Dataskydd mot datatrygghet
På Bokio har vi två viktiga uppgifter som ibland blandas ihop. Det är dels att skydda din data mot att andra får tag på denna (dataskydd) och dels är det att se till att du kan lita på att din data finns kvar (datatrygghet).
Det är viktigt att förstå att dessa två ibland krockar. Till exempel skulle vi enkelt kunna lösa dataskyddet genom att radera all data vi har. Detta är ett extremexempel men vi ställs för många liknande, dock mindre uppenbara val. Vi kommer ALLTID att prioritera datatrygghet eftersom att det är så allvarligt att bli av med sin bokföringsdata.
Hur vi jobbar med datatrygghet
Tekniskt skiljer det lite beroende på vilken data vi pratar om. För majoriteten av vår data så har vi 3 lager av backuper. Dels en 90 dagars point in time restore. Sedan en long-term backup som sträcker sig en hel redovisningscykel. Och till sist har vi en lite 30 dagars backup som vi flyttar över till en annan tjänst.
Viss data, t.ex bilder och filer, lagras annorlunda och där skiljer sig backup lösningen. Där skyddas data genom att vi har möjlighet att återställa data en viss tid efter radering. Det finns också en long-term backup.
All data och backuper ligger också replikerade över flera servrar och datacenter.
En annan viktig del i detta är att vi ser till enbart viss personal har tillgång att administrera dessa tjänster plus att ingen inloggning har tillgång till alla backuper. Vi använder också multifaktor-autentisering och övervakning för dessa inloggningar.’
Hur vi jobbar med dataskydd
All data vi har är krypterad både vid överföring (SSL) och vid lagring. Det är även inställt så att du som användare måste använda SSL för att använda tjänsten.
Vår interna processor innehåller flera delar som syftar till att skydda din data:
- Så få personer som möjligt har tillgång till databaser och dessa personer får särskilda instruktioner kring hur de säkrar sina konton och hur de ska öka säkerheten.
- Vi skyddar våra konton med flera extra säkerhetslager utöver användarnamn/lösenord.
- Ny kod måste granskas innan den kan skickas ut i produktion
- Vi utbildar våra anställda internt i att förstå vikten av datasäkerhet och integritet och vad de får göra.
- Speciellt utbildar vi våra utvecklare i att veta när en DPIA (Data protection impact assessment) behöver göras.
- Vi arbetar löpande med att säkerställa att både vi och våra underleverantörer uppfyller GDPR.