Säkerhet idrottonline
För RF har arbetet för att tillhandahålla en hög säkerhet inom IdrottOnline varit en självklarhet redan innan införandet av GDPR. Vi arbetar kontinuerligt för att bibehålla samma höga nivå och se till att vara uppdaterade inom den tekniska utvecklingen.
Privacy by design och privacy by default
Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.
Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst är satta så att inte mer information än nödvändigt samlas in eller kan exporteras.
Mer information om hur idrottsrörelsen arbetar med IT-säkerhet kopplat till privacy by design och privacy by default återfinns i Idrottens Uppförandekod för behandling av personuppgifter.
Autentisering och kryptering
All känslig datakommunikation krypteras med SSL-kryptering med 2048-bitars RSA nycklar, enligt vedertagna standarder och tekniker för säker webbkommunikation. Krypteringen görs för att obehöriga personer inte ska se den information som skickas till och från användarens datorer. IdrottOnline strävar efter att inom snar framtid kryptera all datakommunikation.
Lösenord i IdrottOnline lagras aldrig i klartext i något steg, utan de skyddas av en kryptografisk hashfunktion som även är förstärkt med det som kallas ”salt”. Det betyder att ditt lagrade lösenord inte kan utläsas i klartext, varken av systemet eller oss som jobbar med det. Om du glömmer bort ditt lösenord behöver du generera ett nytt. Vi skickas aldrig lösenord via e-post utan ni skapar ett nytt lösenord direkt på vår säkra sajt.
IdrottOnline kommer automatiskt att logga ut dig från systemet efter en viss tidsintervall. Tidsintervallet skiljer sig mellan 4 till 8 timmar beroende på vilken applikation du befinner dig i. IdrottOnline verifierar kontinuerligt användaren och den inloggades behörighet för att säkerställa rätt åtkomst.
Monitorering
Vi övervakar ständigt våra tjänster för att upptäcka prestanda- eller tillgänglighetsproblem och agera på dem innan de blir ett problem.
|
Övervakning av CPU-last, minnesåtgång och diskutnyttjande. |
|
Syntetisk monitorering – laddningstider, nätverksinstabilitet, sidstorlek, påverkan av tredjeparts-innehåll m.m. |
|
Application Performance Monitoring (APM) |
Behandling, lagring och backuper
IdrottOnline driftas på servrar i serverhall som är placerad i Sverige. Datahallen övervakas dygnet runt och endast godkänd personal har tillgång till hallen. För att säkra användarnas fullständiga upplevelse har vi valt att jobba tillsammans med de bästa samarbetspartners för att säkerställa en så hög tillförlitlighet och säkerhet för IdrottOnline som möjligt.
|
Datasäkerhet och driftsäkerhet är viktigt och därför tar vi regelbundna backuper av all data i IdrottOnline för att kunna återställa den om en katastrof skulle inträffa. |
|
Systemen uppdateras kontinuerligt för att minimera risken för att drabbas av sårbarheter. |
För vissa utökade funktioner, mobilapplikationen för IdrottOnline samt Import från externa system, behandlas data även i Azures publika molntjänster.
|
Samtliga våra tjänster via Azure som hanterar IdrottOnline är placerade inom Europa. |
|
Kommunikationen via Azure, både mot användare och mot andra delar av IdrottOnline-systemet sker krypterat enligt moderna standarder. |
Systemunderhåll och administration
|
Den personal på RF som har åtkomst till systemet är begränsad endast till de vars tjänst kräver sådan behörighet och regleras av RFs interna riktlinjer. |
|
Vid driftstörningar finns rutiner och eskaleringsvägar på plats för att snabbt hantera de störningar som uppstått |
Ordlista - förklaring av tekniska begrepp
|
Kryptografisk hashfunktion – en typ av envägschiffer som konverterar t.ex ett lösenord till en komplex textsträng som inte går att konvertera tillbaka till det ursprungliga ordet. För att verifiera en inloggning går det som skrivs in i lösenordsfältet igenom samma process och sedan jämförs resultatet mot det som finns lagrat. |
|
Salt – I detta sammanhang, ett unikt tillägg till en kryptografisk hashfunktion som ökar komplexiteten. |
|
Syntetisk monitorering – När datorer, servrar eller tjänster testar att utföra uppgifter (t.ex surfa till en viss hemsida) som användare typiskt gör och mäter resultatet i olika avseenden. |
|
SSL – Secure Socket Layer. Teknik för att kryptera trafik på webben, bekant för de flesta som s:et i "https" |
|
TLS – Efterföljaren och ersättaren till SSL. En modernare standard för krypterad trafik på webben. TLS kallas fortfarande ofta för SSL, så även i denna text. |