Tillsammans håller vi PrivacyDocs säkert. I detta dokument beskriver vi hur.
Du kontrollerar din dator och e-post
Du måste begränsa åtkomsten till ditt utrymme på PrivacyDocs till de individer som har rätt att ha det. Vi kommer inte att lära dig hur du säkrar ditt företag. Vi förutsätter att du tillhandahåller PrivacyDocs med e-postadresser till lämpliga och auktoriserade individer.
Vi förlitar oss på e-post som sätt att kontakta individerna.
E-post och sessioner
Alla med åtkomsträttigheter till ditt utrymme på PrivacyDocs kan logga in på utrymmet. Det inkluderar dig och de individer som du har bjudit in till PrivacyDocs genom att ge dem åtkomst. Du måste se till att lämpliga e-postadresser tillhandahålls till PrivacyDocs.
Vi rekommenderar starkt att använda e-postadresser som är kopplade till specifika personer och att undvika att använda team-e-post (som sales@yourcompany.com). Om flera individer har tillgång till en e-postadress kan var och en av dem logga in på PrivacyDocs, potentiellt bjuda in andra, och du skulle inte veta vem som gjorde det. När flera individer behöver arbeta tillsammans kan du bjuda in dem till PrivacyDocs och ge var och en lämpliga behörigheter i dialogrutan 'Klientinställningar'.
Efter att du har loggat in sparar vi en så kallad 'sessionscookie' på din dator. Du kan vara inloggad på PrivacyDocs från flera webbläsare samtidigt. Tänk på din smartphone och din kontorsdator. Att placera denna sessionscookie är nödvändigt för att PrivacyDocs ska fungera och ingår i PrivacyDocs användarvillkor. Vi kommer att hålla dig inloggad i en månad så att du kan fortsätta ditt arbete utan avbrott. Du kan logga ut när som helst själv.
Du måste se till att du (eller dina kollegor som arbetar med PrivacyDocs) kontrollerar dina datorer medan du är inloggad. Om någon annan får tillgång till din dator (din kollega eller en inkräktare) kan han agera på dina vägnar, och vi skulle inte kunna särskilja hans handlingar från dina.
Allt detta är ett standard sätt att tillhandahålla webb tjänster. Din webbmail, kontor eller sociala medier fungerar på samma sätt: efter inloggning placerar de en sessionscookie och håller dig inloggad i månader.
Nödsituationer
Vad ska man göra om du tappar kontrollen över din e-post, dator eller smartphone?
Kontakta PrivacyDocs omedelbart via 'Kontakt'-formuläret eller via e-post och ange vilken e-post som har blivit komprometterad. Vi kommer då att logga ut dig från PrivacyDocs och låsa din e-post i tre dagar så att du kan återhämta dig från incidenten.
We will ask you to verify your identity using the emergency contact details. Provide them now in the 'User settings' dialog. We generally respond during office hours, but no response times are guaranteed or should be expected. We would generally be able to recover your data from the backups if needed. We are happy to help, but we will charge you for the effort that we spend to remedy the incident (regular consultancy rate).Observera att säkerhetsincidenter ofta leder till personuppgiftsbrott som måste rapporteras inom 72 timmar.
Varför finns det inga lösenord på PrivacyDocs?
Många webbplatser kräver (ofta långa och komplexa) lösenord för att logga in. Med PrivacyDocs använder vi inga lösenord eftersom de ofta faktiskt minskar säkerheten (det så kallade 'säkerhetsteatern').
Tänk på många tjänster som du använder, som kräver ett lösenord, men som också erbjuder möjligheten att återställa ditt lösenord via e-post. När du återställer ditt lösenord skickar de dig en engångsinloggningslänk (samma som PrivacyDocs gör när du loggar in). En inkräktare som fått tillgång till din e-post kan enkelt återställa ditt lösenord och få tillgång till tjänsten. Dessutom kan en inkräktare som fått tillgång till ditt lösenord (tänk på de gula klisterlapparna på ditt skrivbord) också få tillgång till tjänsten. Och om du använder samma lösenord för flera tjänster...
På så sätt skapar användningen av både ett lösenord och en möjlighet att återställa lösenordet via e-post bara en ytterligare 'nyckel' till ditt system som du behöver skydda. I PrivacyDocs använder vi endast den minimalt nödvändiga nyckeln (din e-post). Och vi kommer aldrig att läcka dina lösenord.
Denna metod är inte unik och många andra tjänster använder den.
Och vad sägs om MFA (Multi-Faktorautentisering)?
Det är troligt att din e-postleverantör kommer att kräva att du använder någon form av MFA, såsom textmeddelanden (sms) eller en separat smartphone-app. På PrivacyDocs drar vi nytta av detta eftersom det hjälper till att säkerställa din kontroll över din e-post, det viktigaste kommunikationsmedlet mellan PrivacyDocs och dig.
Vi använder ytterligare (nödsituation) kommunikationsmedel för att kommunicera med dig under säkerhetsincidenter. På så sätt använder vi MFA när de vanliga autentiseringsmetoderna inte kan litas på.
Det är mycket viktigt att inte använda din MFA-enhet (vanligtvis din smartphone) för vanligt arbete. Om en inkräktare får tillgång till din smartphone kommer e-postmeddelandena för att återställa lösenordet och MFA-sms-meddelandena att gå till samma smartphone. Om du tappar bort eller skadar din smartphone kommer du att förlora tillgången till dina MFA-token och inte kunna logga in.
Som en tumregel: Arbeta inte på din mobil (vi vet att det är mycket svårt).
Organisatoriska säkerhetsåtgärder för PrivacyDocs
PrivacyDocs drivs av ett litet team, där endast två personer har tillgång till dina uppgifter för operativa och supportändamål. Båda är bundna av sekretess- och konfidentialitetsavtal som innehåller tillräckliga incitament för att följas.
PrivacyDocs verksamhet och datatillgång sker i Nederländerna enligt nederländsk lag. Inga utländska entreprenörer eller leverantörer är involverade.
Tekniska säkerhetsåtgärder för PrivacyDocs
Vi använder branschstandard tekniska säkerhetsåtgärder för att skydda ditt utrymme på PrivacyDocs.
Vi förlitar oss på Amazon Web Services (AWS) för att vara värd för PrivacyDocs och Microsoft för AI och interna e-postmeddelanden. Vi använder följande viktiga säkerhetsåtgärder:
- Limited access.
- Access to production environment and your data is limited to the authorized individuals.
- Authorization and authentication.
- The authorized individuals need to authenticate using secret passwords (used by AWS or O365) and MFA devices to get access.
- Encryption in transit and at rest.
- Your data is encrypted with industry-standard means both when in transit (think of HTTPS) and at rest (think of disk and file encryption).
- AWS Dynamo DB.
- Your data is stored using AWS DynamoDB, partitioned per client, and is continuously backed up by Amazon. We crate regular off-site backups of the data as well. The backups are stored encrypted and accessible to the same individuals who manage the production environments.
- AWS Lambdas.
- Your data is processed using AWS lambdas. These are special kind of 'servers' that are created for each Web request and destroyed after the request is completed. As a result, there are no PrivacyDocs servers that can be compromised.
- Emails.
- AWS is used for all automatic emails, and Microsoft O365 is used for info@privacydocs.eu and emails inside the PrivacyDocs organisation.
- AI.
- Microsoft Azure is used as the provider of the AI engine. All data submitted to the PrivacyDocs 'Ask AI' feature will be sent to Microsoft.
- Logging in.
- When you login, we email you a single-use login link that is valid for one hour. During a login session, we store a session cookie. Both, the login link and the cookie are sufficiently long, to be considered secure, given their usage patterns.
Alla dessa åtgärder hjälper till att hålla ditt utrymme på PrivacyDocs säkert.