Vores egenudviklet platform er baseret på Laravel. Laravel er et bredt benyttet open-source PHP baseret web framework. Laravel er robust og ekstremt effektiv til at udvikle skræddersyet software og webapplikationer til primært store virksomheder. Frameworket er bygget op omkring en MVC-arkitektur (Model-View-Controller), hvilket giver os mulighed for at bygge, og vedligeholde, avancerede app funktioner ud fra en stringent struktur.
Laravel kommer med en masse funktioner herunder avanceret brugergodkendelse, adgangskodelagring(hash’ed), datakryptering, CSRF vha. token’s samt beskyttelse mod Cross Site Scripting. Alt sammen teknologier som fremmer framework databeskyttelse, sikkerhed og privatliv.
Det relative store udvikler-community betyder at eventuelle sikkerhedsbrister løbende bliver identificeret og taget hånd om og patch’ed.
I forlængelse af vores dedikation til Laravel, benytter vi Laravel Forge som Server Management Tool – både i udvikling og til deploy.
Kodebase
Som SCM har vi valgt at benytte Bitbucket (GIT Repo), der i kombination med Jira (backlog) sikrer en stabil CI/CD-proces med fokus på sikkerhed. Begge er en del af Atlassian produktpakke.
Alt udviklet kode bliver gennemgået af vores Source Code Analysis Tool og i forbindelse med deploy, foretages CWE-test af koden på vores test-servere.
Data
Alt data krypteres, både i transit - ved hjælp af TLS 1.2 over HTTPS - og i REST vha. AES 256 bit kryptering. Sensitive data, som gemmes på lokale enheder med henblik på lokal bearbejdning, anonymiseres og krypteres ved hjælp af XTS-AES 256 bit kryptering.
Ved fremsendelse af sensitive data til brugere benyttes eSignatur. Brugerverificering håndteres ved hjælp af relevant eID, herunder MitID, NemID.
For yderligere information, henviser vi til vores standart databehandleraftale Bilag B.1
Monitorering og Logning
Vi monitorerer løbende hændelser af forskellig art og gemmer disse i vores log management. Her kan der være tale om alle mange typer af hændelser herunder hændelser i relation til brugere, sikkerhed, servere og applikation. Derudover kan der være tale om ”event & performance” logning, som ofte bliver brugt af vores udviklingsteam til at få større indsigt i specifikke hændelser og konsekvenser deraf.
I forlængelse af vores logning benytter vi, som en udvidet sikkerhedsforanstaltning, Security Information and Event Management (SIEM) system. Vores SIEM hjælper os 24/7 med at registrere trusler, før de rammer os og sikre, at vi løbende kan overvåge og beskytte både data og infrastruktur.
Til trods for at vores logning er født ud af et operationelt og sikkerhedsmæssigt behov, er compliance et vigtigt ben i vores logindsamlingspolitik. Skal specifikke logmeddelelser, der indeholder visse personligt identificerbare oplysninger, opbevares i kortere tid, skal de slettes, eller skal nogle af deres felter skal krypteres – og hvor lang tid må vi gemme dem. Alle vores logninger foretages centralt.
Medarbejderbetjening
Et ofte overset sikkerhedsaspekt er det menneskelige aspekt. Vi arbejder løbende med at sikre os, at medarbejderne er godt informeret om virksomhedens sikkerhedsprocedurer og hvorledes de skal reagere i tilfælde af et sikkerhedsbrud.
I henhold til gældende GDPR-lovgivning er vi forpligtet, som organisationen, til at sikre os at vores medarbejdere kun behandler personoplysninger under instruks.
Derfor underviser vi løbende vores medarbejdere i databeskyttelse, databeskyttelsespraksis og håndtering af personoplysninger alt imens vi sikrer os at adgang til, og betjening af, sensitive data er begrænset ud fra jobfunktion.
Undervisning af medarbejdere omkring GDPR, og overholdelse af betjeninginstrukser er dermed et vigtigt element i beskyttelsen af virksomhedens og kundernes personoplysninger mod uautoriseret adgang og brug.
Al medarbejder-adgang til sensitivt data er individuelt defineret ud fra jobfunktion. Lifeguard-platformen understøtter dette ved hjælp af individuelle brugerrettigheder.
En rejse mod ”Secure by default”
”Secure by default” er et udtryk, der oftest bruges til at definere de tilgange og teknologier som garanterer den højeste grad af sikkerhed. Men når det kommer til udvikling af digitale produkter, bliver sikkerheden ofte afvejet ift. et rimelighedskrav.
Dette kan omfatte afvejninger på tværs af:
- Brugervenlighed
Sikkerhedsindstillinger kan komme i vejen for brugerens ønske eller evne til at benytte produktet. - Risiko
Høj krav til sikkerhed kan blokere for løsninger som skaber værdi for brugeren. - Teknik
Sikkerheden bliver kompromitteret af interaktion med, eller krav til understøttelse af, forældet udstyr herunder ældre browsere m.m. - Økonomi
Sikkerhed kommer med en pris.
Hos Lifeguard forsøger vi løbende at afveje de valg vi tager ud fra ovenstående hensyn.
Vi arbejder ud fra en holistisk tilgang, hvor vi forsøger at løser sikkerhedsproblemer, hvor de opstår frem for at behandle konsekvenserne hvor de manifestere sig. Sikkerhed hos Lifeguard starter derfor med standardiserede operationsprocedure, undervisning og screening.