GDPR 25 maj 2022
IT-sikkerhed er fundamentet for en compliant kundeoptælling
Indivds patenterede kundetæller baseret på Data Protection by Design handler ikke udelukkende om vores patenterede anonymiseringsmetode.
Det handler også om, hvordan vi sikrer vores systemers integritet, tilgængelig, udholdenhed og hemmeligholdelse. Og i lige så høj grad hvordan vi krypterer følsom information, gennemfører backups og kontinuerligt tester vores infrastruktur.
For at leve op til et højt niveau, har vi fra begyndelsen arbejdet ud fra en enerkendt ISO-standard.
I denne artikel kommer vi overordnet til at forklare om vores arbejde, og hvordan vi kontinuerligt evaluerer og forbedrer sikkerheden og trygheden i vores kundetællere samt hvordan vi sikrer vores kunders, og i sidste ende forbrugerens, rettigheder.
Anonymisering
Vores patenterede anonymiseringsmetode sikrer en tryg og sikker kundeoptælling. Det er en uigenkaldelig behandling af personoplysninger, som fører til, at det er umuligt at identificere en fysisk person.
For en kundetæller betyder det, at det ikke er nok at slette bilederne og gemme tilfældig, hashed eller salted, data for en besøgende. Denne data forbliver en personoplysning som på lige fod med pladsdata for butikken, centeret eller magasinet, tidsdata om, hvornår behandlingen skete og eksterne data som mobildata, kan muliggøre at føre tilbage til en unik person.
For at det kan klassificeres som anonym, skal det i princippet være umuligt at identificere personen, ud fra tilgængelige oplysninger og data. Hvis data kan føres tilbage til en fysisk person, handler det snarere om pseudonymisering. Det betyder, at man behandler data, som skal betragtes som værende personhenførbar data, da denne data muliggører at identificere en person ud fra.
Anonymisering af data bruges også i andre dele af vores infrastruktur for at sikre en høj grad af hemmeligholdelse og for at styrke vores systems integritet.
Kryptering
For at beskytte følsom information og vores systemer generelt, så benytter vi os af sikre login-metoder til vores kritiske systemer. De følger vores meget stramme interne IT-sikkerhedspolitikker.
Vi benytter os, i så vid udstrækning som muligt, af symmetrisk og asymmetrisk kryptering, og vi gør vores ypperste for at hjælpe vores kunder med at have en høj sikkerhed i butikkerne, i centrene og i magasinerne.
Hemmeligholdelse
Vi har flere forskellige aktiviteter for at sikre et højt niveau af hemmeligholdelse i vores system. Udover, at autentificering overvåges med PAM, samt at vores infrastruktur er designet for at sikre, at forskellige typer af information med forskellig formål kan behandles separat, så bruger vi adgangsmekanismer for at forhindre, at personer får adgang til information, som de ikke har ret til.
Ved et eventuelt incident følger vi vores Data Breach Response Politik, der er skabt til hurtigt og effektivt at håndtere og afvæbne problemet.
Integritet
For at sikre en høj integritet i vores systemer, så følger alle vores processer vores Dataklassificeringspolitik.
Derudover stiller vi vores sikkerhedsretningslinjer til rådighed for den dataansvarlige, så de altid sikrer integriteten i det lokale miljø. Det sikrer ligeledes overførsler af informationer samt anvender teknisk og organisatorisk beskyttelse af autorisationer. Ydermere håndterer vi logs, analyser af protokoller, revisioner og automatiske udelukkelsesprotokoller med mere.
Tilgængelighed
For at sikre en høj tilgængelighed i vores systemer, så har vi sørget for, at al vores information er beskyttet og sikret ved et eventuelt incident.
Udholdenhed
For at sikre, at vores systemer er udholdende, så er vores infrastruktur designet på en måde, så de kan håndtere både midlertidig og konstant høj belastning.
Backups
Vores infrastruktur er baseret på sikre og pålidelige europæiske cloud-baserede systemer, hvilket sikrer vores dokumenterede backup-koncept.
Penetrationstests og risikoanalyser
Vi gennemfører regelmæssigt penetrationstests af vores systemer med hjælp fra eksterne eksperter. Disse penetrationstests følger rutiner og standarder, som vi har udformet i vores interne politikker, med det formål at minimere risikoen for eventuelle incidents.
Vi gennemfører også regelmæssige risikoanalyser for at sikre en klarhed over risikoudviklingen og dermed minimerer risikoen for eventuelle incidents.
Vores seneste risikoanalyse, gennemført af markedsførende eksperter, dokumenterede Indivds infrastruktur som “lav risiko”.