Dina rättigheter.

Findity värnar om din integritet och dina åsikter. På den här sidan finns information om hur vi behandlar dina personuppgifter och hur vi samlar in cookies. Här finns även information om hur Finditys arbete med informationssäkerhet ser ut samt hur du lämnar ett klagomål till oss.

Findity Cookie Policy

Introduktion

Denna cookiepolicy förklarar hur Findity och dess dotterbolag (kollektivt "Findity", "vi", "oss" och "vår") använder cookies och relaterad teknik för att känna igen dig när du besöker våra webbplatser, inklusive men inte begränsat till www.findity.com och relaterade webbadresser, mobilversioner eller lokaliserade versioner och relaterade domäner/underdomäner ("webbplatser"). Här beskrivs vilken teknik som används, varför vi använder den och hur du kan hantera och kontrollera den.

Cookies i vår tjänst

Vår tjänst som tillhandahålls via vår plattform Companyexpense använder endast nödvändiga cookies.

Cookies och relaterad teknik och behandling av personuppgifter

Vi kan behandla personuppgifter om dig när vi använder cookies eller relaterad teknik, t.ex. din IP-adress, ditt användarnamn, en unik identifierare eller en e-postadress. När vi gör det kommer vi endast att behandla dina personuppgifter i enlighet med vår integritetspolicy. Du kan läsa om hur och varför vi samlar in dina personuppgifter, vem vi kan dela dina personuppgifter med och hur du kan utöva dina rättigheter enligt tillämplig dataskyddslagstiftning https://companyexpense.se/integritet-sakerhet/.

Vad är Cookies?

En cookie är en liten bit data som placeras i webbläsaren på din dator eller mobila enhet när du besöker en webbplats och använder dess funktioner eller använder en app. Cookies används vanligen av leverantörer av onlinetjänster för att underlätta och hjälpa interaktionen med användarna att bli enkel och snabb (genom att hjälpa oss att skilja dig från andra användare och göra det möjligt för oss att hämta saker som dina inställningar och preferenser), samt för att tillhandahålla rapporteringsinformation och underlätta annonsering på nätet.

Cookies som Findity sätter in på webbplatserna kallas "förstapartscookies". Cookies på webbplatserna som sätts av andra parter än Findity kallas "tredjepartscookies". Cookies från tredje part gör det möjligt att tillhandahålla funktioner från tredje part på eller via webbplatserna (t.ex. reklam, interaktivt innehåll och analys).

Varför använder vi cookies?

Vi använder cookies från första part och/eller tredje part på våra webbplatser i olika syften, t.ex:

  • för att underlätta driften och funktionaliteten av våra webbplatser;
  • för att förbättra upplevelsen av våra webbplatser och göra navigering snabbare och enklare;
  • för att vi ska kunna skapa en skräddarsydd användarupplevelse för dig och för att vi ska kunna förstå vad som är användbart och intressant för dig;
  • för att analysera hur våra webbplatser används och hur vi bäst kan anpassa och förbättra dem;
  • identifiera potentiella kunder och anpassa våra marknadsförings- och försäljningsaktiviteter;
  • för att underlätta skräddarsydda annonser på nätet efter dina intressen.

Vilken typ av cookies använder vi och vad används de till?

Vi använder följande typer av cookies på våra webbplatser:

Viktiga Cookies

Vi använder viktiga cookies för att våra webbplatser ska fungera. Dessa cookies är absolut nödvändiga för att möjliggöra centrala funktioner som säkerhet, nätverkshantering, dina cookie preferenser och tillgänglighet. Utan dem skulle du inte kunna använda grundläggande tjänster. Du kan inaktivera dessa genom att ändra inställningarna i din webbläsare, men detta kan påverka hur webbplatserna fungerar.

Prestanda- och funktionscookies

Dessa cookies används för att förbättra prestandan och funktionaliteten på våra webbplatser, men är inte nödvändiga för användningen av dem. Utan dessa cookies kan dock vissa funktioner bli otillgängliga, till exempel att du måste ange dina inloggningsuppgifter varje gång du besöker tjänsten eftersom vi inte skulle kunna komma ihåg att du har loggat in tidigare.

Marknadsföringcookies

Dessa kontobaserade marknadsföringscookies gör det möjligt för oss att identifiera framtida kunder och kunna anpassa våra försäljnings- och marknadsföringsaktiviteter.

Cookies för analys och anpassning

Dessa cookies samlar in information som används för att hjälpa oss att förstå hur våra webbplatser används eller hur effektiva våra marknadsföringskampanjer är, eller för att hjälpa oss att anpassa våra webbplatser för dig. Vi använder cookies från Google Analytics för att samla in begränsade uppgifter direkt från slutanvändarens webbläsare så att vi bättre kan förstå hur du använder våra webbplatser. Mer information om hur Google samlar in och använder dessa uppgifter finns på Google Analytics och du kan se deras villkor här. Du kan välja bort all Google-stödd analys på våra webbplatser genom att besöka: https://tools.google.com/dlpage/gaoptout

Reklamcookies

Dessa cookies samlar in information över tid om din onlineaktivitet på webbplatserna och andra onlinetjänster för att göra annonser online mer relevanta för dig. Detta kallas intressebaserad reklam. De utför också funktioner som att förhindra att samma annons ständigt dyker upp igen och att se till att annonser visas korrekt för annonsörer.

Cookies är inte det enda sättet att känna igen eller spåra besökare. Vi kan använda andra liknande tekniker från tid till annan, som webbfyrar (ibland kallade "spårningspixlar" eller "clear gifs"). Deras funktion är att förse oss med statistisk information om trafiken på webbplatsen och hur människor navigerar på vår webbplats, samt att underlätta marknadsföring och intressebaserad reklam. Webbfyrar är vanligtvis genomskinliga grafiska bilder som placeras på en webbplats. Webbfyrar används i kombination med cookies för att mäta besökarnas agerande på webbplatser, och om man avböjer cookies kommer detta att försämra deras funktion. Vi och våra marknadsförings- och annonspartners kan använda webbfyrar för att få information som URL:en för den sida där fyren visas, tiden då sidan med fyren visades och vilken typ av webbläsare som användes för att visa sidan.

Vi kan också använda webbfyrar i marknadsföringsmeddelanden som skickas av vårt system. Om du får en HTML-formaterad version av sådana e-postmeddelanden och ditt epostmeddelande är konfigurerat för att ladda ner bilder, kommer ett register över om du öppnar e-postmeddelandet eller inte (och, om du öppnar e-postmeddelandet, hur ofta du öppnar det) att sparas i din prenumerationshistorik. Ditt engagemang i innehållet i meddelandet (t.ex. vilka länkar du klickar på) kommer också att registreras. Vi använder också caching och lokal lagring i din webbläsare för att lagra anpassningsinställningar, t.ex. ditt språk och vilka flikar du senast tittade på i vår produkt. Detta gör det möjligt för oss att förbättra din upplevelse och återuppta sessioner där du slutade.

Vi kan använda denna information för att få en indikation på innehållets popularitet och för att hjälpa oss att fatta beslut om framtida innehåll och formatering. Vi kan också använda informationen för att publicera mer innehåll som är relevant för användarna i framtida utgåvor och för att avregistrera mottagare som inte har öppnat våra e-postmeddelanden under en viss tid.

Cookies från tredje part

Vissa cookies som har satts in på våra webbplatser har inte satts in av Intercom som första part. Dessa tredjepartstjänsteleverantörer kan ställa in sina egna cookies i din webbläsare. Tredjepartstjänsteleverantörer kontrollerar många av de prestanda- och funktionalitets-, marknadsförings- och analyscookies som beskrivs ovan. Vi kontrollerar inte användningen av dessa tredjepartscookies eftersom cookies endast kan nås av den tredje part som ursprungligen ställde in dem.

Cookie förteckning

Här är en lista över de cookies vi använder på vår webbplats och varför.

Kontroll av cookies och liknande teknik - användare i EU

Du kan när som helst ställa in och ändra dina inställningar genom att gå in på vår cookiehantering på vår webbplats.

Blockera och inaktivera cookies och liknande teknik

Oavsett var du befinner dig kan du också ställa in din webbläsare så att den blockerar cookies och liknande teknik, men detta kan blockera våra viktiga cookies och hindra vår webbplats från att fungera korrekt, och du kanske inte kan utnyttja alla dess funktioner och tjänster fullt ut. Du bör också vara medveten om att du också kan förlora viss sparad information (t.ex. sparade inloggningsuppgifter, webbplatspreferenser) om du blockerar cookies i din webbläsare.Olika webbläsare ger dig olika kontrollmöjligheter. Om du inaktiverar en cookie eller en kategori av cookies raderas inte cookien från din webbläsare, utan du måste göra detta själv i din webbläsare.

Uppdateringar av denna cookiepolicy

Vi kan komma att uppdatera denna cookiepolicy från tid till annan för att till exempel återspegla ändringar i de cookies vi använder eller av andra operativa, juridiska eller regulatoriska skäl. Besök därför denna cookiepolicy regelbundet för att hålla dig informerad om vår användning av cookies och relaterad teknik. Datumet högst upp i denna cookiepolicy anger när den senast uppdaterades.

Om du behöver mer information

Om du har några frågor om vår användning av cookies eller annan teknik kan du skicka ett e-postmeddelande till oss på legal@findity.com

Cookie Declaration

Integritetspolicy

Introduktion

Denna integritetspolicy ("Policy") är ett informationsdokument om den behandling av personuppgifter som sker inom ramen för Finditys (nedan "vi", "oss") kontoinformationstjänst respektive programvaran Companyexpense. Policyn är uppdelad i olika avsnitt beroende på om vi agerar som personuppgiftsansvarig eller personuppgiftsbiträde.

Oavsett vilken roll vi spelar eller vilken produkt vi använder när vi behandlar dina personuppgifter är din integritet viktig för oss. Om dina personuppgifter behandlas av oss ska du kunna lita på att vi hanterar dem på ett säkert sätt och med en hög skyddsnivå. Du ska också kunna känna dig säker på att vi har gjort vårt yttersta för att se till att inga utomstående kan få tillgång till dina uppgifter och att du vet vilka uppgifter om dig som vi behandlar. Vi säkerställer att personuppgifter behandlas i enlighet med den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR") och den svenska dataskyddslagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och Datainspektionens föreskrifter och allmänna råd samt annan tillämplig lagstiftning som rör produkterna ("Tillämplig dataskyddslagstiftning").

När vi behandlar dina personuppgifter har vi alltid ett legitimt syfte som grundar sig på en rättslig grund för varför vi behandlar dina personuppgifter. Vi ser till att vi endast behandlar personuppgifter som är berättigade i förhållande till de syften för vilka vi behandlar personuppgifterna. Vår ambition är att de personuppgifter som vi behandlar om dig ska vara korrekta, vilket innebär att vi kan behöva radera uppgifterna om de visar sig vara felaktiga. Dina personuppgifter lagras inte längre än nödvändigt, vilket innebär att vi raderar dem om vi inte längre har en rättslig grund och ett legitimt syfte för att behandla dem.

Vad är personuppgifter?

Personuppgifter är information om en identifierad eller identifierbar fysisk person. Med ”identifierbar fysisk person” avses en person som direkt eller indirekt kan identifieras specifikt genom hänvisning till en identifierare, t.ex. namn, identifikationsnummer, platsinformation, online-identifierare eller andra faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten.

Vad betyder personuppgiftsbehandling?

Med behandling av personuppgifter avses en åtgärd eller en kombination av åtgärder med anknytning till personuppgifter - oavsett om den sker automatiskt eller inte - såsom insamling, registrering, organisering, strukturering, lagring, behandling eller ändring, produktion, läsning, användning, leverans genom överföring, spridning eller annat tillhandahållande, justering eller sammanslagning, begränsning, radering eller förstöring.

Behandling av personuppgifter i rollen som personuppgiftsansvarig

Findity AB, org.nr. 556838-8200, Box 108, 771 23 Ludvika, Sweden, (“Findity”) är personuppgiftsansvarig för de personuppgifter som behandlas för användare av kontoinformationstjänsten samt för behandlingen av personuppgifter enligt nedan för kontaktpersoner för kunder/partners som använder programvaran Companyexpense. Kontoinformationstjänsten, Companyexpense, kallas nedan för (”produkterna”). Findity är personuppgiftsansvarig när vi bestämmer syftet och sättet för hur personuppgifterna ska behandlas.

Varför behandlar vi personuppgifter och vilken typ av personuppgifter behandlas?

Kundavtal

För att vi ska kunna hantera kundrelationer i samband med produkterna måste vi behandla personuppgifter om våra kunders och partners kontaktpersoner samt personuppgifter om användare av vår produkt där vi är personuppgiftsansvariga. De insamlade personuppgifterna omfattar i första hand namn, telefonnummer, företagsnamn, titel och epostadress. Behandlingen sker med stöd av att behandlingen är nödvändig för att fullgöra avtal med kunden och för att fullgöra en rättslig förpliktelse eller för att vi har ett legitimt intresse av att behandla personuppgifterna. En närmare beskrivning av vilka personuppgifter vi behandlar inom ramen för våra produkter framgår av bilagorna till denna policy.

Personuppgifterna behandlas i första hand för att:

Hantera försäljnings- och avtalsprocesser med kunder.

  • På kundens begäran tillhandahålla offerter för produkter.
  • Marknadsföra produkterna.
  • Fullgöra våra avtalsförpliktelser i förhållande till användare där vi är personuppgiftsansvariga.
  • Ge support till användare av produkterna.
  • Förbättra produkternas funktionalitet och användarvänlighet.
  • För att hantera kundavtal genom att till exempel fakturera.
  • För att kunna nå kontaktpersoner och användare.

Potentiella kunder

Vi samlar in personuppgifter om potentiella kunder för att genomföra marknadsföringsåtgärder. De insamlade personuppgifterna omfattar i första hand namn, telefonnummer, företagsnamn, titel och e-postadress. Personuppgifter samlas in på till exempel mässor, från offentliga register och företags webbplatser samt från vårt eget kontaktformulär på vår webbplats. Personuppgifterna används sedan för att boka möten med potentiella kunder, skicka ut nyhetsbrev och skicka inbjudningar till våra evenemang eller webbseminarier.

Den rättsliga grunden för vår behandling av personuppgifter om potentiella kunder är vårt kommersiellt legitima intresse av att behandla personuppgifterna. Vi anser inte heller att behandlingen har någon negativ inverkan på den registrerades privatliv, särskilt med tanke på att de personer vars uppgifter vi behandlar kan välja att inte få ta del av våra marknadsföringsutskick och att de uppgifter som behandlas inte är av känslig karaktär.

För besökare på vår webbplats lagras IP-adresser i åtkomstloggar. Denna information är anonymiserad.

För besökare på vår webbplats använder vi cookies. Hur vi använder cookies beskrivs i vår cookiepolicy.

Hur samlar vi in personuppgifter?

De personuppgifter som vi behandlar samlas i första hand in direkt från dig. När det gäller våra kunder kan vi dock också samla in personuppgifter från någon annan person som också är anställd av din arbetsgivare. När det gäller arbetssökande får vi ofta personuppgifter under ansökningsprocessen, t.ex. från en rekryterare eller direkt från dig som arbetssökande.

Vi kan också samla in personuppgifter från offentliga register, webbplatser eller när du registrerar dig som tjänsteanvändare. Vi kan också samla in personuppgifter från partners.

Vi kan även behandla personuppgifter i form av bilder som du laddar upp i produkterna, till exempel bilder av kvitton. Mängden personuppgifter som vi samlar in i samband med dessa bilder varierar beroende på vilket dokument som har fotograferats.

Hur delar vi dina personuppgifter?

Vi kan dela dina personuppgifter med tredje part, till exempel i följande situationer:

Partners

Vi delar dina personuppgifter med partners och leverantörer. Dessa kan vara leverantörer av servrar, webbyråer eller andra partners som vi samarbetar med för att leverera våra produkter.

Myndigheter

I vissa situationer kan myndigheter begära att personuppgifter lämnas ut till en myndighet. I en sådan situation kommer vi endast att lämna ut personuppgifter om det finns ett beslut från myndigheten som kräver att personuppgifterna ska lämnas ut.

Transaktioner

I samband med ett förvärv, en sammanslagning med ett annat företag eller en delning av något av företagen i Findity-koncernen kan det förvärvande företaget och/eller dess anlitade konsulter kräva tillgång till vissa personuppgifter som vi behandlar om dig. I händelse av ett sådant utlämnande kommer vi att se till att den person som får personuppgifterna omfattas av ett sekretessavtal.

Dina rättigheter

Du kan välja att inte ta emot marknadsföring från oss genom att antingen:

  1. följa instruktionerna om att välja bort vår kommunikation, eller
  2. kontakta oss via kontaktformulären på webbplatsen.

Grundläggande rättigheter

Du har rätt att få tillgång till dina personuppgifter som vi behandlar och att granska dem. Du har också rätt att begära dataportabilitet för de behandlade personuppgifterna. Om de personuppgifter som vi behandlar om dig är felaktiga kan du begära att vi rättar dem.

Under vissa omständigheter har du rätt att begära att de personuppgifter som vi behandlar om dig raderas. Om du begär radering måste vi radera personuppgifterna om i) personuppgifterna inte längre behövs för det ändamål för vilket de samlades in, ii) du återkallar ett samtycke, iii) personuppgifterna behandlas olagligt eller iiii) personuppgifterna måste raderas av rättsliga skäl. Du har även rätt att begära att vår behandling av dina personuppgifter begränsas samt rätt att invända mot vår behandling av dina personuppgifter.

Om du har några frågor eller vill utöva dina rättigheter kan du kontakta vårt dataskyddsombud på privacy@findity.com

Om du har invändningar eller kommentarer om vår behandling av personuppgifter kan du också kontakta Integritetsskyddsmyndigheten på följande adress:

Integritetsskyddsmyndigheten

Box 8114
104 20 Stockholm,
Sverige

Eller via email: imy@imy.se

När du kontaktar oss för att hävda dina rättigheter kan vi komma att begära ID-handlingar eller kopior av ID-handlingar för att du ska kunna verifiera din identitet. Vi behandlar dessa personuppgifter så att vi kan uppfylla våra skyldigheter i enlighet med tillämplig lagstiftning. Dessa uppgifter kommer att raderas så snart vi har verifierat din identitet.

Hur vi behandlar och lagrar dina personuppgifter

När vi behandlar dina personuppgifter är alla i vår verksamhet skyldiga att följa tillämplig dataskyddslagstiftning och det som anges i detta dokument för att upprätthålla en hög skyddsnivå för din integritet.

När vi behandlar dina personuppgifter måste vi:

  • förhindra obehörig åtkomst till dina personuppgifter,
  • förhindra spridning av dina personuppgifter, och
  • förhindra andra avvikelser när vi behandlar dina personuppgifter.

Vi ser till att dina personuppgifter behandlas konfidentiellt, att din integritet inte riskeras av vår behandling av personuppgifter och att vi garanterar tillgången till personuppgifter i enlighet med gällande tillämplig dataskyddslagstiftning.

För att uppnå en lämplig skyddsnivå när vi behandlar dina personuppgifter använder vi rimliga tekniska och organisatoriska åtgärder. Rimligheten bedöms utifrån den kategori av personuppgifter som vi behandlar i förhållande till den risk som kan uppstå i händelse av en överträdelse av våra system eller vår verksamhet och kostnaderna för att införa skyddsåtgärder.

Organisatoriska åtgärder

  • Vi har utsett ett dataskyddsombud
  • Vi har inrättat processer för hur vi ska agera i händelse av en dataskada.
  • Vi håller regelbundna utbildningstillfällen för våra anställda om frågor som rör behandling av personuppgifter.
  • Vi har ett databehandlingsavtal med alla våra leverantörer och andra berörda parter som behandlar personuppgifter för vår räkning.
  • Vi har upprättat instruktioner för IT-hantering inom organisationen.

Tekniska åtgärder

  • Vi använder 256-bitars kryptering (128-bitars för vissa äldre telefoner med hårdvarubegränsningar) och 2048-bitars nycklar.
  • All kommunikation till och från användare krypteras med TLS. Data som lagras i servermiljöer krypteras med ZFS-kryptering.
  • Kontroller för att upptäcka och förhindra skadlig kod körs regelbundet med hjälp av verktyg för att upptäcka och ta bort rootkit.
  • IDS/IDP-övervakare kontrollerar och raderar skadlig kod kontinuerligt.
  • Våra produkter är i drift på servrar i datacenter som övervakas och bemannas dygnet runt.
  • All data lagras på två olika platser i Sverige.
  • Data säkerhetskopieras varje timme.
  • Datacentren är klimatkontrollerade och brandskyddade.
  • Datacentren är utrustade med sekundär strömförsörjning och dieselgeneratorer för att säkerställa strömförsörjningen till servrarna.
  • Vår servermiljö och våra nätverk är skyddade av brandväggar.

Hur länge behandlar vi dina personuppgifter?

Vi kommer att behandla dina personuppgifter så länge det är nödvändigt för det syfte för vilket vi har samlat in personuppgifterna och så länge som vi har en rättslig grund för behandlingen av personuppgifterna. Detta innebär att vi kan behandla dina personuppgifter en tid efter att ett avtalsförhållande har upphört. Så snart vi inte längre behöver personuppgifterna eller inte har någon rättslig grund för att behandla dem, raderar vi dem.

Behandling av personuppgifter i egenskap av personuppgiftsbiträde

Som en del av vårt tillhandahållande av produkterna kommer vi under vissa förutsättningar att behandla personuppgifter om användare och kundrepresentanter för våra kunders räkning i partner- och direkta kundtransaktioner, eftersom dessa parter har fått rätt att tillhandahålla produkterna i sitt eget namn. I dessa situationer bestämmer våra kunder och partners ändamålen och sättet för behandlingen av personuppgifter. Det innebär att vi i dessa situationer endast behandlar personuppgifter på kundens eller partnerns vägnar och att vi endast får behandla sådana personuppgifter i enlighet med de instruktioner som de ger oss. Förhållandet mellan oss och en sådan partner eller kund regleras i ett personuppgiftsbiträdesavtal.

När våra kunder eller partner är ansvariga för personuppgifter är det kunden eller partnern som måste se till att de har en rättslig grund för att behandla personuppgifterna och att de registrerade informeras i enlighet med kraven i tillämplig dataskyddslagstiftning.

När våra kunder eller partner använder produkterna måste vi se till att produkterna uppfyller kraven i tillämplig lagstiftning om dataskydd. Vi kommer också att samarbeta med våra kunder och partner så att de kan uppfylla sina skyldigheter gentemot dem vars personuppgifter behandlas.

Användning av personuppgiftsbiträden och underbiträden

I vår behandling av personuppgifter kan vi i vissa situationer använda andra aktörer för att behandla personuppgifter för vår räkning. När vi ger dessa personuppgiftsbiträden eller underbiträden i uppdrag att behandla personuppgifter för vår räkning kommer personuppgifterna som regel inte att behandlas utanför EU/EES.

När vi ger dessa personuppgiftsbiträden eller underbiträden i uppdrag att behandla personuppgifter för vår räkning ser vi till att de kan uppfylla kraven för behandling av personuppgifter i enlighet med tillämplig dataskyddslagstiftning. Vi ingår alltid personuppgiftsbiträdesavtal med sådana aktörer för att säkerställa att de uppfyller dessa krav. Om den person som vi ger uppdrag åt är en aktör som kan komma att behandla dina personuppgifter utanför EU/EES, ser vi till att vidta de åtgärder som krävs enligt tillämplig dataskyddslagstiftning för att en överföring till ett land utanför EU/EES ska anses vara laglig. En fullständig förteckning över våra underbiträden finns i bilaga 2

Länkar till andra webbplatser

Om vår webbplats innehåller länkar till tredje parts webbplatser eller material som publiceras av tredje part, är dessa länkar endast avsedda för information. Eftersom vi inte har någon kontroll över materialet eller behandlingen av personuppgifter på dessa sidor tar vi inget ansvar för behandlingen av personuppgifter i samband med sådana sidor.

Ändringar av denna policy

Om denna policy ändras kommer en uppdaterad version av dokumentet att göras tillgänglig på vår webbsida. För att hålla dig uppdaterad om dess innehåll rekommenderar vi därför att du besöker vår webbsida regelbundet. Om vi gör betydande ändringar i detta dokument, till exempel ändrar syftet med behandlingen av personuppgifter, kommer vi också att skicka ett e-postmeddelande eller lägga ut ett meddelande via våra sociala medier.

Kontaktuppgifter

Om du har några frågor om denna policy, dina personuppgifter eller om du misstänker att vi bryter mot dina rättigheter, vänligen kontakta oss på något av följande sätt:

Findity AB
P.O. Box 108
771 23 Ludvika
Sverige

Email: privacy@findity.com

Ladda ned bilaga.

INFORMATION SECURITY POLICY

INTRODUCTION

FINDITY and its businesses, Companyexpense and Digitalreceipts, develop and supply digital financial services within a receipt and expense management framework. Information is one of FINDITY’S most important assets and its management is an extremely important part of the work Findity does. "Information assets" refers to any information owned by FINDITY, customers, or partners, whether processed manually or digitally and regardless of its format or the environment in which it is located. The Information Security Policy is defined by the management team and sets out Findity's fundamental approach and commitment of purpose at an overall level regarding information security work. This document, Information Security Policy - Services and Infrastructure, sets out the approach to information security, overall objectives, and the organization's intentions regarding information security work. Overall, this is Findity's policy document for information security work at a strategic level. Based on this governing document, routines are created in areas of the organization that, at a tactical and operational level, describe how the work is done and by whom.
 

DEFINITION

Information security is about providing FINDITY’s information assets with the correct protection over time and it covers the following aspects of security:
  • Availability - that information is available to the expected extent and within the requested time
  • Accuracy - that information is protected against unwanted and unauthorized alteration or destruction
  • Confidentiality - that information not in breach of legal requirements or local agreements/guidelines is made available or withheld as unauthorized
  • Traceability – in retrospect, to unequivocally link specific activities or events to an identified object or user (who, what, when)

RESPONSIBILITY

Responsibility for FINDITY’s information security work shall comply with normal, delegated, operational responsibility at all levels.
  • The owners express the principles and commitment of purpose by setting out FINDITY’s information security policy.
  • The management team is ultimately responsible for FINDITY’s information security work and sets out the Information Security Guidelines. The management team manages and is responsible for FINDITY’s infrastructure, services, systems, and applications and appoints information and system managers to them.
  • The information security coordinator works on behalf of the management team. The information security coordinator has the overall and strategic responsibility for leading, developing, and coordinating information security work.
  • Each department manages and is responsible for its own business-specific infrastructure, services, systems, and applications, and appoints information and system managers for these.
  • All employees are responsible for maintaining information security and reporting incidents.

FOCUS

Information security work at FINDITY is characterized by:
  • knowledge of how information security is ensured,
  • continuous analysis and maintenance of crisis management capacity,
  • continuous analysis of the threat to information assets,
  • prevention of events that could have negative consequences, and
  • information security work being a natural part of the business.

SERVICES AND INFRASTRUCTURE

APPLICATION OPERATIONS, SOFTWARE AND SERVICES DEVELOPMENT AND MAINTENANCE

FINDITY uses SCRUM (see: http://www.scrumguides.org) to govern development processes. Pivotal Tracker (https://www.pivotaltracker.com) is used to manage the team's backlog, including new features and bug management. An iteration lasts a minimum of two weeks and ends on a Wednesday; an iteration demo is held on Wednesday. Iteration planning is every other Thursday.
THE DELIVERY MODEL
The delivery model includes:
  • Development – locally in each development environment
  • Testing – a shared test environment for internal integration and function tests
  • Acceptance testing – a shared test environment for end users.
  • Production – a dedicated production model

SUPPORT SYSTEMS

The following support systems are used for development:
  • Source code management: GIT on an internal GIT server
  • Build environment: Jenkins on a dedicated server

PATCH MANAGEMENT

Patch management includes controls for vulnerabilities, patches, and fixes. Patch management is manual and includes a review of all physical and virtual machines once a week. System patching includes evaluating available patches and manually applying them to affected systems.

PHYSICAL SECURITY

FINDITY's system is deployed at dedicated data centers. The data center service provider limits physical access to authorized personnel. Registration is required for admission. Perimeter security consists of intrusion, fire, and water alarm systems, video surveillance, code locks, and physical locks.

REDUNDANCY

The server environment consists of several physical servers in separate rack cabinets with associated separate disk cabinets for storage. Each server has redundant power, network cards, and cooling. The network infrastructure consists primarily of redundant, physically separated switches and redundant network cards in each server.

POWER SUPPLY

The data center uses a redundant power supply which is backed up by diesel generators in the event the main power supply is disrupted. Each physical server and disk cabinet has a redundant power supply and is also backed up by UPS for battery operation.

DESTRUCTION OF STORAGE MEDIA

Destruction of unneeded storage media containing sensitive information is by multiple overwriting followed by physical destruction by a trusted third party, where the destruction is documented by the third party.

COMMUNICATIONS AND OPERATIONS

FINDITY’s services are operated exclusively within its own infrastructure in the form of physical and virtual servers

EXTERNAL NETWORK CONNECTIONS

External network connections are hardened and configured to protect against unauthorized traffic. All external connections to the services are made through a DMZ and registered in an auth log. Tagged VLANs separate internal networks (TEST, DMZ, PROD) where external traffic is separated from internal traffic by a firewall and separate VLANs. Externally, only ports 25 (inbound mail receipts), 80, 443 (HTTP/s), and 1194 (UDP for VPN) are open for incoming traffic. Outgoing traffic is allowed over ports 22, 80, 443, 7590 (backup), 9418 (source code management) and 2196 (Apple Push).

SYSTEM ACCESS AND LOGGING

Access control lists, authentication, and encryption using OpenVPN Access Server in the DMZ provide backend security. Only system operators have backend access and are registered on the VPN Access Server. All traffic goes through the DMZ. Local auth logging of all login attempts to the backend takes place in the DMZ. Authentication logging for production systems and services takes place in Graylog on each application server and with redundancy.

ENCRYPTION

All communications to and from FINDITY’s services, system to system or program to program, transmitted external to the backend, are encrypted. Information transmitted between the Internet and the backend is encrypted using HTTPS/SSL or SSH. Public TLS certificates for SPARAKVITTOT.SE and FINDITY.COM are issued by DigiCert.

MALWARE CHECKS

Checks to detect and prevent malware from running are carried out regularly using rootkit detection and removal tools.

INFORMATION SHARING

FINDITY handles sensitive financial information and must prevent unauthorized access to external or Internet-exposed applications and their information. Partners' data are separated into unconnected database tables and protected using access control lists in order to prevent unauthorized access to information where it is processed on shared servers. Firewalls separate web and application servers from database servers. Public web servers are also separated from application and database servers in the backend by a DMZ.

SYSTEM ACCESS

Access to the production system’s backend is only possible through wired networks and encrypted connections (VPNs). Access to the backend is granted based on functional requirements for the service and is limited to those resources required to meet the company's needs. Connections to backend services require authentication and encryption over OpenVPN and Cisco AnyConnect respectively (in development). Access to backend operating systems requires SSH (with keys). The exchange of credentials (such as usernames, passwords, and digital certificates) between clients and applications on networks has been implemented so that account details and passwords/keys are transmitted over different systems.

EVENT LOGS

Event logs are generated for systems and networks used within the service’s framework and are stored for at least 180 days. Event logs can be analyzed for security-related events. Event logs for accounts with privileged access to the backend are logged and analyzed in a separate system.

SUBCONTRACTORS

Hired subcontractors only have access to those parts of the services that are necessary for the subcontractors to be able to perform the service or services they have been hired to do. Subcontractor access is regulated by access control lists, authentication, and encryption using OpenVPN Access Server in the DMZ and through dedicated VLANs for the relevant services.

BACKUP

Backups are made exclusively to ZFS-based disk systems and are done at several distinct levels File system development has focused on data integrity, that is, the protection of information on storage media against bit rot, phantom writes, etc. Such problems can, among others, manifest themselves by the data on the hard drives spontaneously starting to change and becoming incorrect, without any intervention from a user or operating system, or as the result of mechanical or external factors such as cosmic radiation or power surges. ZFS provides very good protection against bit rot and other data corruption and also includes built-in backup functionality.

  • Backups run locally with redundancy to separate disks across two physical servers.
  • Local ZFS snapshots of application servers and databases are taken every hour.
  • A full ZFS backup is run every night.
  • Results are logged in the file system journal. Markup is done using timestamps.
  • Redundant remote backup takes place over SSH to dedicated backup volumes at a different physical location.
  • Backup volumes are verified weekly using the ZFS zpool scrub command.
  • Backed-up data integrity is verified regularly by performing recovery from backup.

MISCELLANEOUS RISK ASSESSMENTS

AND VULNERABILITY ANALYSIS

FINDITY regularly conducts risk assessments and vulnerability analysis using the OWASP Top 10 as the minimum requirement level.

Security reviews of the production system are carried out by a trusted third party using standardized intrusion prevention tools. The results of the security reviews are documented separately and placed in a backlog for prioritization according to assessed risk.

The current architecture and implementation are deemed robust with regard to redundancy and backup procedures. However, there is no geographical redundancy and we intend to address this as soon as possible.

SYSTEM DOCUMENTATION

System documentation is secured using authentication and encryption over HTTPS. Access is limited solely to employees in the development department.