Säkerhet i företagsklass du kan lita på

• Organisationen använder verktyg för övervakning av attacker – såsom nätverksbaserad intrångsdetektering och intrångsförebyggande system samt webbapplikationsbrandväggar.
• Organisationen använder även lager 7-webbapplikationsbrandväggar.

• Skydd mot skadlig kod är installerat på alla klientenheter (stationära datorer, bärbara datorer, smartphones och surfplattor).
• Kodsignering, sandboxing och filkarantän används för alla mobila enheter.
• EDR/XDR-teknologi används som skydd på alla stationära och bärbara datorer.
• EDR/XDR hanteras och övervakas av ett 24/7 Security Operations Center (SOC).
• Skyddet mot skadlig kod hanteras centralt och övervakas endast av behörig personal.

• Organisationen har kontroller som begränsar åtkomst till data via betrodda servrar och applikationer genom krypterade kanaler med stark autentisering.
• Åtkomst till kritiska tredjepartsapplikationer och data är begränsad till betrodda enheter via kryptering och stark autentisering.
• Personal använder flerfaktorsautentisering (MFA) för åtkomst till kritiska applikationer.
• Konsulter som behöver åtkomst till applikationer måste också använda en betrodd enhet.
  

• Inkommande HTTPS-anslutningar skyddas med minst TLS 1.2.
• Motsvarande säkerhet används för andra krypterade anslutningar såsom IPsec, SSH eller SFTP.
• Asymmetrisk kryptering av filer och meddelanden använder RSA med minst 2048-bitars nycklar eller ECC med standardkurvor som P256.
• Symmetrisk kryptering använder AES med minst 256 bitars nyckellängd.
• Alla klientenheter är skyddade med fullständig hårddiskkryptering.
• Offsite-backuper av databaser är starkt krypterade.
• E-post krypteras under överföring (internet, server till server, in- och utgående) med opportunistisk TLS.
• Specifika e-postdomäner kräver tvingad TLS-kryptering.
• Merchant API kräver kryptografiska signaturer för inkommande och utgående trafik, utöver TLS, för att säkerställa ägandebevis och minimera risken för MITM-attacker.
• Checkout-tjänsten använder sessionsbaserad punkt-till-punkt-asymmetrisk kryptering för känslig användardata, t.ex. lösenord eller verifieringskoder.

• Lager 3-brandväggar används internt för att möjliggöra åtkomstkontrollistor (ACL).
• Lager 3-brandväggar används även för att kontrollera nätverkstrafiken mellan det publika internet och organisationen.
• Lager 7-brandväggar används för att inspektera och kontrollera trafiken mellan internet och organisationens tjänster.
• Nätverks-ACL:er kontrollerar kommunikationen mellan organisationens nätverk, platser och molntjänster.
• System-ACL:er styr åtkomst till system och objekt (t.ex. lagringsenheter).
• ACL:er hanteras av behöriga medarbetare och baseras på arbetsroll eller godkänd nätverksdesign.
• ACL:er granskas regelbundet eller vid större förändringar.

• Logisk åtkomstkontroll tillämpas på alla system och tjänster.
• Behörigheter tilldelas efter godkännande och baseras på arbetsroll.
• Behörigheter tilldelas enligt principen om minsta privilegium.
• Behörigheter granskas regelbundet utifrån systemets klassificering.

• Centraliserad loggning används för applikationer kopplade till betalningstjänsten.
• Loggar är åtkomliga för behörig personal enligt need-to-know-principen.
• Logghantering utförs av behöriga medarbetare och inkluderar larm baserat på fördefinierade kriterier.

• Organisationen använder en MDM-lösning för alla klientenheter (datorer, smartphones, surfplattor), både för anställda och långvariga konsulter.
• MDM-lösningen styr åtkomst med villkorad åtkomst och tvåfaktorsautentisering.
• MDM styr tillåtna appar, säkerhetsinställningar (t.ex. kryptering, inloggning) samt uppdateringar av operativsystem och appar.
• Förlorade enheter kan låsas eller raderas på distans.
• MDM-lösningen hanteras av behöriga medarbetare.

• Organisationen använder MFA för tjänster den både tillhandahåller och konsumerar.
• Olika MFA-metoder används beroende på klassificering:
  1. Hårdvarutoken
  2. Enhetscertifikat
  3. Användarcertifikat
  4. Mjukvarutoken (t.ex. TOTP)
  5. SMS-baserad MFA

Säkerhetsuppdateringar installeras automatiskt.

Ändringar i källkoden signeras kryptografiskt av utvecklaren med GPG och privat nyckel lagrad på personlig HSM.

• Organisationen har ett program för hantering av sårbarheter för interna och publikt exponerade tillgångar.
• Sårbarhetsskanning av källkod utförs.
• Sårbarhetsbedömningar sker varje vecka och prioriteras efter allvarlighetsgrad.