Säkerhet och skydd av personuppgifter

Vi har en funktion där våra användare kan begära att ta bort alla sina uppgifter från våra databaser. När en användare gör denna begäran kommer leverantörer som har varit i kontakt med den användaren att meddelas. Leverantörerna har sedan upp till trettio dagar på sig att begära användarens data från vår databas. De behöver denna information för att upprätthålla kontakten med användaren, till exempel när de planerar en kurs. Samma begäran visar öppet - för användaren - vilka leverantörer som har de uppgifter som hen begärt att raderas. När en användare skickar in en begäran om att ta bort uppgifter och har tidigare lämnat en recension, blir denna recension anonymiserad och all användardata tas bort. Naturligtvis kan en användare också begära att ta bort recensionen helt och hållet.

Precis som alla digitala tjänster gör vi säkerhetskopior, back-ups, av vår data. Vi sparar säkerhetskopior i max 5 dagar. I det osannolika fallet att två olika servrar på två olika platser får problem, kan vi återställa vår portal med hjälp av dessa säkerhetskopior. När detta händer har vi utvecklat en algoritm som kontrollerar säkerhetskopian efter närvaro av data som tidigare begärts att raderas. När algoritmen hittar dessa data raderas de automatiskt. Således uppfyller även våra säkerhetskopior våra användares önskemål och GDPR-lagen.

Uppgifter behandlas på Springest på två punkter: på HTTPS och i lagring. HTTPS betyder: all data som matas in framifrån, i den krypterade miljön. I lagring betyder: all information som redan har lagts in, sparad i en databas. I vårt fall finns dessa databaser på Amazon som en del av Amazon Web Services (AWS). Läs mer om Amazons säkerhetspolicy Dessa servrar finns på två olika platser i Tyskland. Även om detta inte är ett krav från GDPR förblir därför våra uppgifter inom EU.

4. Avtal kring datasäkerhet

• En leverantör får inte ge användardata till tredje part.
• Leverantören är själv ansvarig för att hålla informationen konfidentiell. Naturligtvis hjälper den krypterade admin-sidan till med detta.
• Leverantören är skyldig att tillhandahålla relevant och riktig information på leverantörsprofilen. Detta inkluderar också en obligatorisk öppenhet när det gäller priser, till exempel kring extra kostnader och moms.
• Vi hjälper leverantörer att, med hjälp av olika behörighetsgrader för användarkonton, begränsa tillgången till data.
• Leverantörer måste följa lagen om skydd av personuppgifter. Detta kommer snart att ändras till GDPR-lagen.

5. Penetrationstester

Oberoende tredje parter utför regelbundet penetrationstester på kunders vägnar. I dessa tester försöker de "hacka" Springest. Dessa tester kan efterfrågas exempelvis av stora företagskunder för vilka vi hanterar en egen lärportal.

Vid en bokning eller en informationsförfrågan skickas inga personuppgifter via e-post. Leverantörerna skickas via en länk vidare till Springest Admin, en säker webbplats där alla uppgifter är aktuella.

När en företagsportal skapas krävs tillgång till personalfiler för att skapa användarkonton. Det är inte säkert att dela denna typ av känslig information via e-post. Därför skickas filer som företag delar med Springest  via Springest Admin - en krypterad miljö. Efter fyra dagar raderas filerna automatiskt.

Det är viktigt att personuppgifter är tillräckligt skyddade. Springest vidtar ett antal åtgärder när du skickar och lagrar denna typ av data.

ISO 20071
Sedan november 2017 är Springest certifierat enligt ISO 20071 säkerhetsstandard. Denna certifiering visar att Springest lever upp till de specifika krav som gäller för att upprätta, implementera, genomföra, kontrollera, utvärdera, underhålla och förbättra ett dokumenterat informationssäkerhetssystem (Information Security Management System, ISMS) inom ramen för de allmänna riskerna för organisationen.

Säker uppkoppling
Springest är endast tillgängligt via en säker anslutning, SSL. Det betyder att ifyllda uppgifter skickas krypterade och kan inte läsas av tredje part. Vi stödjer följande versioner: TLS versionerna 1.0, 1.1 och 1.2 med 256-bit TLS RSA kryptering.

Säker intern infrastruktur
Efter att användarens uppgifter skickats till Springest, hamnar de i Springests server-nätverk. Detta underhålls av Amazon Web Services, den mest respekterade webhotell-leverantören som har stor erfarenhet när det gäller säkerhet. Inom nätverket är även alla anslutningar krypterade med SSL. Detta interna nätverk är inte tillgängligt för någon utifrån. Dessutom kommer våra egna servrar endast åt data som de behöver för att utföra sin specifika uppgift. Exempelvis kan en test- eller epost-server kan inte komma åt uppgifter som behövs för hemsidan. Dessutom görs backups dagligen. Dessa sparas av säkerhetsskäl i en annan AWS-region (Irland) än den där databasen finns (Frankfurt). Se även: Amazon Web Services Security Center

Uppgifter sparas inom EU
Alla Springest servrar befinner sig geografiskt inom EU, och omfattas därför inte av den amerikanska patriotlagen. För mer information om den europeiska lagstiftningen, läs: Amazon Web Services EU Data Protection FAQ.

Krypterade hårddiskar
De hårddiskar som databaserna finns på, där uppgifterna sparas, är också krypterade. Avkryptering av databasinformationen kräver en krypteringsnyckel som också bara finns på våra egna servrar i det säkra nätverket. Uppgifterna i databaserna är därför inte läsbara utan den här nyckeln.