible? Process payments in a better way Choose any acquirer on the fly Serve more customers Save time and cut costs Portal where you can track payments and statistics – Payment card data? no problem! h1|Payment Hub h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV PRODUCTS COMPLIANT CLOUD SERVICES Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Companies around the world need an IT infrastructure to work. However, having a basic ‘off the shelf’ infrastructure is often not enough to meet the specific needs, challenges and requirements of companies. Complior offers customized cloud services tailored to your specific needs. Our cloud solutions provide the greatest in high availability and capacity, high security, flexibility and scalability. Complior’s bespoke cloud services have helped companies in many different industries overcome the challenges in their industry Place your hardware in some of the most secure data centers in Sweden. Hybrid IT gives you the best of the public cloud and private cloud. At Complior, we can adjust your capacity to your needs of the day and easily scale our infrastructure services to tailor our solutions specifically for you. We will ensure that our secure cloud services meet your requirements, both during periods of low utilization and periods of unexpected traffic spikes,so that your IT environment always delivers. di|We would like to hear more about your challenges and goals h1|CUSTOM CLOUD h2|Tailor made cloud hosting to fit your needs What are the challenges for your business? Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIANCE CLOUD PLATFORM Contact us Sign up for our newsletter bo|CO-Location: Hybrid IT: Scalability: pa|Handling credit card data can expose your company to a lot of risks. Not only do you become a target for hackers, but you are also target for regulatory bodies that have to make sure that you comply with security standards like PCI DSS. With Complior’s Tokenization Service, you remove sensitive data from your systems completely – simplifying compliance and improving security for you and your customers. Tokenization is a security technology for the handling and processing of sensitive data. With the technology, sensitive information is moved out of your systems and replaced with a unique randomly generated identifier called a token. The token allows processing without exposing the actual information. This means that sensitive information like cardholder data and personal data is not stored in your systems, making compliance with PCI DSS easier. Complior Tokenization is a solution for storage of credit card data. The solution protects card data so that you can comply with security standards like PCI DSS. Sensitive cardholder information, such as credit card number, expiration date, and name, are removed from your systems and replaced with an indecipherable token. The service works with the help of API requests, which enables companies to send, as well as retrieve data. – Cardholder data never reside in your systems. Data is stored in our PCI DSS certified infrastructure in the most secure data centers in Sweden. We live by the policy of least privilege, so you always know who has access to what data. – No hardware costs! We manage your data as a service – you only pay for the number of PANs stored. – Removing card data from your systems mitigates the risk of data theft. Criminals can’t steal something that isn’t there! – Complior Tokenization uses virtual servers on dedicated hardware. Easy technical integration with the use of API requests, i.e. web service, and your current system will see a minimal effect. No impact on the functionality of your application. For more info . di|We would like to hear more about your challenges and goals st|Do you want to simplify PCI DSS compliance? Don’t be a target What is tokenization? Protect card data and simplify PCI DSS scope Secure storage Cost efficient Mitigate risk Business as usual h1|Tokenization h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV PRODUCTS COMPLIANT CLOUD SERVICES Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|We use cookies on our webpages to gather statistics and to customize the user experience. By using our webpages, you consent to the use of cookies in accordance with the terms of this policy. Cookies are files sent by web servers to web browsers, and stored by the web browsers. The information is then sent back to the server each time the browser requests a page from the server. This enables a web server to identify and track web browsers. There are two main kinds of cookies: session cookies and persistent cookies. Session cookies are deleted from your computer when you close your browser, whereas persistent cookies remain stored on your computer until deleted, or until they reach their expiry date. Google Analytics generates statistical and other information about webpage usage by means of cookies, which are stored on users’ computers. The information generated relating to our webpages are used to create reports about the usage. Google will store and use this information. Google’s privacy policy is available at: http://www.google.com/privacypolicy.html. All users should contact us with any concerns about privacy. The primary contact for privacy issues is our . You can reach him at . If you are not a subscribing customer please contact us as specified below or our directly. +46 8 535 24 100 www.complior.com di|We would like to hear more about your challenges and goals st|Compliance Manager Jonas Gharanfoli Compliance Manager Complior h1|COOKIE POLICY h2|Learn more Get started today h4|Contact information h5|We use Google Analytics to analyze the use of our webpages. sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIOR ABOUT US Contact us Sign up for our newsletter em|For general questions or inquiries feel free to contact our branch offices as specified below: pa|Running applications through virtual secure servers over the cloud is an effective solution to minimizing IT costs and can be a highly secure platform. Complior’s private cloud solutions are built with virtual servers on dedicated hardware. You profit from a larger base of resources with our state-of-the-art infrastructure, and at the same time can benefit from our proactive IT management. Our cloud services provide you with increased availability and security, as well as full control over your data. This facilitates compliance with security standards like PCI DSS and GDPR. Complior has a top-notch infrastructure through which we can offer optimized secure servers. We can provide virtual server entities with a set capacity of vCPU and vRAM to meet your cloud-based needs, and can also deliver physical servers if required by your application and/or database licensing. We offer both servers that we can manage and be responsible for your IT, and unmanaged servers where clients handle the operation themselves. di|We would like to hear more about your challenges and goals st|WANT A SECURE RELIABLE SERVER FOR BUSINESS-CRITICAL APPLICATIONS? SECURE SERVER FOR INCREASED FOR INCREASED AVAILABILITY AND SECURITY OPTION MANAGED OR UNMANAGED SERVERS h1|Secure Server h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIANCE CLOUD PLATFORM Contact us Sign up for our newsletter pa|PCI DSS (Payment Card Industry Data Security Standard) was established by VISA, MasterCard, American Express, Discovery and JCB to reduce fraud and protect payment card data. In order to get a PCI certification, companies have to go through a PCI DSS audit. Complior offer QSA services where an experienced and certified PCI QSAs can assess the security of your environment for PCI DSS compliance. Our PCI DSS audit services are delivered through a close collaboration with a partner. A PCI QSA, certified by the PCI SSC, performs the audit. The QSA will evaluate your company’s compliance with the 12 requirements in PCI DSS 3.2.1. when conducting audits on companies who want to become PCI DSS certified. When your company passes the audit, the QSA will deliver a Report of Compliance (ROC) and Attestation of Compliance (AOC). The PCI ROC and AOC verify the customer’s PCI DSS compliance. PCI security standards are constantly evolving, but our QSA security specialists have extensive knowledge in the field, and can audit your IT environments according to the latest requirements. di|We would like to hear more about your challenges and goals li|Fix gaps Fix vulnerabilities Final audit st|DO YOU NEED A QSA TO HELP YOUR COMPANY BECOME PCI DSS CERTIFIED? OR IS IT TIME TO EVALUATE COMPLIANCE WITH A PCI DSS AUDIT? WHAT DOES THE PCI DSS COMPLIANCE PROCESS LOOK LIKE? WHAT HAPPENS AFTER THE PCI DSS AUDIT? h1|PCI DSS Audit h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV SECURITY SERVICES PCI QSA Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa| di|Blog Blog Blog Blog Blog News Blog Blog Blog Blog Blog Blog We would like to hear more about your challenges and goals h1|Blog h2|Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Back « Previous Page 1 Page Page Page Page Page Contact us Sign up for our newsletter Complior uses cookies to gather statistics and to customize the user experience. By using our webpages you consent to the use of cookies in accordance with our policy pa|Complior is committed to protecting your privacy. This policy is for those who visit our website, are registered at Complior as a contact person, or have been in contact with one of our salesmen. The Privacy Policy explains how Complior collects and uses your personal data. It also describes your rights towards us and how you can exercise them. You can always contact us if you have any questions regarding privacy and data protection by sending an email to us at Personal data is any information which directly or indirectly can be linked to your person. It may be obvious details such as your name or your social security number, but also details such as email address or phone number. Even pictures are a form of personal data, if you are clearly distinguishable in the picture. Processing means everything that we at Complior do with your personal data. For example, when we collect, sort, or store personal data. At Complior, your personal data may be collected and registered when you for example, call us, e-mail us, order information material, leave a comment or question on our web chat, fill out a contact form, or when your company is one of our customers and our companies exchange contact information. If you contact us via a contact form or email we may send relevant marketing information to you. Please don’t send us sensitive personal data to us for example via e-mail and social media. Examples of sensitive personal data include, but are not limited to: ethnic origin, religious and political views, health status, personal identification number or union affiliations. Complior is a data controller for the processing of your personal data as we determine the means and purposes of the processing. We also use data processors, external suppliers, who help us with the processing. For Complior to be able to offer its services and to fulfil its commitments, we need to manage information about you. Throughout the processing of personal data, we safeguard your privacy. Below, we describe the purposes of processing your personal data, the legal grounds justifying the processing according to current data protection laws and regulations and how long we store personal data. Complior does not use personal data for profiling or automated decision-making. Automated decision-making means that we will use your personal data to make a decision without any human influence on the decision. We will only keep the personal data if there is a purpose to retain the information. We are also required to retain personal information for a certain time according to requirements from various statutes such as Swedish accounting legislation. Your personal data is only available to people who need them to perform their duties. We may also communicate information about you to our suppliers who help us with IT operations and support. Complior may also disclose necessary information to the police, the tax authorities or other public authorities if we are required to do so by law. Complior always strives to process your personal data within the EU/European Economic Area (EEA). However, in certain situations, the data can be transferred to, and processed in, countries outside of the EEA, since some of our suppliers or subcontractors are international organizations. Complior will take all reasonable legal, technical and organizational measures to ensure that your personal data is processed safely and with an adequate level of protection, both within and outside the EEA. If you want to know if or where your personal data is transferred outside the EEA, you can contact our Compliance Manager at . You have certain rights as an individual which Complior is required to adhere to under certain circumstances. According to the General Data Protection Regulation (GDPR), you can claim the rights which are described below. To do this, contact . To claim your rights, you must be able to identify yourself by answering some questions from our staff. According to the General Data Protection Regulation, you always have the right to receive information about your personal data which Complior is processing. If you send a request to . Complior will send a transcript to you, containing the personal data that we process and a text that describes how we process it. It will normally take a maximum of one month to receive such a transcript. If you believe that any personal data about you is inaccurate or misleading, you can request it to be corrected or used in a more limited way in some cases. If this applies to you, please contact . and explain what information you believe to be inaccurate and why. You have the right to request deletion of your personal data stored by Complior if at least one of the following conditions is met: You do not have the right to have your personal data deleted in case Complior: Need to process the personal data for the performance of a task in the context of a contractual relationship with you, for archiving purposes, to exercise the right to freedom of expression and information, for compliance with a legal obligation or to defend legal claims. You sometimes have a right to have a copy of your personal data in a common, structured and machine-readable format, and in addition, to have your personal data transferred to another organization (if technically possible). This right is only applicable if the processing is based on consent or contractual obligation and is performed by automated means (e.g. with computers). Please contact our Compliance Manager if you would like to learn more . You have the right to object to Compliors processing of your personal data. You may at any time object to direct marketing and Complior will then cease with the marketing. You also have a right to submit complaints to your local data protection supervisory authority. di|We would like to hear more about your challenges and goals td|Identification and handling of prospects and customers for contact with our sales representatives. Name, work e-mail, phone number (work), job title, salesman’s notes. Legitimate interest. Consent. Completion of obligations in an agreement. For as long as we have a customer relationship with you and you do not object to the processing. The customer relationship terminates one year after the fulfilment of the obligations in the contract. We keep information about prospects for as long as we believe there is a solid interest in our products and services, which lasts no more than two years. Send newsletters and information to our customers and marketing information to contacts and prospects. If the person reads the marketing information or newsletters we can also see if the person in question clicks through to our website. Name and work email Legitimate interest. (soft Opt-in) Consent (Opt-in) For as long as we have a customer relationship with you and you do not object or unsubscribe (Opt-out). The customer relationship terminates one year after the fulfillments of the obligations in the contract. For those who have provided us with consent, deletion occurs in the event of termination of the subscription (Opt-out). To answer questions from website visitors via our web chat, we process personal data in order to find potential prospects. If website visitors chat with us we can see the pages the person in question has visited on our website. IP address, submittede mail address and name, country and town/city. Legitimate interest. Data is stored for a maximum of 6months unless the person in question has been registered as a prospect (see above). Managing and contacting our customers’ contact persons.This includes, for example: case management, administration of visits, contract signing, email contact, meeting notes, meeting bookings, operational documentation. Name, job title, email, (work), phone number (work), personal identification number (for secure identification of data center visitors). Completion of obligations in an agreement Legitimate interest This information is stored as long as there is a service agreement between Complior and the customer. Personal identification number will be deleted when the case is completed. Customer invoicing for fulfilment of obligations in service contracts and completion of other services and products such as consultation and sales of templates. Name, telephone number, email, organization number. Completion of obligations in an agreement. Legal obligation. We save the data as long as it is required by Swedish accounting legislation (7 years). After that, it takes a maximum of one year before the data has been deleted. Managing job applications Standard information in CV, for example name, personal identification number, picture, telephone, email, address, experience, previous occupations. Legitimate interest consent Personal data gathered during recruitment will be stored while the recruitment process is ongoing. If we see potential in the candidate, we can keep the data beyond this. We only do this if we get your consent, and then we keep the data for a maximum of three years. th|What we do Personal data that is used Legal basis Retention period li|the data is no longer needed for the purpose for which it was collected the processing is based on consent and you withdraw your consent the processing concerns direct marketing, and you object to the processing you object to personal data processing justified by the legal basis – legitimate interest, and there is no legitimate interest that outweighs your interest personal data has been processed illegally deletion is required to comply with a legal obligation st|Processing of personal data What is personal data? What does processing of personal data mean? How do we collect your personal data? Who is responsible for the personal data? Why do we process your personal data? How long do we keep your personal data? Who can see your personal data? Where do we process your personal data? Your rights under the data protection regulation The right of access The right to rectification and restriction The right to erasure (“right to be forgotten”) The right to data portability The right to object h1|PRIVACY POLICY h2|Learn more Get started today sp|Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy. EN SV COMPLIOR ABOUT US Contact us Sign up for our newsletter