Fysisk säkerhet
Geografi
Våra datacenter ligger utanför Dublin, Irland och i Frankfurt, Tyskland. I varje datacenter är tjänsten fördelad över flera byggnader (tillgänglighetszoner). Vi använder även ett globalt distribuerat leveransnätverk (CDN) för att webbsidan och klienten ska ladda snabbare.
Datacenter
De datacenter vi använder är certifierade under ISO 27001 samt SOC 3. AWS, vår datacenterleverantör, har sofistikerade datahallar med redundant ström, generatorer och flera anslutningar till internet. Allt för att maximera tjänstens tillgänglighet.
Platssäkerhet
Våra datacenter har dygnet-runt bemanning, med vakter, övervakningskameror och robust skalskydd. Åtkomsten är begränsad och enbart behöriga personer har tillträde.
Nätverkssäkerhet
Kryptering
Data som skickas till och från Skovik är krypterad, med 128-bitars kryptering. Applikationen nås enbart via HTTPS. Vi använder modern krypto-konfiguration, med Perfect Forward Secrecy, Strict Transport Security, OCSP stapling och starkt chiffer.
Arkitektur
Produktionsnätverket är frikopplat från företagsnätverket. I produktionsnätverket är olika tjänster logiskt separerade från varandra och behörighetslistor begränsar kommunikationen dem emellan. För maskinåtkomst har vi ett separat kontrollplan. Befästningsnoder används som ytterligare ett säkerhetslager. Brandväggar skyddar alla system och enbart webbservrarna är adresserbara via internet.
Nätverkssäkerhetskontroller
Vi genomför regelbundet kontroller av nätverkets säkerhet för att säkerställa att inget system är ömtåligt eller dåligt skyddat.
Begränsad åtkomst
Åtkomst till produktionsnätverket är begränsat till ett fåtal personer, som behöver åtkomst för att drifta systemen. All aktivitet sparas i en central loggbok som övervakas av vår systemgrupp. Inloggningen skyddas av två faktorer.
Beständighet och tillgänglighet
Beständighet
All kunddata replikeras mellan två datacenter, med en snittfördröjning på mindre än fem sekunder. Därutöver tar vi ögonblicksbilder av data varje timme och sparar det i ett säkert arkiv. I varje given tidpunkt finns tre instanser av data sparad, för maximal beständighet.
Tillgänglighet
Skovik har en publik sida med aktuell systemstatus, information om eventuella driftproblem och historisk data över tillgänglighet.
Visa statussidan
Redundans
Systemarkitekturen är konstruerad för att klara fel i individuella komponenter. Varje nod testas flera gånger per minut och vid problem ersätts noden automatiskt av en ny, som återupptar arbetsuppgiften.
Katastrofhantering
Om brand eller någon annan katastrof skulle drabba vårt primära datacenter har vi ett sekundärt datacenter som står redo, där vi kan återuppta tjänsten på kort tid.
DDoS-skydd
Vi har ett DDoS-skydd som med hjälp av signaturer och avvikelsealgoritmer avvärjer oönskad trafik.
Applikationssäkerhet
Lösenord
Lösenord sparas enligt god säkerhetspraxis, med envägskryptering (hash + salt). Den algoritm vi använder heter Bcrypt.
Epostsäkerhet
DKIM, SPF och DMARC används för att säkra epost som skickas av Skovik. Epostservrarna krypterar dessutom breven med TLS innan de skickas till mottagande epostserver.
Klientsäkerhet
Vi använder modern webbläsarteknologi, exempelvis Content Security Policy och Strict Transport Security, för att skydda klienten från attacker.
Säkra betalningar
Korthanteringen sköts av ett kortbetalningsföretag. De är certificerade under PCI DSS Level 1, en strikt säkerhetsstandard som administreras av Payment Card Industry Security Standards Council. Kortuppgifter sparas aldrig på våra servrar och passerar inte vårt nätverk.
Loggning
Vi loggar all aktivitet i systemet. Loggarna från olika maskiner samlas i en central databas för bevakning och analys.
Säker utveckling
Säkerhetsutbildning
Alla ingenjörer genomgår årligen en säkerhetsutbildning. Utbildningen behandlar vanliga säkerhetsluckor, olika typer av attackvektorer samt våra interna säkerhetssystem.
Statisk kodanalys
Vi kör återkommande analys på källkoden, där kontroller görs i en databas med kända säkerhetsluckor.
Kodgranskning
All kod granskas av minst en ytterligare person, där säkerhet är en av bedömningspunkterna. Säkerhetsrelaterade komponenter, så som sessioner, autentisiering och auktorisering, granskas extra noga.
Applikationsgranskning
Vi använder tredjepartsverktyg för att regelbundet säkerhetstesta vår applikation.
Separata miljöer
Utveckling, testning och andra miljöer är helt separerade från produktionsmiljön. De delar ingenting utöver programkoden.
Produktsäkerhetsfunktioner
Single sign-on (SSO)
Single sign-on (SSO) gör det möjligt för anställda att logga in med sina vanliga inloggningsuppgifter. Därigenom kan företag också enkelt anpassa sina inloggningskrav, exempelvis genom att kräva en minimilängd på lösenord eller ytterligare en inloggningsfaktor. Protokollet vi använder är OpenID-Connect, som används av bland annat Microsoft, Google, Salesforce och Okta.
Rollstyrd behörighet
Skovik har rollstyrda behörigheter, för granulär tilldelning av behörighet till användarna i systemet.