Sikkerhed og compliance
Sikkerhed og compliance
Hos Raffle sikrer vi, at jeres data er sikre og private, så I kan være helt trygge.
Vi anvender forskellige sikkerhedsteknikker afhængigt af det produkt, I er interesseret i, så I får den sikkerhed og databeskyttelse, loven kræver – og mere til.
Raffle til:
| Offentlige data | Private data | |
|---|---|---|
| Sikkerhed | Offentlige data (N/A) | SOC 2 eller tilsvarende |
| Data | Som beskrevet i privatlivspolitikken ingen behandling på vegne af vores kunder | Databehandleraftale (DPA) behandling på vegne af vores kunder |
| Privatliv | Privatlivspolitik | Som beskrevet i DPA'en ovenfor |
| Vilkår | Generelle vilkår og betingelser | Generelle vilkår og betingelser |
Sikkerhed
SOC 2
Hos Raffle tager vi sikkerhed og gennemsigtighed alvorligt. Vi træffer flere sikkerhedsforanstaltninger for at beskytte både vores platform og dem, der bruger den.
For at dokumentere vores høje engagement i stærk sikkerhed, tilgængelighed og privatliv har vi gennemført SOC 2 Type 2-certificering for 4. år i træk, senest i januar 2025. Det er jeres tryghed for, at Raffle løbende opretholder de højeste standarder inden for disse områder. Vi tager sikkerhed meget alvorligt og viser det gennem vores certificeringer.
Læs vores SOC2-rapport
Infrastruktur
Vores produkter kører på et dedikeret netværk, der er låst ned og overvåget nøje. Vi samarbejder med førende partnere (FRSecure og Drata) og risiko-responsteam for løbende og effektivt at overvåge, håndtere og vurdere risici.
Spørgsmål eller kommentarer vedrørende Raffle-sikkerhed kan sendes til [email protected]
Databeskyttelse
Raffle følger med i nye regler og love, så I ikke behøver det – med compliance på alle niveauer og på tværs af lande.
EU's generelle forordning om databeskyttelse (GDPR)
Siden den 25. maj 2018 har GDPR øget reguleringen og brugen af europæiske borgeres data og dermed beskyttelsen af personlige oplysninger. Raffle blev grundlagt i midten af 2018 og har derfor været fuldt ud compliant med GDPR blandt andre standard privatlivsregler fra starten og har aldrig gået på kompromis. Raffle sikrer, at I får den vejledning, I har brug for. Når det er relevant for de ydelser, Raffle leverer, indgår vi en databehandleraftale (DPA, der beskytter begge parter) udarbejdet af det førende europæiske advokatfirma Kromann Reumert (vinder af prisen som Europas bedste advokatfirma tre år i træk).
US HIPAA-lovgivning
USA's Health Insurance Portability and Accountability Act fra 1996 beskytter følsomme patientoplysninger mod videregivelse uden patientens godkendelse eller viden. Siden Raffle blev grundlagt i midten af 2018 har vi været dedikerede til sikkerhed og compliance uden kompromis. Vi er forpligtet til at være gennemsigtige og beskytte vores kunder, hvis der findes sundhedsdata i de kilder, som Raffle søger i.
Placering af data
For vores kunder i EU ligger vores Azure-datacenter i Vesteuropa (Holland), og data forlader aldrig EU. I en disaster recovery-situation er vores systemer garanteret startet op i et andet EU-baseret datacenter. Desuden har vi Customer Lockbox aktiveret på vores Azure-abonnement, så Microsoft ikke kan få adgang til indhold i forbindelse med serviceopgaver uden vores udtrykkelige godkendelse.
For vores kunder i USA ligger vores Azure-datacenter i USA (New York). I en disaster recovery-situation startes vores systemer op i USA eller i et EU-baseret datacenter. Vi har også Customer Lockbox aktiveret på vores Azure-abonnement, så Microsoft ikke kan få adgang til indhold uden vores udtrykkelige godkendelse.
Adgangsstyring
Med datasikkerhed følger dataadgang, og den adgang kan administreres i Raffle-backenden af autoriserede brugere i jeres virksomhed. Adgangsstyring gør det muligt at styre, hvem der ser hvilke data i Raffle-genererede søgeresultater, så forskellige personer kan få forskellige svar og/eller linkede datakilder (f.eks. dokumenter på et intranet) afhængigt af deres sikkerheds- og rettighedsprofiler – selv når søgeforespørgslerne er formuleret ens. Denne sikkerhedsfunktion er særligt relevant for Workplace Search.
Kræver Raffle til offentlige data en DPA?
Formålet med Raffle Søgning og Chat på websitet er at give svar på spørgsmål, som normalt ville blive stillet i en søgning på websitet. Med andre ord er det ikke hensigten – og vi vil ikke bede om – at brugerne indtaster personoplysninger på websitet.
Hvis jeres brugere alligevel gør det, vil Raffle anonymisere det, da Raffle hverken har brug for eller ønsker at gemme personoplysninger, som brugerne indtaster. Alle tal og navne anonymiseres automatisk. Da denne anonymisering sker på vegne af os (Raffle) og ikke på vegne af jer (kunden), behandler vi ikke jeres data, men kontrollerer i stedet de data, vi anonymiserer.
Raffle bruger eller gemmer ikke IP-adresser for jeres website-brugere, når de bruger Raffle Search eller Chat. Derfor kender vi ikke brugerne og kan ikke spore tilbage til oplysninger om dem. Raffle er ikke et marketingværktøj og har ikke brug for disse oplysninger.
Hvis I har medarbejderoplysninger på jeres website, skal jeres medarbejdere specifikt have godkendt, at deres personoplysninger må stå på websitet, da indholdet nu betragtes som offentligt for søgninger som Google, Yahoo, Bing og Raffle. Derfor har vi ikke brug for en DPA, når det drejer sig om websitesøgning.
Generelt om data
Datalagring
Kundedata gemmes i en PostgreSQL-database i Azure Cloud. Det omfatter scrapet indhold fra kundedokumenter (ikke i originalform, men opdelt i mindre afsnit) og anonymiserede søgeforespørgsler.
Alle data er krypteret at rest med AES 256, og kommunikation sker med TLS.
Data under overførsel
For at beskytte data under overførsel mellem vores app og servere understøtter raffle.ai de nyeste anbefalede sikre cipher suites til kryptering af al trafik, herunder TLS 1.2, AES256-kryptering og SHA2-signaturer, når klienterne understøtter det.
Data at rest
Data at rest i Raffle.ais produktionsnetværk er krypteret med branchestandard 256-bit AES, hvilket gælder alle typer data at rest i Raffle.ais systemer, relationelle databaser, fillagre, databasebackups m.m.
Udviklingspraksis
I Raffle følger vi en række udviklingspraksisser for at sikre, at vores systemer til enhver tid kører og fungerer i overensstemmelse med vores forpligtelser:
- Alle kodeændringer testes grundigt og gennemgås i henhold til vores ændringsprocesser.
- Alle kodeændringer testes i et staging-miljø, før de deployes til produktion.
- Vi kører ugentlige sårbarhedsscanninger mod vores primære endpoints for at finde svagheder.
- Vi gennemfører periodisk manuel penetrationstest fra tredjepart af vores webapplikationer.
- Vi bruger flere værktøjer og tjenester til automatisk overvågning af oppetid og tjenestetilgængelighed. Nøglemedarbejdere modtager automatiske notifikationer ved nedbrud eller nødsituationer.
- Vi bruger automatiske værktøjer til at opdage sårbarheder i vores afhængigheder, når der kendes sikkerhedsproblemer.
Risikovurderingsproces
Raffle har etableret en organisationsdækkende proces for risikovurdering for at identificere og håndtere informationssikkerhedsrisici. Raffle gennemgår løbende de risici, der kan true opfyldelsen af vores servicetilsagn og systemsikkerhedskrav.
Raffles risikovurderingsproces tager højde for en række faktorer, der hver især bidrager til både sandsynlighed og potentiel påvirkning af en given risiko. Disse omfatter:
Forretningsprocesser
Kritikaliteten af potentielt berørte forretningsprocesser som beskrevet i politikken for forretningskontinuitet og katastrofegenoprettelse.
Databeskyttelse
Om en risiko kan påvirke fortrolighed, tilgængelighed, integritet eller privatliv for kundedata.
Raffles mål
Risikoens evne til at påvirke Raffes forretningsmål.
Raffles kunder
Potentiel påvirkning af Raffes kunder eller leverandører
Penge
Potentielt økonomisk tab.
Sikkerhedspolitikker
Raffle har vedtaget følgende sikkerhedspolitikker (vedligeholdt og gennemgået årligt):
- Politik for acceptabel brug
- Politik for aktivstyring
- Backup-politik
- Plan for forretningskontinuitet
- Etiske retningslinjer
- Politik for dataklassifikation
- Politik for datasletning
- Politik for databeskyttelse
- Plan for katastrofegenoprettelse
- Krypteringspolitik
- Plan for håndtering af hændelser
- Politik for informationssikkerhed
- Politik for adgangskoder
- Politik for fysisk sikkerhed
- Politik for ansvarlig offentliggørelse
- Politik for risikovurdering
- Politik for softwareudviklingslivscyklus
- Politik for systemadgangskontrol
- Politik for leverandørstyring
- Politik for sårbarhedsstyring