Intility Trust Center

Intility Trust Center inneholder beskrivelser av Intilitys sikkerhetsplattform og vårt arbeid med informasjonssikkerhet, personvern og compliance. Alle selskaper på Intility-plattformen kan benytte materialet i Intility Trust Center til å imøtekomme egne regulatoriske dokumentasjonskrav. Materialet kan også benyttes som grunnlag for gjennomføring av risikovurderinger og fungere som viktig underlagsdokumentasjon av selskapenes egne internkontrollsystemer. Intilitys revisjonsrapporter og annen relevant dokumentasjon kan lastes ned her: Compliance Document Center.

Ta kontakt med oss på compliance@intility.no dersom du har spørsmål om vårt arbeid med informasjonssikkerhet, personvern og compliance.

Personvern og informasjonssikkerhet

Intility arbeider kontinuerlig med internkontroll og informasjonssikkerhet for å sikre personvernet til våre kunder. Dette omfatter blant annet risikovurderinger av våre systemer, evaluering av eksisterende kontrollaktiviteter, løpende kartlegging av behandlingsaktiviteter og oppfølging av underleverandører. Arbeidet er forankret gjennom bruk av anerkjente rammeverk for IT-styring og kontroll.

For å kvalitetssikre internkontrollsystemet gjennomføres det løpende uavhengige revisjoner og sikkerhetstester av Intility-plattformen. Alle disse revisjonshandlingene sammenfattes i en årlig ISAE 3402 type II attestasjonsrapport.

Sikkerhetstesting

Intility-plattformen utsettes regelmessig for uavhengige sikkerhetstester. Testene gjennomføres av flere anerkjente sikkerhetsselskaper og supplerer vårt eget overvåkingsarbeid. Sikkerhetstestene leveres som en inkludert del av tjenesten og gjelder for alle kunder. Testene gjennomføres månedlig på tvers av plattformen.

De uavhengige sikkerhetstestene setter vårt Security Operations Center (SOC) i stand til å løpende følge opp og lukke eventuelle sårbarheter som identifiseres. Resultatene av sikkerhetstestene dokumenteres, og inngår som en del av den årlige ISAE 3402 Type II attestasjonsrapporten.

Alle kunder av Intility kan også gjennomføre egne sikkerhetstester av sitt miljø på Intility-plattformen ved behov.

Disaster Recovery

For å sikre best mulig tjenestetilgjengelighet er Intility-plattformen bygget opp med redundans både innad og på tvers av våre datasentre. Vi gjennomfører regelmessige tester for å sikre at denne redundansen fungerer. I tillegg utfører vi årlige disaster recovery-tester hvor vi simulerer ulike katastrofescenarier.

Vi gjennomfører også årlige revisjoner av vår datasenterleverandør, for å sikre at kritiske komponenter som UPS, kjøling, strøm og brannvern vedlikeholdes og testes i samsvar med avtalte krav.

Alle aktiviteter og øvelser som gjennomføres dokumenteres i den årlige ISAE 3402 type II attestasjonsrapporten.

Cloud Security Alliance - CSA

Cloud Security Alliance er verdens ledende interesseorganisasjon for sikkerhet i skyen. Intility var det første norske fullverdige bedriftsmedlemet i alliansen. Alliansen arbeider med å definere beste praksis for skysikkerhet, og gjør potensielle kunder i stand til å ta informerte beslutninger før tjenesteutsetting av skybaserte IT-tjenester.

Øvrige medlemmer i Cloud Security Alliance består både av kommersielle aktører som Microsoft, Google, Hewlett Packard Enterprise, Cisco, IBM Security, Amazon Web Services, Intel Security og Dropbox, samt revisjon- og sikkerhetsaktører som ISACA, (ISC)², Schellman, PwC, Deloitte, KPMG, og Ernst &Young.

Cloud Controls Matrix (CCM) er et omfattende kontrollrammeverk utviklet av alliansen. Rammeverket beskriver kontrollmål og sikkerhetsanbefalinger innenfor 16 ulike domener. Rammeverket er mappet opp mot en rekke andre anerkjente sikkerhetsrammeverk som f. eks. COBIT, PCI-DSS, ISO 27001, og er et nyttig verktøy som gir transparens og innsyn i hvordan tjenestetilbydere ivaretar spesifikke områder knyttet til informasjonssikkerhet.

Intility har dokumentert samtlige kontrollspørsmål knyttet opp mot de 16 ulike domenene i Cloud Controls Matrix.

ISAE 3402 Type II attestasjonsrapport

ISAE 3402 type II er en internasjonalt anerkjent revisjonsstandard som regulerer hvordan en uavhengig revisor skal revidere en tjenestetilbyders interne kontroller for å kunne uttale seg om disse er hensiktsmessige og fungerer over tid (et helt år). Intilitys ISAE 3402 type II rapport beskriver hvordan informasjonssikkerheten ivaretas på Intility-plattformen. I rapporten gir PwC en uavhengig uttalelse om våre informasjonssikkerhetskontroller er hensiktsmessige og har fungert ett hensikten gjennom et helt år. Eventuelle avvik og svakheter som identifiseres beskrives i detalj. Rapporten gir direkte revisjonsstøtte til våre kunder og deres revisorer, blant annet i forbindelse med regnskapsrevisjoner, GDPR, IKT-forskriften, internrevisjoner og andre typer revisjoner hvor man har behov for sikkerhet for at informasjonssikkerhet ivaretas på en betryggende måte. I rapporten reviderer PwC Intilitys kontroller knyttet til:

  • Governance and risk management

  • Independent audit assurance

  • Security monitoring and incident response
  • Vulnerability management

  • Identity and access management

  • Identity and access management (Microsoft Cloud Services)
  • Endpoint security (Windows and MacOS)

  • Endpoint Security iOS and Android)

  • Business continuity and operational resilience
  • Data center security (access management)

  • Data center security (HVAC and power management)

  • Change Control and configuration management

Compliance Document Center

I vårt Compliance Document Center finner du dokumenter som inneholder mer detaljerte beskrivelser av Intilitys arbeid med informasjonssikkerhet. Her ligger materiale som styrende policier, revisjonsrapporter, sertifiseringer, beskrivelser av våre datasentre, Q&A om informasjonssikkerhet med mer.

Våre kunder kan benytte materialet til å dokumentere eget arbeid med informasjonssikkerhet, for eksempel gjennomføring av lovpålagte risikovurderinger.

Dersom du ønsker tilgang til dokumentasjon som ikke er fritt tilgjengelig i dokumentsenteret eller har andre spørsmål, ta kontakt med oss på compliance@intility.no