Lag konto
Tillitssenter

Sikkerheten er produktet.

Hvert image kundene våre kjører, går gjennom Sekyr, og det ansvaret tar vi på alvor. Denne siden er kortversjonen av hvordan vi driver vårt eget hus: policies, kontroller, sertifiseringer og hvem som har ansvaret. Alt her henger sammen med et internt dokument du enten kan be om eller åpne via lenkene under.

Les sikkerhetspolicyenKontakt sikkerhetsteamet
ISO 27001

ISMS i tråd med gjeldende standarder

GDPR

full etterlevelse for registrerte i EØS

OWASP T10

baseline for all programvareutvikling

< 24 t

forpliktet frist for varsling av hendelser

Viktigheten av datasikkerhet

Konfidensialitet er ikke til forhandling.

Sekyr-kunder gir oss metadata om hver container de kjører: image-digester, runtime-events og policyavgjørelser. Hvis vi håndterer den dataen dårlig, kan den fortelle mer om innsiden av infrastrukturen din enn de fleste penetrasjonstester klarer.

Vi beskytter den informasjonen uten å gjøre plattformen tregere. Resten av siden beskriver hvordan.

Dokumenter og policies

Alt du vil lese før du kjøper.

Vi publiserer det vi kan, og resten ligger én signert NDA unna.

Policy

Informasjons- og cybersikkerhetspolicy

Den overordnede policyen for informasjonssikkerhet, cybersikkerhet og personvern i Sekyr. Alle andre kontroller henger tilbake til denne.

Les policyen Prosess

Plan for hendelseshåndtering

Roller, eskaleringsveier og prosedyrer for gjenoppretting etter sikkerhetshendelser og datainnbrudd. Følger GDPR-kravene til varsling om brudd.

Les planen Register

Liste over underdatabehandlere

Hver tredjepart som behandler kundedata på våre vegne, hvor de holder til, og hva de gjør. Oppdateres ved vesentlige endringer.

Vis liste Juridisk

Tjenestevilkår

Vilkårene som regulerer tilgang til og bruk av Varde-tjenesten. Databehandlervilkårene (DPA) er innlemmet ved referanse.

Les vilkårene Juridisk

Databehandleravtale

Vår standard DPA med Standard Contractual Clauses vedlagt. Den tåler å bli kommentert og endret på.

Last ned DPA Policy

Personvernerklæring

Hvordan Sekyr samler inn, bruker og beskytter personopplysninger, og rettighetene du har som registrert under GDPR.

Les policyen Program

Policy for sårbarhetsvarsling

Hvordan du melder fra om problemer, hva som er i scope, og hvordan vi svarer. Inneholder en safe-harbour-erklæring for forskere som handler i god tro.

Les policyen
Kontroller

Hva vi faktisk gjør, dag for dag.

Trygg oppbevaring av dataene dine

Datakryptering
TLS 1.3 for all trafikk underveis. AES-256 for data som ligger lagret. Passord hashes med argon2id og kan aldri reverseres.
Sikkerhetskopier
Inkrementelle backuper hver time for primær lagring, og full sikring én gang i døgnet for varm lagring. Vi tester restore hvert kvartal i et rent miljø.
Nøkkelhåndtering
Ansvaret for nøkler er delt mellom flere personer. Rotasjon etter fast plan, og nødrotasjon som er både dokumentert og øvd på.
Dataminimering
Vi lagrer minst mulig data — bare det produktet faktisk trenger. Hvor lenge vi tar vare på det, settes per dataklasse og er håndhevet i koden.

Applikasjonssikkerhet

OWASP Top 10
All utvikling følger gjeldende OWASP Top 10 og ASVS. Brudd får CI til å feile.
Sikre oppdateringer
Hver release må gjennom en port med sikkerhetsstandarder (SAST, sjekk av avhengigheter, signerte artefakter) før den slippes.
Patchhåndtering
Releases skjer uten nedetid. Kritiske patcher leveres innen 24 timer etter varsling; ikke-kritiske leveres ukentlig.
Kodelagring og review
All kode gjennomgås av minst én annen utvikler før den lander. Versjonskontroll er kilden til sannhet; speilkopier er det aldri.

Identitet og tilgang

SAML og SSO
SAML 2.0 SSO er tilgjengelig for kunder og vi bruker det selv på alle interne systemer.
Tofaktorautentisering
Påkrevd for all privilegert tilgang. Vi bruker maskinvarebaserte faktorer for tilgang til produksjon.
Prinsippet om minste privilegium
Tilgang gis etter rolle, gjennomgås hvert kvartal, og trekkes tilbake samme dag en ansatt bytter rolle eller slutter.
Aktivitetslogg
Hver tilgang, endring og konfigurasjonsendring logges til et lager der ingenting kan slettes, og er sporbar til en person.

Infrastruktur

Sertifisert hosting
Produksjonen kjører på Hetzner i Nürnberg i Tyskland (nbg1). Hetzner er ISO/IEC 27001:2022-sertifisert, BSI C5 Type 2-revidert, og klassifisert som KRITIS-operatør av kritiske tjenester etter tysk lov.
Lagringssteder
Datasentre er valgt ut fra hensyn til miljø og fysisk sikkerhet. På stedet finnes bemannet inngang 24/7, CCTV og innbruddsalarmer.
Kontinuitet
Hver tjeneste kjører som flere pods i Nürnberg-regionen og skalerer automatisk opp og ned med lasten. Failover mellom flere soner står på planen vår.
Reservegenerator og strøm
Hostingleverandøren vår har både redundant strøm og generatorkapasitet, slik at driften går videre selv om strømmen forsvinner.

Mennesker og styring

Sikkerhetsteamet
Et navngitt team har ansvar for denne policyen, ISMS-en, og resten av sikkerhetsarbeidet i Sekyr.
Sikkerhetsopplæring
Alle ansatte gjennomfører opplæring i sikkerhet og personvern når de starter, og deretter hvert år. Utviklere tar i tillegg opplæring i sikker utvikling.
Risikobasert tilnærming
Vi vil ha optimal risiko, ikke minst mulig. Vurderingene er en del av forretningsbeslutningene, og kjøres på hver vesentlig endring.
Kontinuerlig forbedring
Måltall, gjennomganger etter hendelser og kvartalsvise gjennomganger fra ledelsen mater tilbake i ISMS-en.
Sertifisert hosting

Vi bygger på Hetzner av samme grunn som vi finnes: kjedelig, pålitelig infrastruktur.

Sekyr har produksjon i Hetzner sitt datasenter i Nürnberg (nbg1), på EU-jord og under tysk lov. Hetzner tar hånd om de delene av informasjonssikkerhet som ligger under applikasjonen vår:

  • ISO/IEC 27001:2022-sertifisering som dekker styringssystemet for informasjonssikkerhet, uten unntak i Annex A.
  • BSI C5 Type 2-sertifisering fra BSI, den tyske føderale myndigheten for informasjonssikkerhet. Type 2 betyr at kontrollene er uavhengig testet over tid, ikke bare designet på papir.
  • Klassifisert som KRITIS-operatør av kritiske tjenester etter tysk lov, sertifisert etter §8a BSIG.
  • Tekniske og organisatoriske tiltak (TOMs) blir revidert løpende av TÜV Rheinland. Vi har som databehandler tilgang til revisjonsprotokollen.
  • Fysiske kontroller på anlegget i Nürnberg: bemannet inngang 24/7, CCTV, innbruddsalarmer, og overvåking av miljøet, sammen med redundant strøm og generatorer.

Vi kobler våre egne kontroller opp mot Hetzners der det gir mening, og bygger resten selv.

Funnet noe?

Rapporter det til sikkerhetsteamet.

Sikkerhetsteamet vårt har ansvar for rutinene under, og svarer på varslinger døgnet rundt. Tror du at du har oppdaget et brudd på Sekyr-plattformen, så skriv til oss. Noen ser på det med én gang.

Sikkerhetsvarslinger

security@sekyr.com

Personvern og databeskyttelse

privacy@sekyr.com

GDPR-representant for EØS er navngitt i sikkerhetspolicyen.