Apix Messaging datasäkerhetspolicy

I det här dokumentet beskrivs Apix datasäkerhetspolicy avseende skydd och behandling av kunddata och meddelanden som levereras i Apix-system. Kunddata och meddelanden kan innehålla personuppgifter enligt beskrivningen i EU: s GDPR-förordning. Apix behandlar kunddata och meddelanden med automatiska metoder. Behandlingen är begränsad till att tillhandahålla den till kunden utlovade tjänsten.

Kunden skickar och tar emot information i Apix-tjänsterna, och denna behandlas endast enligt instruktionerna från kunden. Uppgifter som kommer från kunden behandlas enligt mottagarinformationen och omvandlas till meddelanden (till exempel: elektroniska fakturor). På ett liknande sätt behandlas meddelanden till kunden till data och överförs till kunden. Data och meddelanden lagras endast under den tid som krävs enligt lagar och arbetsmiljö. Kunden kan instruera Apix att lagra data och meddelanden under en längre tid.

Apix har två separata arkiv för lagring av kunddata. Det officiella 6+1-arkivet lagrar data i 7 år, förutsatt att kunden har tecknat ett kontrakt för denna tjänst. Om det inte finns något sådant avtal lagras data för aktuell och föregående månad.

Ett separat meddelandearkiv används för att lagra meddelandena och relaterade transaktionsloggar i högst 12 månader.

Fysisk databeskydd och plats för data

Behandling och lagring av kunddata och meddelanden görs i datacentraler inom EU/ETA-området.

För att radera fysiska, konfidentiella dokument köper Apix en separat tjänst från en extern tjänsteleverantör. Apix lokaler är säkrade med lås, larmsystem och kameraövervakning. En lista över nyckelinnehavare upprätthålls och säkerhetskoderna ändras regelbundet. Vid fysiskt inbrott till Apix lokaler kan den som bryter sig in inte få tillgång till produktionssystem utan stark personlig autentisering. Kunddata lagras inte i Apix lokaler, arbetsstationer eller på kontorservrarna.

Tekniskt skydd

Alla Apix-servicemiljöer (produktions-, test- och utvecklingsmiljöer) finns i separata datanät och åtkomsten mellan nätverken är begränsad. Alla nätverk skyddas av brandväggar och endast de servrar som krävs för att överföra data utanför är anslutna till internet. Dataanslutningarna mellan de internetanslutna servrarna och meddelandes – och databehandlingsservrarna är begränsade till endast vissa protokoll och anslutningarna är punkt-till-punkt. Miljöerna övervakas också av olika system och automatiska attackdetekterings- och förebyggande system används på protokollnivå. Test- och utvecklingsmiljöerna lagrar inte kunddata.

Kunddata och meddelanden lagras alltid separerade från de Internetexponerade servrarna. I den skiktade miljön är datakopplingarna mellan system och datacenter alltid krypterad och åtkomst till det interna nätverket kräver tvåstegsautentisering. Kunden kan få tillgång till egna uppgifter genom att använda kundens tilldelade användarnamn och lösenord via SSL-skyddade webbsidor. Som förebyggande metod mot dataöverträdelser uppgraderar Apix aktivt sina system och håller datasäkerhetsmodellerna uppdaterade. Produktionsservrarna dupliceras och data, liksom meddelanden, säkerhetskopieras för att minimera effekterna av avbrott.

Arbetsstationer, bärbara datorer, mobiltelefoner och annan elektronisk utrustning hos de anställda skyddas genom att använda tillämpliga uppdaterade virusskannrar, krypterings- och åtkomstkontrollmekanismer. Medarbetarna kan bara arbetat på distans genom att använda en VPN-anslutning som endast är tillgänglig på Apix, via dedikerade arbetsstationer och bärbara datorer.

Datakopplingar och överföring av data

Apix överför inte data eller meddelanden utanför sina system, förutom att tillhandahålla överenskommen dataöverföring för att tillhandahålla den överenskomna tjänsten. Överenskommen dataöverföring är t.ex. överföringen av meddelanden till den avsedda mottagarens operatör. Beroende på dataanslutningen används den bästa tillgängliga krypteringen.

Datacenter och servrar

För att bearbeta data och meddelanden använder Apix datacenter och utrustningstjänster. Datalagringsmiljöerna är säkra, brandskyddade områden med duplicerad datakommunikation, kablar och strömförsörjning. Dessa lokaler övervakas 24/7 och de innehåller automatisk branddetektering och isoleringslösningar som inte framtvingar avstängning av servrar. Tillgången till datacentren är begränsad och endast namngivna personer kan komma in i dem.

Dataåtkomst

Kunddatan och meddelandena behandlas manuellt endast vid felaktigheter eller på särskild begäran från kunden. All manuell åtkomst loggas i loggfilerna, inklusive anledningen till att man får tillgång till data. Tillgången till data och meddelanden är begränsad till personal vars arbetsroll kräver sådan åtkomst. Apix har implementerande, övervakade användarhanteringsprocesser. Säkerhetshanteringen bekräftar alla nya dataåtkomstförfrågningar innan åtkomst ges. Tillgången till produktions-, test- och utvecklingsmiljöer är begränsad till det faktiska behovet. Apix guidar och utbildar sin din inom Apix ansvarige om datasäkerhet och rättigheter och ansvar relaterade till kunddata. Varje anställd i Apix har tecknat ett skriftligt avtal om sekretess.

Övrig information

För mer information om Apix datasäkerhet, kontakta servicedesk@apixmessaging.se.