Säkerhetsarbete

Här beskriver vi hur jobbar med säkerhet och GDPR, och låt oss börja med det sistnämnda. Den största delen av vårt Tjänsteavtal rör hanteringen av personuppgifter och innehåller därmed också integritets- och säkerhetsaspekter. Förutom det som står i avtalet för vi ett register över personuppgiftsbehandlingen, som bland annat innehåller vilka uppgifter som lagras per lagringsmedium och hur länge. Vi genomför en regelbundna uppföljningar för att säkerställa att vi följer GDPR, med målet att begränsa personuppgiftslagring och göra den säkrare.

Vår produktionsmiljö underhålls med regelbundna uppdateringar av operativsystemet (Debian) och serverprogramvaror såsom Apache, MariaDB, Tomcat och Java. Vi delar inte server med andra företag. Användarnas lösenord lagras krypterade (hashed) med ett salt. Användarnas filer lagras krypterade på servern under förutsättning att användaren satt ett lösenord vid uppladdningen.

Vår programvara innehåller mekanismer för att detektera spam, och att begränsa utskick av mejl och filer.

Vid utvecklingen av vår programvara följer vi gängse regler för att hindra SQL-injektion och Cross-site scripting (XSS). Användarinput valideras både på klient- och serversida. Alla medarbetares datorer har krypterade hårddiskar.

Förbättringspotential

Med ovanstående sagt inser vi att det finns en stor förbättringspotential. Här är några åtgärder och funktioner som våra kunder skulle dra nytta av.

1. Penetrationstester: Det finns både gratisprogramvara och betaltjänster för att testa vår produktionsmiljö mot kända svagheter.
2. Reducering personuppgifter i utgående mejl: Låt avsändaren bestämma om mottagaren måste logga in för att kunna hämta filen, eller identifiera sig med BankID.
3. Viruskontroll: Vi borde erbjuda en automatisk virusgenomsökning av filer som skickas via vår tjänst.
4. Erbjud multifaktorautentisering för användarkonton.
5. Ersätt leverantörer utanför EU med svenska eller EU-baserade alternativ.

Arne Evertsson, 2023-06-08