I Legalsys går vi ikke på kompromis med sikkerheden omkring system og data.
Vi har derfor foretaget en række tiltag for at sikre dig og dine data.
Server setup:
Vores servere er placeret hos Amazon (AWS) i den såkaldte “eu-north” region (Stockholm). Der udvikles lokalt, hvorefter koden committes op til vores develop server vha. GitHub / forge. Her testes funktionaliteten, og der laves evt. penetrationstest på koden. Godkendes koden committes den til produktion. I produktion findes (alt efter behov) en eller flere servere. Alle portaler afvikles gennem samme kodebase. Databaser ligger på et særskilt RDS miljø. Alle “ikke-system”-filer er placeret krypteret på en S3-server.
Foran serverne ligger en “load balance” server. Denne fungerer også som vores firewall. Hvis det ønskes kan en partner få sit helt eget miljø. Der er kun åbent på port 80 ind til serverne. Der er installeret følgende software på serverne: Ubuntu, Apache, phpMyadmin, Imagemagick, PHP og pdfDOM, der tjekkes løbende for opdateringer.
Database:
Alle kunders data ligger i egen phpMyAdmin database. Større kunder kan have tilknyttet flere databaser, hvor dette findes nødvendigt. Den enkelte database har individuelt password. De felter i databasen, der indeholder personfølsomme data, gemmes krypteret med “AES 256 Encryption”.
Selve krypteringsnøglen placeres på ekstern server, som kaldes, når noget skal dekrypteres.
SQL:
Alle SQL kald går gennem et funktionslag, der gør, at alle kald kun bliver skabt i en enkelt klasse. Det betyder, at der ikke forefindes SQL i andre filer end denne PHP klasse. Hver gang denne klasse opdateres gennemgås der ekstra kode, og der køres penetration tests for at tjekke koden yderligere.
Penetration tests:
Der afvikles løbende penetration tests på både udviklings- og produktionsmiljøet. I tilknytning til disse tests laves der yderligere penetration tests hver gang, der er sket en større opdatering.
Penetrations test udføres gennem en eller flere eksterne udbydere. Vi tester for mere end 6.500 kendte webapplikations sårbarheder samt for “Cross-site Scripting” og "SQL injection”.
Herudover testes om alle vores servere og dens software er 100% opdateret. Vi gør pt. brug af pentest-tools.com og acunetix.com.
Bruger kodeord:
Alle passwords til vores systemer skal overholde følgende krav: -> mindst 8 tegn -> et eller flere special tegn -> et eller flere numre -> et eller flere store bogstaver.
Alle passwords gemmes i databasen på en måde, så de ikke kan dekrypteres udenom brugeren af det gemte password. Dette betyder, at vi ikke kan dekryptere passwordet, uden brugeren gør det selv.
Der er tvunget to-faktor login for alle brugere, Efter at systemet har godkendt indtastet brugernavn og password, sendes der en 6 cifret kode til brugerens email. Når denne kode er indtastet og godkendt, åbnes systemet for brugeren. Den 6 cifrede kode er valid i 10 minutter.
Scanning af filer på serverne:
Alle filer på serveren scannes kontinuerligt for vira og malware.
Scanning af filer uploadet fra bruger:
Hver gang en fil uploades til serveren af en bruger, placeres den på en såkaldt dockerserver og scannes for virus og malware. Hvis det er godkendt her, gemmes det endelig på kundens S3-server.
Kryptering af filer uploaded på serveren af brugere:
Alle “bruger uploade” filer krypteres med systemets standards krypterings algoritmer, inden de gemmes på serveren.
Ønskes yderligere kryptering, kan dette tilvælges.
Backup:
Filer sikkerhedskopieres på produktionsserveren og S3 en gang om dagen. Database sikkerhedskopieres flere gange om dagen.
Sletning af adgange og filer på brugerniveau:
Når en bruger slettes, slettes denne kun fra vores produktionsmiljø og ikke i vores backups. Det samme er gældende for filer.
