Sikkerhet

featureArticle.chapters

featureArticle.introduction
Compliance og sertifiseringer
Personvern
Hvordan vi beskytter dine data
Hvordan vi holder tjenester pålitelige
Hvordan vi holder vår programvare sikker
Hvordan du kan bidra til å beskytte dine data
Vårt løfte

featureArticle.introduction

Åpen, smidig og sikker er våre tre kjerneverdier. Dette dokumentet bidrar med en oversikt over hvordan Enonic jobber med sikkerhet.

Meld fra om sårbarheter til security@enonic.com.

authorBox.about

Thomas Sigdestad

Thomas Sigdestad er CTO i Enonic, som han var med på å grunnlegge i 2000 sammen med Morten Eriksen. Han liker terrengsykling, jakt og å tilbringe tid med familien sin.

Compliance og sertifiseringer

Enonic er sertifisert på ISO 27001:2022. Vår policy for informasjonssikkerhet er dermed ikke kun rettet mot ondsinnede angrep, men også mot ansvarlig håndtering av data og risikostyring.

Vi blir revidert årlig av en sertifisert ekstern revisor fra DNV, som blant annet verifiserer vår overholdelse av de 93 sikringstiltakene i standarden.

Enonic er også sertifisert ISO 9001:2015. Denne standarden spesifiserer kravene for et kvalitetssystem innen en organisasjon.

En anvendelseserklæring er tilgjengelig per forespørsel til kunder.

Personvern

Enonic er i full overensstemmelse med GDPR. Se på vår policy for personvern og databehandlings- og sikkerhetsvilkår for Enonic Cloud for flere detaljer.

Som en ekstra form for forsikring har Enonic en "Data Privacy Officer" som holder oversikt over saker som angår personvern og håndterer forespørsler om personvern.

Hvordan vi beskytter dine data

Når du bruker Enonic Cloud, iverksetter vi en rekke tiltak for å beskytte dine data. Vi håndterer effektivt områder som forvaltning av tilgangskontroll, håndtering av hemmeligheter, nettverkssikkerhet, driftsmessige prosedyrer, overvåking og håndtering av hendelser.

Enonic behandler datasikkerhet med den høyeste grad av konfidensialitet og integritet, og sikter alltid mot å beskytte dine data mot uautorisert tilgang.

HTTPS er aktivert som standard for å beskytte data under overføring. Vi utfører også regelmessig penetrasjonstesting etter OWASP-standarden via eksterne white hat-byråer.

Hvordan vi holder tjenester pålitelige

Enonic Cloud er bygget for å tilfredsstille de høyeste krav innen tilgjengelighet og skalerbarhet. Vi oppnår forsvarsevne via de følgende metodene:

Global CDN og DDoS-beskyttelse

Vår CDN leveres i samarbeid med vår pålitelige partner Fastly. CDN-et forsikrer motstandsdyktighet ved å mellomlagre ressurser, noe som fjerner børen fra Enonic-plattformen. Med over 70 lokasjoner, smart routing og mellomlagring kan CDN-et også redusere ventetiden betraktelig.

DDoS- og sikkerhetsfiltere beskytter nettsider, applikasjoner og hele nettverk, mens ytelsen til legitim trafikk ikke berøres.

Skalerbarhet

Vår moderne platformarkitektur og skytjenester kan håndtere ekstrem trafikk og massive datasett, uten å ofre ytelsen.

Redundans

Vi tilbyr cluster-instanser med full replikering av data for å redusere nedetid til et minimum og for å forbedre tilgjengeligheten for dine besøkende, kunder og ansatte.

Isolering

Våre skykunder får alltid dedikerte plattforminstanser – og dermed isolasjon og minimering av effektene til sikkerhetshendelser. Enterprise-kunder kan i tillegg be om dedikert infrastruktur for bestemte tjenester.

Sikkerhetskopiering og katastrofegjenoppretting

Vår sky støtter kontinuerlig snapshptting og sikkerhetskopier av både onsite og offsite. Dette gir en dobbel beskyttelse av din dataintegritet.

Hvordan vi holder vår programvare sikker

Vår programvare er fundamentet til våre tilbud innen både åpen kildekode og kommersiell drift, så vel som våre skytjenester.

Åpenhet

Som et selskap med åpen kildekode er vi stolte av vår kultur for åpenhet. Vi setter ikke vår lit til sikkerhet gjennom mørklegging. Vår kode er derfor åpen for gransking. Besøk oss på GitHub.

Prosesser og automatisering

Vår definerte utviklingsprosess er basert på smidige prinsipper. Kodevurdering av kolleger, funksjonsgrener, testautomatisering, statisk kodeanalyse, retrospektiver og automatiserte oppdateringer av avhengigheter utgjør kun en del av dette.

Testing og lansering

For enkelhet og brukervennlighet bruker vi semantisk versjonering, som indikerer hoved-, funksjons- og feilrettelsesutgivelser. Med omtrent 6.000 automatiserte enhets- og integrasjonstester kan vi endre koden vår ofte og lansere nye versjoner med høy kvalitet.

Håndtering av sårbarheter

Vår hardkokte runtime er bygget på Java Virtual Machine for høy ytelse og optimal sikkerhet. I tilfelle forekomst av sårbarheter, har vi standardprosedyrer for å varsle, rette og rulle ut fikser på en trygg og rettidig måte.

Egen medisin

Vi utvikler ikke bare programvare som brukes av andre, vi utvikler også våre egne tjenester og nettsider på samme plattform. Nye versjoner av vår plattform blir alltid driftsatt på våre egne servere før de leveres til kunder.

Hvordan du kan bidra til å beskytte dine data

Du bestemmer hvordan man behandler og får tilgang til dine data.

Pluggbar autentisering

Bruk pluggbar autentisering for å kontrollere tilgangen til dine instanser. Bruk våre standardintegrasjoner med OpenID Connect og andre populære identitetsleverandører og rammeverk, eller bygg din egen. Besøk vår app-butikk for flere detaljer.

Tillatelser og tilgangsstyring

Definer finjustert tilgangsstyring ved hjelp av roller, grupper og tillatelser, eller implementer egendefinerte sikkerhetsregler i dine applikasjoner etter ønske.

Automatisering

Vi støtter fullt ut moderne utviklingsmiljøer som kontinuerlige leveringspipeliner og automatisert testing – konfigurerbart for å møte dine krav.

Revisjoner

Vår standard revisjonslogg registrerer alle relevante endringer, og kan også brukes av dine egne applikasjoner om nødvendig. Abonnerende kunder har også rett til å revidere hele vårt selskap etter ønske.

Vårt løfte

Vi vil:

alltid overholde lover og forskrifter.
drive virksomhet på en etisk måte, og aldri akseptere eller betale bestikkelser for å oppnå våre mål.
kontinuerlig arbeide for å forbedre våre prosesser og prosedyrer.
gjøre forretninger med fokus på bærekraft.
ha klare mål og høye, men realistiske ambisjoner.
kontinuerlig arbeide for å avdekke risikoer og trusler mot vår virksomhet og data.
redusere kjente risikofaktorer, og eliminere dem som anses som høye.
gi våre ansatte verktøy og opplæring for å være effektive og kreative i sitt arbeid.
systematisk håndtere avvik for å forbedre kvaliteten på våre produkter og tjenester.
systematisk planlegge utvikling og forbedring av våre produkter og tjenester.
behandle informasjonen vi forvalter etisk, og i henhold til dens klassifisering.
overholde kontrollene og kravene til våre bedriftssertifiseringer.
kontinuerlig måle kundetilfredshet, og handle ut fra negativ tilbakemelding.
arbeide hardt for å overgå kundenes forventninger.