Produkt Kunder Indsigt Sikkerhed

Sikkerhed

Generelt

Data om medarbejdertræning, kompetencer og instruktioner er ofte forretningskritisk viden og derfor prioriteres sikkerheden i platformen højt. Platformen er udviklet efter de tekniske principper i ISO 27.001 og følger gældende GDPR lovgivning. Endvidere dokumenteres sikkerhedsniveauet gennem Penetration Test, som udføres af et uvildigt sikkerhedsfirma.

"
Det ligger blandt den bedst sikrede håndfuld løsninger, jeg har set.
- Frederik Raabye | Security Consultant & Systems Developer | Dubex

Produktsikkerhed

Password

Platformen gennemtvinger password kompleksitet og benytter sig af PBKDF2 til hashing af password.

Oppetid

Platformen har en historik oppetid på >99%

Sikkerhed best practices

Champ opfordrer kunder til at følge gængse sikkerheds best practices, såsom at benytte lange passwords, styre rettighedsniveauer på platformen osv.

Netværks- & applikationssikkerhed

Hosting

Platformen er hostet i Microsoft Azure (EU-West).

Disaster recovery

Platformen er bygget med disaster recovery i tankerne. Platformen er spredt over 3 Azure availability zoner og vil derfor fortsætte normal drift ved nedbrud af én af disse zoner.

Monitorering

Platformen benytter sig af Microsoft Application Insights til logning/audit af aktiviteter, svartider, fejlrate og dataadgang.

Backup

Platformen har daglig backup af data og opbevarer data op til 5 år, med mulighed for recovery.

Alle virtuelle maskiner og databaser bliver sikkerhedskopieret dagligt og gemt jf. følgende:

  • Daglige backups gemmes i 3 måneder
  • Ugentlige backups gemmes i 12 måneder
  • Månedlige backups gemmes i 5 år

Blob storage benytter Zone redundant storage og gemmes jf. følgende:

  • Data replikeres på tværs af 3 datacentre indenfor Vesteuropa
  • Soft delete er aktiveret og data vil blive gemt i 5 år efter sletning

Adgang og autentificering

Adgang til kundedata er begrænset til et mindre antal medarbejdere. Al data sendes krypteret via HTTPS og platformen benytter sig af "Zero-trust coporate network" princippet, således at adgang til Champs netværk ikke giver øgede rettigheder til produktionsmiljøet i Azure. Champ gennemtvinger stærk password politik for ansatte og kræver 2-faktor autentificering (2FA) hvor muligt, bl.a. på Azure, Github og Azure DevOps.

Kryptering

Al data på platformen er krypterent in-transit og at-rest. Platformen benytter HTTPS til al kommunikation og gennemtvinger minimum TLS 1.2. Al data er krypteret med AES-256 ved opbevaring. Platformen scorer højt i generelle tests for server konfiguration og TLS opsætning. Specifikt får platformen en A+ rating ved Qualys SSL Labs Platformen benytter derudover HSTS og Perfect Forward Secrecy.

Penetration tests og sårbarhedsskanninger

Champ benytter tredje parts værktøjer til skanning af løsning under udvikling og inden hvert release. Champ får ligeledes udført en årlig penetration test.

Penetration test

For at dokumentere sikkerhedsniveauet i platformen gennemføres der minimum årligt Penetration Test af et uvildigt sikkerhedsfirma. Den seneste penetration test er udført af Dubex i Marts 2020 med følgende konklusion:

"
The system adheres to current best practices for secure development of web applications and is seen as having a high level of security and corresponding low risk-level. No vulnerabilities were found in the System that could be directly or indirectly abused to gain access to the Customers infrastructure, systems or data. During vulnerability scans and penetration tests some observations of possible improvements to the security level of the application were made. A minor information level configuration issue and an unfinished implementation of Content-Security-Policy, that will further strengthen the System’s security stance. It has not been possible to abuse these findings, but they may aid an attacker in an attack against future vulnerabilities.
- Konklusion fra Penetration Test udført af Dubex | Marts 2020