Säkerhet

Säkerhet är av yttersta vikt för oss på GetAccept och vi följer därför en rad säkerhetsprinciper inom ramen för vår produktutveckling av GetAccepts plattform. Vi krypterar dessutom all data (rest/transit) för att skydda våra kunders data på bästa sätt.

shield-lock

Säkerhetsfunktioner i GetAccept

Med GetAccept får du tillgång till en rad extra säkerhetsfunktioner som du styr över för att förbättra skyddet av din data.

Användarhantering

Konfigurera användarrättigheter i GetAccept som matchar organisationens interna säkerhetspolicier. Säkerställ att rätt person har tillgång till rätt data.

SCIM

Använd Active Directory för att hantera användare mellan domäner

Multi Factor Authentication

Kräv multifaktorautentisering för både dina användare och mottagarna som en ytterligare skyddsåtgärd för dina dokument och digitala säljrum.

Single Sign On

Integrera ert befintliga autentiseringssystem för att förenkla användarhantering och åtkomstkontroll. Vi stödjer alla SAML SSO lösningar (som Azure, Okta, OneLogin) och Google SSO.

Datalagring

Säkra efterlevnad av era GDPR regler genom att sätta upp regler i GetAccept för hur er data ska raderas.

Plattformssäkerhet

GetAccept är byggt på en stabil, redundant och skalbar infrastruktur och designad för 100% tillgänglighet. Vi har full backup, full kryptering och gör årliga penetrationstester för att säkra data mot alla möjliga hot. Inget system är bättre än människorna som arbetar med det och vi genomför därför regelbundna säkerhetsutbildningar med våra anställda. Vi har implementerat tydliga ansvarsfördelningar (segregation of duties) och åtkomstprinciper (least privilege access).

SOC2

SOC2 (System and Organization Control 2) är en rapport baserad på standarder från Auditing Standards Board of the American Institute of Certified Public Accountants' (AICPA) befintliga Trust Services Criteria (TSC). Syftet med rapporten är att utvärdera en organisations informationssystem vad gäller säkerhet, tillgänglighet, systemefterlevnad, sekretess, och integritet.

GetAccept genomför årligen en rigorös granskning, vilken genomförs av en väl ansedd, certifierat externt revisionsföretag, för att certifiera GetAccepts tjänster enligt SOC2 standarden. Revisionsföretaget utvärderar huruvida GetAccept kontroller utformats på lämpligt sätt och om de effektivt efterlevs.

Kontakta oss för att få tillgång till den senaste SOC2 type 2 rapporten. Är du inte kund än, kan du kontakta någon av våra säljare för mer information.

Kryptering och ytterligare säkerhetsåtgärder

Vi krypterar all data i användning (data in transit) med hjälp av 2048bit SSL/TLS certifikat och vi krypterar all data i vila (data in rest) med hjälp av industristandard AES-256. Läs mer om GetAccepts ytterligare säkerhetsåtgärder här.

Datalagring

GetAccept använder sig bara av betrodda och några få utvalda underleverantörer som lagrar data. Underleverantörerna utvärderas kontinuerligt. Läs mer om dessa i vårt DPA

Integritet

De personuppgifter som du delger oss hjälper oss att kommunicera med dig bättre. Vi månar om din personliga integritet och kommer aldrig dela din personliga information med någon tredje part eller andra än de vi har uppgett i vår integritetspolicy. Läs mer här Integritetspolicy

General Data Protection Regulation, GDPR

GDPR är EUs förordning om dataskydd och integritet (personuppgifter). Förordningen är implementerad i alla lokala integritetslagar runt om i hela EU och EEA. Den gäller för alla företag som säljer eller lagrar persondata om medborgare i Europa, inkluderat företag på andra kontinenter. Den ger medborgare i EU och EEA bättre kontroll över sina personuppgifter och försäkrar att deras information är säkert skyddad över hela Europa.

Vad räknas som persondata?

Enligt GDPR direktiv är persondata all information som kan kopplas till en person, såsom namn, ett foto, emailadress, bankkontodetaljer, uppdateringar på sociala medier, platsinformation, medicinsk information, hälsodata, eller en IP-adress.

Vad betyder det?

GDPR innehåller flera krav som gynnar konsumenterna genom att kräva ökad kontroll och transparens relaterad till de personuppgifter som samlas in av organisationer. Samtidigt finns det betydande böter för överträdelser – upp till 4 % av de globala intäkterna eller maximalt 20 miljoner Euro. Viktiga skillnader mot den tidigare integritetspolicyn är att den innehåller mycket starkare villkor för samtycke och skyldigheter för de som behandlar och samlar in datan, där det krävs obligatoriska avtalsvillkor mellan parterna.

Privacy by Design

GetAccept är byggt från grunden baserat på principerna om dataskydd och integritet (Privacy by Design).

Dina rättigheter enligt GDPR

  • Rätten till tillgång – detta innebär att individer har rätt att begära tillgång till sina personuppgifter och att fråga hur deras uppgifter används av företaget efter att de har samlats in. Företaget ska tillhandahålla en kopia av personuppgifterna, kostnadsfritt och i elektroniskt format om så begärs.
  • Rätten att bli borttagen – om konsumenter inte längre är kunder, eller om de drar tillbaka sitt samtycke från ett företag att använda deras personuppgifter, har de rätt att få sina uppgifter raderade.
  • Rätten till dataportabilitet – Individer har rätt att överföra sina uppgifter från en tjänsteleverantör till en annan. Och det måste ske i ett vanligt och maskinläsbart format.
  • Rätten att bli informerad – detta omfattar all insamling av data från företag, och individer måste informeras innan data samlas in. Konsumenter har rätt att kunna välja om deras data ska samlas in, och samtycke måste ges fritt snarare än underförstått.
  • Rätten att få information rättad – detta säkerställer att enskilda individer kan få sina uppgifter uppdaterade om de är inaktuella eller ofullständiga eller felaktiga.
  • Rätten att begränsa behandlingen – Individer kan begära att deras uppgifter inte används för behandling. Deras register kan ligga kvar, men inte användas.
  • Rätten att göra invändningar – detta inkluderar rätten för enskilda individer att stoppa behandlingen av sina uppgifter för direktmarknadsföring. Det finns inga undantag från denna regel, och all behandling måste avbrytas så snart begäran tas emot. Dessutom måste denna rättighet göras tydlig för enskilda redan i början av all kommunikation.
  • Rätten att bli underrättad – Om det har skett ett dataintrång som äventyrar en individs personuppgifter har individen rätt att bli informerad inom 72 timmar efter att hen först fick kännedom om intrånget.

Data Processing Agreement (DPA)

GDPR anger specifika krav på avtal mellan personuppgiftsansvariga och de som behandlar datan som de har tillgång till (personuppgiftsbiträde). Dessa avtal kallas för personuppgiftsbiträdesavtal och ska alltid hanteras om data delas med tredje part. Du kan hitta GetAccepts personuppgiftsbiträdesavtal här.

Schrems II och SCC

Den 16 juli 2020 ändrade Europeiska unionens domstol (ECJ) i sitt fall kallat "Schrems II" hur data kan överföras till ett tredje land utanför EU, vilket ogiltigförklarade den gamla EU-US Privacy Shield. Kommissionens standardavtalsklausuler (SCC) är giltiga som en överföringsmekanism men kräver ytterligare säkerhetsåtgärder och konsekvensbedömningar av överföringarna (se nedan). GetAccept har de senaste SCC:erna på plats med alla relevanta underleverantörer. Kontakta oss för mer detaljerad information om de senaste initiativen och vår syn på ämnet dataöverföring till tredje land.

Transfer impact Assessment (TIA)

GetAccept har genomfört en Transfer Impact Assessment (TIA) för sina dataöverföringar. För en kopia av bedömningen, tveka inte att höra av dig till oss på legal@getaccept.com

Kontaktinformation

Om du har några frågor eller funderingar om våra policyer eller hur vi arbetar med dem, tveka inte att kontakta oss på legal@getaccept.com. Vi är alltid öppna för feedback eller frågor!