Säkerhetsarbete

Låt oss beskriva hur vi jobbar med säkerhet och GDPR, och låt oss börja med det sistnämnda. Den största delen av vårt Tjänsteavtal rör hanteringen av personuppgifter och innehåller därmed också integritets- och säkerhetsaspekter. Förutom det som står i avtalet för vi ett register över personuppgiftsbehandlingen, som bland annat innehåller vilka uppgifter som lagras per lagringsmedium och hur länge. Vi genomför en regelbundna uppföljningar för att säkerställa att vi följer GDPR, med målet att begränsa personuppgiftslagring och göra den säkrare.

Vår produktionsmiljö underhålls med regelbundna uppdateringar av operativsystemet (Debian) och serverprogramvaror såsom Apache, MariaDB, Tomcat och Java. Vi delar inte server med andra företag. Användarnas lösenord lagras krypterade (hashed) med ett salt. Användarnas filer lagras krypterade på servern under förutsättning att användaren satt ett lösenord vid uppladdningen.

Vår programvara innehåller mekanismer för att detektera spam, och att begränsa utskick av mejl och filer.

Vid utvecklingen av vår programvara följer vi gängse regler för att hindra SQL-injektion och Cross-site scripting (XSS). Användarinput valideras både på klient- och serversida. Alla medarbetares datorer har krypterade hårddiskar.

Planerade åtgärder

Vi planerar att genomföra följande förbättringar.

1. Mindre personuppgifter i utgående mejl: Avsändaren ska kunna bestämma vilka personuppgifter som skickas i mejlmeddelandet till mottagaren. Det ska också vara möjligt att kräva att mottagaren identifierar sig via mejl, mobil eller svenskt BankID.
2. Inga amerikanska underleverantörer: Sprend bör ersätta leverantörer utanför EU med svenska eller EU-baserade alternativ.
3. Genomföra penetrationstester: Vi bör regelbundet testa vår produktionsmiljö mot kända sårbarheter.
4. Viruskontroll: Sprend bör erbjuda automatisk virusskanning av skickade filer.
5. Högre säkerhet vid inloggning: Flerfaktorsautentisering (MFA) för användarkonton bör erbjudas.