Intility Trust Center

En portal for informasjonssikkerhet og compliance

Informasjonssikkerhet og compliance er en forutsetning for konkurransekraft og troverdighet i  markedet, og står svært sentralt i Intilitys plattformtjeneste. 

Intility Trust Center inneholder beskrivelser av Intilitys sikkerhetsplattform og vårt arbeid med informasjonssikkerhet, personvern og compliance. Alle selskaper på Intility-plattformen kan benytte materialet i Intility Trust Center til å imøtekomme egne regulatoriske dokumentasjonskrav. Materialet kan også benyttes som grunnlag for gjennomføring av risikovurderinger og fungere som viktig underlagsdokumentasjon av selskapenes egne internkontrollsystemer.

Intilitys revisjonsrapporter og annen relevant dokumentasjon kan lastes ned her: Compliance Document Center.

Ta kontakt med oss på compliance@intility.no dersom du har spørsmål om vårt arbeid med informasjonssikkerhet, personvern og compliance.

Personvern og informasjonssikkerhet

Intility arbeider kontinuerlig med internkontroll og informasjonssikkerhet for å sikre personvernet til våre kunder. Dette omfatter blant annet risikovurderinger av våre systemer, evaluering av eksisterende kontrollaktiviteter, løpende kartlegging av behandlingsaktiviteter og oppfølging av underleverandører. Arbeidet er forankret gjennom bruk av anerkjente rammeverk for IT-styring og kontroll.

For å kvalitetssikre internkontrollsystemet gjennomføres det løpende uavhengige revisjoner og sikkerhetstester av Intility-plattformen. Alle disse revisjonshandlingene sammenfattes i to årlige ISAE attestasjonsrapporter: ISAE 3402 type II og ISAE 3000 type II.

Sikkerhetstesting

Intility-plattformen utsettes regelmessig for uavhengige  sikkerhetstester. Testene gjennomføres av flere anerkjente sikkerhetsselskaper  og supplerer vårt eget overvåkingsarbeid. Sikkerhetstestene leveres som en  inkludert del av tjenesten og gjelder for alle kunder. Testene gjennomføres løpende  på tvers av plattformen.

De uavhengige sikkerhetstestene setter vårt Security  Operations Center (SOC) i stand til å løpende følge opp og lukke eventuelle  sårbarheter som identifiseres. Resultatene av sikkerhetstestene dokumenteres, og  inngår som en del av den årlige ISAE 3402 Type II attestasjonsrapporten.

Alle kunder av Intility kan også gjennomføre egne  sikkerhetstester av sitt eget miljø på Intility-plattformen ved behov.

Disaster Recovery

For å sikre best mulig tjenestetilgjengelighet er Intility-plattformen bygget opp med redundans både innad og på tvers av våre datasentre. Vi gjennomfører regelmessige tester for å sikre at denne redundansen fungerer. I tillegg gjennomfører vi årlige disaster recovery-tester hvor vi simulerer ulike katastrofescenarier.

Vi utfører også årlige revisjoner av vår datasenterleverandør, for å sikre at kritiske komponenter som UPS, kjøling, strøm og brannvern vedlikeholdes og testes i samsvar med avtalte krav.

Alle aktiviteter og øvelser som gjennomføres dokumenteres i den årlige ISAE 3402 type II rapporten.

Cloud Security Alliance - CSA

Cloud Security Alliance er verdens ledende interesseorganisasjon for sikkerhet i skyen. Intility var det første norske fullverdige bedriftsmedlemet i alliansen. Alliansen arbeider med å definere beste praksis for skysikkerhet, og gjør potensielle kunder i stand til å ta informerte beslutninger før tjenesteutsetting av skybaserte IT-tjenester.

Øvrige medlemmer i Cloud Security Alliance består både av kommersielle aktører som Microsoft, Google, Hewlett Packard Enterprise, Cisco, IBM Security, Amazon Web Services, Intel Security og Dropbox, samt revisjon- og sikkerhetsaktører som ISACA, (ISC)², Schellman, PwC, Deloitte, KPMG, og Ernst &Young.

Cloud Controls Matrix (CCM) er et omfattende kontrollrammeverk utviklet av alliansen. Rammeverket beskriver kontrollmål og sikkerhetsanbefalinger innenfor 16 ulike domener. Rammeverket er mappet opp mot en rekke andre anerkjente sikkerhetsrammeverk som f. eks. COBIT, PCI-DSS, ISO 27001, og er et nyttig verktøy som gir transparens og innsyn i hvordan tjenestetilbydere ivaretar spesifikke områder knyttet til informasjonssikkerhet.

Intility har dokumentert samtlige kontrollspørsmål knyttet opp mot de 16 ulike domenene i Cloud Controls Matrix.

Intilitys attestasjonsrapporter

ISAE (International Standards for Assurance Engagements) er en internasjonalt anerkjent revisjonsstandard som regulerer hvordan en uavhengig revisor skal revidere en tjenestetilbyders interne kontroller for å kunne uttale seg om disse er hensiktsmessige og fungerer over tid (et helt år).

Intilitys ISAE-revisjonsrapporter utstedes hvert år for å gi alle selskaper på Intility og deres revisorer løpende revisjonssikkerhet for informasjonssikkerheten og personvernet i våre tjenesteleveranser.

Intilitys ISAE 3402 type II rapport beskriver hvordan informasjonssikkerheten ivaretas på Intility-plattformen. I rapporten gir PwC en uavhengig uttalelse om våre informasjonssikkerhetskontroller er hensiktsmessige og har fungert ett hensikten gjennom et helt år. Eventuelle avvik og svakheter som identifiseres beskrives i detalj.

Intilitys ISAE 3000 type II rapport uttaler seg om Intilitys kontroller og aktiviteter knyttet til vår rolle som databehandler etter artikkel 28 i GDPR. Kontrollene i rapporten er bygget rundt rammeverkene NOREA Privacy Control Framework (PCF) og Cloud Security Alliance Code of Conduct for GDPR Compliance.

I ISAE 3402 type II-rapporten reviderer PwC Intilitys kontroller knyttet til:

  • Security governance and risk management
  • Independent audit assurance
  • Security monitoring and incident response
  • Vulnerability management
  • Identity and access management (Intility and Microsoft cloud services)
  • Endpoint security (Windows, MacOS, iOS and Android)
  • Business continuity and operational resilience (Intility and Microsoft cloud services)
  • Data center security (access management, HVAC and power management)
  • Change control and configuration management 

I ISAE 3000 type II-rapporten reviderer PwC Intilitys kontroller knyttet til:

  • Privacy management
  • Privacy roles and responsibilities
  • Privacy risk management
  • Privacy incident and breach management
  • Privacy staff competences
  • Privacy staff awareness and training
  • Legal review of changes to regulatory requirements/business requirements
  • Use, storage and disposal of personal information
  • Third party agreements and data transfers
  • Disclosure
  • Monitoring and enforcement
  • Data security

Compliance Document Center

I vårt Compliance Document Center finner du dokumenter som inneholder mer detaljerte beskrivelser av Intilitys arbeid med informasjonssikkerhet. Her ligger materiale som styrende policier, revisjonsrapporter, sertifiseringer, beskrivelser av våre datasentre, Q&A om informasjonssikkerhet med mer.

Våre kunder kan benytte materialet til å dokumentere eget arbeid med informasjonssikkerhet, for eksempel gjennomføring av lovpålagte risikovurderinger.

Dersom du ønsker tilgang til dokumentasjon som ikke er fritt tilgjengelig i dokumentsenteret eller har andre spørsmål, ta kontakt med oss på compliance@intility.no