Sammen holder vi PrivacyDocs sikkert. I dette dokument beskriver vi hvordan.
Du kontrollerer din computer og din e-mail
Du skal begrænse adgangen til dit rum på PrivacyDocs til de personer, der har ret til at have det. Vi vil ikke lære dig, hvordan du sikrer din virksomhed. Vi antager, at du giver PrivacyDocs e-mailadresserne til de relevante og autoriserede personer.
Vi stoler på e-mails som måde at kontakte enkeltpersoner på.
E-mails og sessioner
Enhver med adgangsrettigheder til dit rum på PrivacyDocs kan logge ind i rummet. Det inkluderer dig og de personer, du har inviteret til PrivacyDocs ved at give dem adgang. Du skal sikre dig, at de relevante e-mailadresser bliver givet til PrivacyDocs.
Vi anbefaler kraftigt at bruge e-mailadresser, der er knyttet til specifikke personer, og undgå at bruge team-e-mails (som sales@yourcompany.com). Hvis flere personer har adgang til en e-mailadresse, kan hver af dem logge ind på PrivacyDocs, potentielt invitere andre, og du ville ikke vide, hvem der gjorde det. Når flere personer skal arbejde sammen, kan du invitere dem til PrivacyDocs og give hver af dem de passende tilladelser i dialogboksen 'Klientindstillinger'.
Efter du har logget ind, gemmer vi en såkaldt 'sessionscookie' på din computer. Du kan være logget ind på PrivacyDocs fra flere browsere på samme tid. Tænk på din smartphone og din kontorcomputer. Placeringen af denne sessionscookie er nødvendig for, at PrivacyDocs kan fungere, og den er inkluderet i PrivacyDocs servicevilkår. Vi vil holde dig logget ind i en måned, så du kan fortsætte dit arbejde uafbrudt. Du kan logge ud når som helst selv.
Du skal sikre dig, at du (eller dine kolleger, der arbejder med PrivacyDocs) kontrollerer dine computere, mens du er logget ind. Hvis en anden får adgang til din computer (din kollega eller en indtrænger), kan han handle på dine vegne, og vi ville ikke være i stand til at skelne hans handlinger fra dine.
Alt dette er en standard måde at levere webtjenester på. Din webmail, kontor eller sociale medier fungerer på samme måde: efter login placerer de en sessionscookie og holder dig logget ind i flere måneder.
Nødsituationer
Hvad skal du gøre, hvis du mister kontrollen over din e-mail, computer eller smartphone?
Kontakt PrivacyDocs straks via 'Kontakt'-formularen eller via e-mail og fortæl, hvilken e-mail der er kompromitteret. Vi vil derefter logge dig ud af PrivacyDocs og låse din e-mail i tre dage, så du kan komme dig efter hændelsen.
We will ask you to verify your identity using the emergency contact details. Provide them now in the 'User settings' dialog. We generally respond during office hours, but no response times are guaranteed or should be expected. We would generally be able to recover your data from the backups if needed. We are happy to help, but we will charge you for the effort that we spend to remedy the incident (regular consultancy rate).Bemærk, at sikkerhedshændelser ofte fører til brud på personoplysninger, som skal rapporteres inden for 72 timer.
Hvorfor er der ingen adgangskoder på PrivacyDocs?
Mange webtjenester beder om (ofte lange og komplekse) adgangskoder for at logge ind. Med PrivacyDocs bruger vi ikke adgangskoder, fordi de ofte faktisk reducerer sikkerheden (det såkaldte 'sikkerhedsteater').
Tænk på mange tjenester, som du bruger, der kræver en adgangskode, men som også tilbyder muligheden for at nulstille din adgangskode via e-mail. Når du nulstiller din adgangskode, sender de dig et engangsinlogningslink (som PrivacyDocs gør, når du logger ind). En indtrenger, der har fået adgang til din e-mail, kan nemt nulstille din adgangskode og få adgang til tjenesten. Derudover kan en indtrenger, der har fået adgang til din adgangskode (tænk på de gule klistermærker på dit skrivebord), også få adgang til tjenesten. Og hvis du bruger den samme adgangskode til flere tjenester...
På denne måde skaber brugen af både et password og muligheden for at nulstille passwordet via e-mail kun en ekstra 'nøgle' til dit system, som du skal beskytte. I PrivacyDocs bruger vi kun den minimalt krævede nøgle (din e-mail). Og vi vil aldrig lække dine passwords.
Denne tilgang er ikke unik, og mange andre tjenester bruger den.
Og hvad med MFA (Multi-Faktor Autentifikation)?
Det er meget sandsynligt, at din e-mailudbyder vil kræve, at du bruger en form for MFA, såsom tekstbeskeder (SMS) eller en separat smartphone-app. Hos PrivacyDocs drager vi fordel af dette, da det hjælper med at sikre din kontrol over din e-mail, det vigtigste kommunikationsmiddel mellem PrivacyDocs og dig.
Vi bruger yderligere (nødsituation) kommunikationsmidler til at kommunikere med dig under sikkerhedshændelser. På denne måde bruger vi MFA, når de almindelige autentificeringsmidler ikke kan stole på.
Det er meget vigtigt ikke at bruge din MFA-enhed (normalt din smartphone) til almindeligt arbejde. Hvis en indtrenger får adgang til din smartphone, vil e-mails til nulstilling af adgangskode og MFA-sms-beskeder gå til den samme smartphone. Hvis du mister eller ødelægger din smartphone, vil du miste adgangen til dine MFA-tokens og ikke kunne logge ind.
Som tommelfingerregel: Arbejd ikke på din mobil (vi ved, at det er meget svært).
Organisatoriske sikkerhedsforanstaltninger fra PrivacyDocs
PrivacyDocs drives af et lille team, hvor kun to personer har adgang til dine data til drifts- og supportformål. Begge er bundet af fortroligheds- og hemmeligholdelsesaftaler, der indeholder tilstrækkelige incitamenter til at blive overholdt.
PrivacyDocs operation og dataadgang finder sted i Holland i henhold til hollandsk lov. Der er ingen udenlandske entreprenører eller leverandører involveret.
Tekniske sikkerhedsforanstaltninger for PrivacyDocs
Vi bruger branchespecifikke tekniske sikkerhedsforanstaltninger til at beskytte dit rum på PrivacyDocs.
Vi stoler på Amazon Web Services (AWS) til at hoste PrivacyDocs og Microsoft til AI og interne e-mails. Vi bruger følgende nøgle sikkerhedsforanstaltninger:
- Limited access.
- Access to production environment and your data is limited to the authorized individuals.
- Authorization and authentication.
- The authorized individuals need to authenticate using secret passwords (used by AWS or O365) and MFA devices to get access.
- Encryption in transit and at rest.
- Your data is encrypted with industry-standard means both when in transit (think of HTTPS) and at rest (think of disk and file encryption).
- AWS Dynamo DB.
- Your data is stored using AWS DynamoDB, partitioned per client, and is continuously backed up by Amazon. We crate regular off-site backups of the data as well. The backups are stored encrypted and accessible to the same individuals who manage the production environments.
- AWS Lambdas.
- Your data is processed using AWS lambdas. These are special kind of 'servers' that are created for each Web request and destroyed after the request is completed. As a result, there are no PrivacyDocs servers that can be compromised.
- Emails.
- AWS is used for all automatic emails, and Microsoft O365 is used for info@privacydocs.eu and emails inside the PrivacyDocs organisation.
- AI.
- Microsoft Azure is used as the provider of the AI engine. All data submitted to the PrivacyDocs 'Ask AI' feature will be sent to Microsoft.
- Logging in.
- When you login, we email you a single-use login link that is valid for one hour. During a login session, we store a session cookie. Both, the login link and the cookie are sufficiently long, to be considered secure, given their usage patterns.
Alle disse foranstaltninger hjælper med at holde dit rum på PrivacyDocs sikkert.