• Om selskapet
  • Kontakt
  • Karriere
  • MinIntility
  • Trust Center
  • Glemt passord?
  • English
  • Intility Trust Center

    En portal for informasjonssikkerhet og compliance

    Informasjonssikkerhet og compliance er en forutsetning for konkurransekraft og troverdighet i  markedet, og står svært sentralt i Intilitys plattformtjeneste. 

    Intility Trust Center inneholder beskrivelser av Intilitys sikkerhetsplattform og vårt arbeid med informasjonssikkerhet, personvern og compliance. Alle selskaper på Intility-plattformen kan benytte materialet i Intility Trust Center til å imøtekomme egne regulatoriske dokumentasjonskrav. Materialet kan også benyttes som grunnlag for gjennomføring av risikovurderinger og fungere som viktig underlagsdokumentasjon av selskapenes egne internkontrollsystemer.

    Dokumentasjon som omtales i Intility Trust Center er tilgjengelig i vårt Compliance Document Center. Ta kontakt med oss på compliance@intility.no dersom du har spørsmål om vårt arbeid med informasjonssikkerhet, personvern og compliance.

    Personvern og Informasjonssikkerhet

    Intility arbeider kontinuerlig med internkontroll og informasjonssikkerhet for å sikre personvernet til våre kunder. Dette omfatter blant annet risikovurderinger av våre systemer, evaluering av eksisterende kontrollaktiviteter, løpende kartlegging av behandlingsaktiviteter og oppfølging av underleverandører. Arbeidet er forankret gjennom bruk av anerkjente rammeverk for IT-styring og kontroll.

    For å kvalitetssikre internkontrollsystemet gjennomføres det løpende uavhengige revisjoner og sikkerhetstester av Intility-plattformen. Alle disse revisjonshandlingene sammenfattes i en årlig ISAE 3402 type II attestasjonsrapport.

    Personvern og Informasjonssikkerhet

    Sikkerhetstesting

    Intility-plattformen utsettes regelmessig for uavhengige sikkerhetstester. Testene gjennomføres av flere anerkjente sikkerhetsselskaper og supplerer vårt eget overvåkingsarbeid. Sikkerhetstestene leveres som en inkludert del av tjenesten og gjelder for alle kunder. Testene gjennomføres månedlig på tvers av plattformen.

    De uavhengige sikkerhetstestene setter vårt Security Operations Center (SOC) i stand til å løpende følge opp og lukke eventuelle sårbarheter som identifiseres. Resultatene av sikkerhetstestene dokumenteres, og inngår som en del av den årlige ISAE 3402 Type II attestasjonsrapporten.

    Alle kunder av Intility kan også gjennomføre egne sikkerhetstester av sitt miljø på Intility-plattformen ved behov.


    Sikkerhetstesting

    Disaster Recovery

    For å sikre best mulig tjenestetilgjengelighet er Intility-plattformen bygget opp med redundans både innad og på tvers av våre datasentre. Vi gjennomfører regelmessige tester for å sikre at denne redundansen fungerer. I tillegg utfører vi årlige disaster recovery-tester hvor vi simulerer ulike katastrofescenarier.

    Vi gjennomfører også årlige revisjoner av vår datasenterleverandør, for å sikre at kritiske komponenter som UPS, kjøling, strøm og brannvern vedlikeholdes og testes i samsvar med avtalte krav.

    Alle aktiviteter og øvelser som gjennomføres dokumenteres i den årlige ISAE 3402 type II attestasjonsrapporten.

    Disaster Recovery

    En komplett sikkerhetsplattform

    Vår omfattende sikkerhetsarkitektur beskytter alle kundemiljøene på Intility. Sikkerhetsteknologiene omfatter blant annet en next-generation firewall-tjeneste, URL filtrering, DDoS-beskyttelse, enterprise backup & recovery og bruk av verktøy for avansert operational intelligence. Intilitys datasentre er underlagt strenge sikkerhetskrav og er ISO-sertifiserte (ISO 27001, ISO 14001 og ISO 9001).

    Vi leverer også sikkerhetstjenesten Argus Managed Defence som en inkludert del av tjenesten. Argus Managed Defence fungerer som et ekstra forsvarsverk mot avanserte IT-sikkerhetstrusler gjennom 24/7-analyse og overvåkning av datatrafikk.

    Les mer om Argus her.

    En komplett sikkerhetsplattform

    Cloud Security Alliance - CSA

    Cloud Security Alliance er verdens ledende interesseorganisasjon for sikkerhet i skyen. Intility var det første norske fullverdige bedriftsmedlemet i alliansen. Alliansen arbeider med å definere beste praksis for skysikkerhet, og gjør potensielle kunder i stand til å ta informerte beslutninger før tjenesteutsetting av skybaserte IT-tjenester.

    Øvrige medlemmer i Cloud Security Alliance består både av kommersielle aktører som Microsoft, Google, Hewlett Packard Enterprise, Cisco, IBM Security, Amazon Web Services, Intel Security og Dropbox, samt revisjon- og sikkerhetsaktører som ISACA, (ISC)², Schellman, PwC, Deloitte, KPMG, og Ernst &Young.

    Cloud Controls Matrix (CCM) er et omfattende kontrollrammeverk utviklet av alliansen. Rammeverket beskriver kontrollmål og sikkerhetsanbefalinger innenfor 16 ulike domener. Rammeverket er mappet opp mot en rekke andre anerkjente sikkerhetsrammeverk som f. eks. COBIT, PCI-DSS, ISO 27001, og er et nyttig verktøy som gir transparens og innsyn i hvordan tjenestetilbydere ivaretar spesifikke områder knyttet til informasjonssikkerhet.

    Intility har dokumentert samtlige kontrollspørsmål knyttet opp mot de 16 ulike domenene i Cloud Controls Matrix.

    Cloud Security Alliance - CSA

    ISAE 3402 Type II attestasjonsrapport

    ISAE 3402 type II er en internasjonalt anerkjent revisjonsstandard som regulerer hvordan en uavhengig revisor skal teste en tjenestetilbyders interne kontroller for å kunne uttale seg om disse er hensiktsmessige og fungerer over tid (et helt år).

    Intilitys ISAE 3402 type II rapport beskriver hvordan informasjonssikkerheten ivaretas på Intility-plattformen. I rapporten gir vår revisor (PwC) en uavhengig uttalelse om våre kontroller som ivaretar informasjonssikkerheten er hensiktsmessige og har fungert gjennom hele året. Eventuelle avvik og svakheter som identifiseres blir detaljert beskrevet.

    Rapporten gir direkte revisjonsstøtte til våre kunder og deres revisorer, blant annet i forbindelse med regnskapsrevisjoner. Rapporten understøtter også andre typer revisjonsbehov hvor en uttalelse om Intilitys informasjonssikkerhetskontroller er nødvendig (f.eks. GDPR, IKT-forskriften, internrevisjoner). 

    Gjennom utarbeidelsen av rapporten reviderer PwC Intilitys kontrollaktiviteter knyttet til:

    - Information Security Governance

    - Risk Management

    - Cyber Security and Vulnerability Management

    - Security Incident Monitoring and Response

    - Access Management

    - Device Security

    - Data Center Security

    - Backup and Disaster Recovery

    - Change Management

    ISAE 3402 Type II attestasjonsrapport

    Dokumentsenter

    I vårt Compliance Document Center finner du dokumenter som inneholder mer detaljerte beskrivelser av Intilitys arbeid med informasjonssikkerhet. Her ligger materiale som styrende policier, revisjonsrapporter, sertifiseringer, beskrivelser av våre datasentre, Q&A om informasjonssikkerhet med mer.

    Våre kunder kan benytte materialet til å dokumentere eget arbeid med informasjonssikkerhet, for eksempel gjennomføring av lovpålagte risikovurderinger.

    Dersom du ønsker tilgang til dokumentasjon som ikke er fritt tilgjengelig i dokumentsenteret eller har andre spørsmål, ta kontakt med oss på compliance@intility.no

    Image result for cloud security alliance

    Dokumentsenter