Filemails tillitssenter

Tilgangskontroll

• Rollebasert tilgangskontroll (RBAC)
• Flerfaktorautentisering (MFA)
• SAML/SSO

Sikkerhet i skyen

• Doble brannmurer
• Antivirus og beskyttelse mot skadelig programvare
• Deteksjon av endepunkter og respons

Sikkerhet i datasentre

• Fysisk sikkerhet
• Beskyttelse døgnet rundt
• Konstant overvåking

Beskyttelse av personopplysninger

• DPA-klar
• Mal tilgjengelig
• Tilpassede bestemmelser vurderes

Sikkerhet for endepunkter

• Avansert sluttpunktdeteksjon og -respons (EDR)
• Regelmessige sikkerhetsvurderinger
• Omfattende praksis for driftssikkerhet

Nettverkssikkerhet

• Systemer for deteksjon og forebygging av inntrengning (IDS/IPS)
• Kontinuerlig overvåking
• Proaktiv begrensning

Oppdateringer og sårbarheter

• Regelmessig oppdatering
• Proaktiv tilnærming
• Automatiserte oppdateringer

Oppdagelse av trusler

• Systemer for deteksjon og forebygging av inntrengning (IDS/IPS)
• Doble brannmurer og skanning av antivirus/skadevare
• Proaktiv begrensning og automatisert blokkering

Innstillinger for brukersikkerhet

• Ende-til-ende-kryptering
• Passordbeskyttelse
• 2-faktor autentisering

Funksjon til samsvarskart

• Nasjonal lov
• Regionale mandater
• Bransjespesifikke forskrifter

Cyber Essentials (Storbritannia)

• Grenseoverskridende brannmurer
• Sikker konfigurasjon
• Kontroll av brukertilgang
• Beskyttelse mot skadelig programvare
• Patch Management

GPDR (EU)

• Art. 32 - Behandlingssikkerhet
• Art. 25 - innebygd personvern / standard personvern
• Art. 33 - 34 Varsling om brudd
• Art. 44 - 50 Internasjonale overføringer
• Art. 5 og 30 Ansvarlighet og åpenhet

FINRA (USA)

• Regel 4511 (bøker og registre)
• Regel 3110 (tilsyn)
• Veiledning om cybersikkerhet

FISMA (USA)

• Beskyttelse av systemer og kommunikasjon
• Revisjon og ansvarlighet
• Tilgangskontroll

HIPAA (USA)

• Tilgangskontroll
• Revisjonskontroller
• Integritet
• Autentisering
• Overføringssikkerhet
  

NSM ICT (Norge)

• Beskytte og vedlikeholde
• Kontroll av brukertilgang
• Oppdage
• Reagere og gjenopprette

SOX (USA)

• Paragraf 302 - Bedriftens ansvar for finansiell rapportering
• Avsnitt 404 - Ledelsens vurdering av internkontroll
• Regler for oppbevaring av data

Spesifikt for hver enkelt stat i USA

• CCPA / CPRA, VCDPA, CPA
• CTDPA, UCPA, TDPSA
• OCPA, DPDP Act

Varsling av datainnbrudd

• Varsles innen 72 timer etter at bruddet er kjent
• Plan for hendelseshåndtering
• Konsekvensanalyser av databeskyttelse
• Innebygd personvern

Retningslinjer for informasjonskapsler

• Informasjonskapsler forklart
• Informasjonskapsler fra tredjeparter
• Din kontroll over informasjonskapsler

Datalagringssted

• Velg hvor dataene dine skal lagres
• Globalt distribuerte servere
• Ingen tredjeparter involvert

Retningslinjer for personvern

• Dine rettigheter
• Hvordan vi samler inn og bruker personopplysningene dine
• Hvor lenge vi lagrer opplysningene dine
• Hvor opplysningene dine lagres
• Regler for utlevering av opplysninger til tredjeparter

Plan for hendelsesrespons

• Oppdagelse og klassifisering av hendelser
• Protokoller for hendelsesrespons:
• Varsling av kunder

Vilkår for tjenesten

• Lisens for bruk
• Ansvarsfraskrivelse
• Begrensninger
• Revisjoner og feil
• Gjeldende lov: Norge

Kontrollerbare spor

• Kontrollerbare logger
• Uforanderlige logger
• Tilgangskontroller

Plan for gjenoppretting etter katastrofer

• Redundans og distribusjon av datasentre
• Løsninger for sikkerhetskopiering
• Regelmessig testing av sikkerhetskopienes integritet

Penetrasjonstester

• Regelmessige revisjoner og oppdateringer
• Interne og eksterne revisjoner
• Penetrasjonstesting utført av tredjeparter

Tredjepartsadministrasjon

• Valg og vurdering av leverandører
• Databehandleravtaler (DPA)
• Løpende evalueringer
• Sikkerhet hos databehandler