It-säkerhetspolicy

Allmänt för hur information och data hanteras

Denna it-säkerhetspolicy gäller för Zmarta Group (”Zmarta”) och de företag som ingår i gruppen.
Policyn anger Zmartas grundläggande synsätt och viljeinriktning samt övergripande mål för informationssäkerhetsarbetet.

Definitioner

Informationssäkerhet handlar om att ge Zmartas informationstillgångar rätt skydd över tid och omfattar säkerhetsaspekterna:

  • Tillgänglighet – att information är tillgänglig i förväntad utsträckning och inom önskad tid.
  • Riktighet – att information skyddas mot oönskad och obehörig förändring eller förstörelse.
  • Sekretess – att data eller annan information inte tillgängliggörs eller delges obehöriga.
  • Konfidentialitet – att information är i enlighet med gällande med dataskydds lagstiftning och föreskrifter samt interna riktlinjer samt inte tillgängliggörs eller delges obehöriga.
  • Spårbarhet – att vi kan spåra viktiga förändringar i systemen samt att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när).

Bakgrund

God informationssäkerhet är mycket viktigt för att skydda Zmartas verksamhet mot interna och externa it-relaterade hot. Informationssäkerhetsarbetet syftar även till att skydda anställda och de konsumenter vi bistår i egenskap av förmedlare av bostadskrediter, konsumtionskrediter och försäkringar samt våra leverantörer och andra samarbetspartners.

Informationssäkerhetsarbetet ska hantera informationsrisker på ett strukturerat och konsistent sätt. Arbetet är inte statiskt utan behöver ständigt utvecklas och förbättras i takt med vår verksamhet och vår omvärld.

Vår utgångspunkt i informationssäkerhetsarbetet är verksamhetens och intressenters behov av säkerhetsskydd för oönskade händelser och incidenter.

Riktlinjer

Inriktning

Det är av avgörande betydelse att informationen och den underliggande infrastrukturen är skyddad från identifierbara hot såsom manipulation, förstörelse, korruption, icke tillåtna aktiviteter, genomförande av bedrägliga transaktioner, rena misstag oavsett dessa är oavsiktliga eller avsiktliga samt brytande av sekretess mellan Zmarta Group och dess kunder eller partners.

De säkerhetsåtgärder som finns beskrivna i denna policy utgör riktlinjer för hur informationen och informationssystemen (såväl interna som externa) ska användas på ett säkert sätt. Informationssäkerhetspolicyns syfte är att försäkra sig om att all hantering av Zmartas informationstillgångar är i överensstämmelse med relevanta lagar, föreskrifter och allmänna råd samt Zmartas interna riktlinjer, policys och rutiner.

Zmartas informationssäkerhetsarbetet kännetecknas av:

  • Att kunskap finns om hur informationssäkerheten säkerställs.
  • Att krishanteringsförmågan fortlöpande analyseras och upprätthålls.
  • Att informationstillgångar klassificeras efter den modell som finns.
  • Att hotbilden mot informationstillgångar fortlöpande analyseras.
  • Att händelser som kan leda till negativa konsekvenser förebyggs.
  • Att arbete med informationssäkerhet är en naturlig del i verksamheten.

Viktiga principer

Följande principer gäller för informationssäkerheten inom Zmarta Group:

Investering i säkerhetsåtgärder ska genomföras på grund av de krav som affärsverksamheten ställer, genomförda riskbedömningar samt effektivitetskrav.

Implementering av informationssäkerheten ska vara genomförbar och praktisk och det ska finnas en balans mellan skyddsnivå och effektivitet.

Informationssäkerhet utgör en fortlöpande process som ska vara integrerad i affärsverksamheten.

Medarbetare, konsulter, affärspartners och leverantörer ska förstå och vara medvetna om Zmarta Groups inställning till hur viktig informationssäkerheten är för Zmarta Group.

En struktur för informationssäkerheten är utformad. Den effektiviserar och säkerställer regelefterlevnad med olika informationssäkerhetskrav som utformats på Zmarta.

Säker identifiering och autentisering ska användas för tillgång till samtliga system. Inga obehöriga ska få tillgång till Zmartas informationstillgångar. Informationssäkerheten ska säkerställa att endast behöriga har tillgång till den information som de behöver för att utföra sina arbetsuppgifter.

Övervakning ska etableras så att incidenter kan upptäckas, rapporteras och relevanta åtgärder kan vidtas för att eliminera eller reducera risken för att dessa kan inträffa i framtiden.

Säkerhetsorganisation

Inom Zmarta har informationssäkerhetsarbetet indelats i säkerhetsområden. Dessa omfattar, fysisk säkerhet, administrativ säkerhet, datasäkerhet/it-säkerhet, personsäkerhet samt kommunikationssäkerhet.

För varje säkerhetsområde finns alltid en utsedd ansvarig. Informationssäkerhetsansvarig är övergripande ansvarig för den strategiska säkerheten inom samtliga dessa områden. Informationssäkerhetsarbetet leds av CTO.

Klassificering

Klassificering av Zmartas informationssystem ska genomföras med hänsyn till vår definition av informationssäkerhet, det vill säga krav på sekretess, riktighet, tillgänglighet och spårbarhet. Klassificering är ett formellt sätt att fastställa lämplig skyddsnivå för ett it-system. Informationen är i fokus för klassificeringen.

Gallring och rensning

När det gäller Zmartas rutiner för gallring av personuppgifter och rensning av annan information framgår detta av Zmarta Groups registerförteckningar och styrdokument för gallring.

Användning

Personuppgifter ska bevaras och hanteras på det sätt som EU:s dataskyddsförordning (GDPR) och den svenska dataskyddslagen samt andra relaterade lagar och föreskrifter. Vid osäkerhet kring innebörden av detta kan frågor riktas till den övergripande informationssäkerhetsansvarige eller DPO.

Systemutveckling

Informationssäkerheten ska bedömas under utveckling, implementering och förändringsfaser under en mjukvaras livstid. Zmartas systemutvecklingsprocess skall vara dokumenterad och processerna för ändringshantering och test skall styras.

Privacy by Design och Privacy by Default enligt EU:s dataskyddsförordning

I Zmarta Groups systemutveckling ska både personlig integritet och informationssäkerhet vara ledstjärnor.
Vi ska därför arbeta med inbyggt integritetsskydd (Privacy by Design), som är en term som används för att beskriva system och lösningar där skyddet för privatlivet och är en integrerad del som tagits med som ett grundkrav från början vid utvecklingen av systemet eller lösningen, och som löper som en röd tråd genom systemets hela livscykel. Ett exempel är införande av informationssäkerhetsåtgärder redan på planeringsstadiet som syftar till att förhindra att känsliga uppgifter röjs till obehöriga.

Bestämmelsen om Privacy by Design kompletteras av regeln om Privacy by Default, vilket innebär att vi genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.

Data Protection Impact Assessments – konsekvensbedömningar

Vi genomför konsekvensbedömningar, enligt dataskyddsförordningen, genom att granska och revidera policyer och vägledningar för exempelvis riskhantering och förändringsarbete (it-upphandlingar, outsourcingar, tjänsteutveckling) och se till att de innehåller krav på inbyggt dataskydd och dataskydd som standard.

Virusskydd och brandväggar

Samtliga system ska skyddas genom viruskontroll och brandväggar. Dessa ska uppdateras så fort en programvaruuppdatering blir tillgänglig för användarna.

Åtkomst till nätverk

Access till nätverk från hemarbetsplatser ska endast tillåtas när användaren har autentiserats genom accesskontroller och verifieringsprocedurer på det sätt som Zmarta Group har kommunicerat, ex. via VPN.

All känslig och internt eller externt kommunicerad datakommunikation ska skyddas genom kryptering eller annat adekvat säkerhetssystem.

Egna hemsidor och krypterad överföring av information

Extra säkerhetshänsyn ska iakttas beträffande hemsidor genom vilka personuppgifter insamlas.

Datasäkerhetsansvarig ska löpande kontrollera att säkerhetsnivån är tillfredställande.

Zmarta Group vill att användare ska känna sig trygga när de lämnar sina personuppgifter till oss. För att skydda personuppgifterna använder vi oss av https (d.v.s. SSL-kryptering) vid besök på våra webbsidor. Detta gör att all information (t.ex. personuppgifter) alltid är krypterad vid överföring till oss. Vi använder oss även av ”Symantec Norton Secured – Powered by VeriSign SSL-certifikat” med Extended Validation vilket aktiverar det gröna adressfältet för att visa att vi är kontrollerade och godkända av VeriSign (d.v.s. Symantec).

Användarsäkerhet

Lösenord och användar-id ska hanteras på ett säkert sätt samt att inloggningar skall vara behörighetsstyrda. Zmarta ska säkerställa att dess anställda har god kännedom om Zmarta Groups behandling av personuppgifter och dess informationssäkerhet.

Rapportering av personuppgifts- och informationssäkerhetsincidenter

Personuppgiftsincidenter kan handla om brand, obehöriga intrång med mera. Detta innebär att det krävs organisation för incidenthantering. Det är viktigt att ha väl utvecklade rutiner för att omedelbart kunna meddela om incidenter som berör personuppgifter. Anmälan av incident görs till tillsynsmyndigheten, d.v.s. Datainspektionen i Sverige, inom 72 timmar.

En process med rutinbeskrivning för incidenthantering ska finnas på Zmarta. Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras i avsett system. Uppföljning av valda eller genomförda skyddsåtgärder ska ske kontinuerligt.

Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska Zmarta även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder.

Arkivering och lagring

Varje system har olika data som har olika krav på sig om lagring och långtidsarkivering. En särskild rutin för arkivering skall finnas i Zmarta Group för att beställa arkivering av data.

Upphandling

Zmarta Groups instruktion för upphandling och avtalshantering (process vid ingående av avtal) skall säkerställa att regler i denna policy följs och inkorporeras.

Fysisk säkerhet

Alla informationstillgångar ska registreras. Kritiska informationssystem ska förvaras i särskilda fysiskt avgränsade rum. Säkerheten ska vara en integrerad del av Zmartas verksamhet och stödja verksamheten så att de kan uppnå uppsatta mål för kvalitet och effektivitet. Servrar och lagringsmedia som innehåller känslig eller konfidentiell information ska förses med extra skydd.

Zmartas samtliga lokaler ska vara försedda med lämpliga larmanläggningar. Brandvarnare och utrymningsplaner samt skyltar för nödutgångar och utrymningsvägar ska finnas placerade i Zmartas samtliga lokaler.

Riskanalyser

Riskanalyser ska genomföras årligen inom de affärskritiska processerna. Dessa ska genomföras med den metod och med de mallar som har framtagits för detta ändamål. Den riskklassningen som vi använder bedöms med värdena låg, medel eller hög.

Referenser och länkar

Zmarta är inte ansvarig för något innehåll länkat eller refererat till från dessa sidor. Om skador uppstår genom användande av den presenterade informationen, fråntas Zmarta allt ansvar.

Vidare är Zmarta inte ansvarig för kommentarer eller meddelanden publicerade av användare av Zmartas hemsidor.

Ansvar

Policyn fastställs av Zmarta ledning. Informationssäkerhetsansvarig ansvarar för att policyn och tillhörande dokument uppdateras och sedan kommuniceras till samtliga medarbetare.

Informationssäkerhetsansvarig övervakar även policyns efterlevnad och att samtliga medarbetare får lämplig utbildning så att en ökad medvetenhet om uppnås.

Datainspektionen

Datainspektionen är tillsynsmyndighet vad gäller dataskydd och behandling av personuppgifter. Du kan läsa om dataskydd och gällande lagstiftning samt få annan information på Datainspektionens webbplats www.datainspektionen.se. Du har enligt dataskyddslagstiftningen rätt att inge klagomål på en behandling av dina personuppgifter till Datainspektionen. Datainspektionen har följande kontaktuppgifter; telefon 08-657 61 00,
e-post datainspektionen@datainspektionen.se och post Box 8114, 104 20 Stockholm.

Kontakt

Du når Freedom Finance via telefon 0431-47 47 00, e-post info@freedomfinance.se eller post till Box 1068, 262 21 Ängelholm.

Du når Zmarta Försäkring via telefon 0431-47 48 49, e-post forsakring@zmarta.se eller post till Box 1068, 262 21 Ängelholm.

Om du har frågor om vår it-säkerhetspolicy eller vår behandling av personuppgifter i övrigt är du välkommen att kontakta vårt dataskyddsombud på dpo@zmartagroup.com eller 0431-47 47 06.

Denna it-säkerhetspolicy gäller fr.o.m. 2018-04-01 och tills vidare.

Ladda ner