Flowzone („der Service“) verwendet branchenweit anerkannte Verschlüsselungsmethoden und -produkte, um personenbezogene Kundendaten und die Kommunikation während der Übertragung zwischen dem Netzwerk eines Kunden und dem Service zu schützen, einschließlich der Verschlüsselung von Daten bei der Übertragung über öffentliche Netzwerke und der Verschlüsselung von Daten im Ruhezustand.
1. Verschlüsselung während der Übertragung
Alle über öffentliche Netzwerke übertragenen Daten werden über HTTPS/Transport Layer Security (TLS) verschlüsselt.
2. Verschlüsselung im Ruhezustand
Ruhende Daten werden mit mindestens AES-256 oder höheren Verschlüsselungsstufen verschlüsselt. Flow Technologies erstellt keine Kopien von personenbezogenen Kundendaten, es sei denn, dies ist für die Bereitstellung des Dienstes und für Sicherungszwecke erforderlich.
Flow Technologies folgt dem „Prinzip der geringsten Berechtigung“ mit der Absicht, den Zugriff zu beschränken und den Mitarbeitern nur Zugriff auf die Tools, Systeme und Daten zu gewähren, die sie für ihre Arbeit benötigen. Der Zugriff auf Produktionssysteme ist rollenbasiert, zentralisiert, überprüfbar und wird regelmäßig überprüft.
Der Endbenutzer kann zwischen BankID (Norwegen) oder einer Kombination aus E-Mail und Passwort als Authentifizierung wählen. Flow Technologies empfiehlt, dass der Benutzer ein Konto mit einer BankID sichert, die nach dem EU-Standard eIDAS zugelassen ist und auf einer Zwei-Faktor-Authentifizierung basiert.
Flow Technologies wird Flowzone mithilfe protokollbasierter Angriffserkennungsmechanismen auf unbefugtes Eindringen überwachen. Neben der Dokumentation, auf welche Ressourcen zugegriffen wurde, enthalten die Audit-Log-Einträge Ziel- und Quelladressen, einen Zeitstempel und Informationen darüber, welche Änderungen im System vorgenommen wurden und von wem.
Flow Technologies unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen. Flow Technologies wird den/die betroffenen Kunden unverzüglich benachrichtigen, falls wir Kenntnis von einer tatsächlichen oder begründeten Annahme einer unbefugten Offenlegung von personenbezogenen Kundendaten erhalten.
Flow Technologies sichert kritische Daten mindestens einmal täglich an einem anderen physischen Standort als den primären Servern. Alle Backups werden innerhalb der EU gespeichert und auf Speicherebene mit AES verschlüsselt. Das Backup kann eine schnelle Notfallwiederherstellung und Dienstwiederherstellung über verschiedene geografische Standorte hinweg sicherstellen.
Die Aufrechterhaltung der Datensicherheit ist eine Frage der Vorbereitung, aber auch der Konsequenz. Flow Technologies hält ein monatliches Treffen ab, um die Sicherheitsmaßnahmen mit dem Team zu besprechen. Dadurch wird sichergestellt, dass alle im Team kritische Datensicherheitsmaßnahmen kennen und implementieren und sicherstellen, dass sie die erforderlichen Vorbereitungen treffen, um Sicherheitsrisiken zu vermeiden oder zu mindern.