Säkerhet

Generella säkerhetsåtgärder

Pearsons integrerade strategier för informationssäkerhet är i direkt linje med ISO27001. Pearsons procedurer och standarder följer bästa praxis inom området och baseras på ISO27002, NIST-publikationer och är, för Europa, förenlig med gällande EU-lagstiftning och den nya dataskyddsförordningen GDPR som träder i kraft maj 2018. Kunder har tillgång till sin egen data. Endast ett fåtal av Pearsons databasadministratörer har tillgång till kunders PHI (Personal Health Information). Pearsons globala informationssäkerhetspolicy ”Access Control Policy” bygger på principen “'Need to know'”. Detta innebär att Pearson reglerar tillgången till nätverk, datorer och processorer, data och applikationer utifrån grundval av behovsenlig behörighet, där behörigheten aldrig överstiger det grundläggande behovet för att fullfölja användarens arbetsuppgifter.

Datalagring

Pearsons plattformar och all persondata som dessa bearbetar är placerade hos AWS i Kanada. Orsaken till att Pearson valt att placera data i Kanada är att landets lagstiftning gällande hantering och bearbetning av personuppgifter, av Europeiska Kommissionen, bedömts vara fullgod för att skydda individuella rättigheter och friheter för personer inom Europeiska Unionen (EU). Data överförs krypterad och lagras i en krypterad databas i Kanada. Samtlig data som skickas mellan kunder och Pearson via WIFI/Ethernet är krypterad med AES-128 och TLS. Data som ligger vilande är krypterade med AES-256 och FIPS. All data säkerhetskopieras och backas upp så länge kund inte raderar data från Q-interactive Central eller Q-global. Q-interactive och Q-global är utvecklade för tillgång 24x7x365. Vid ett eventuellt driftavbrott är Pearsons mål att adressera detta snarast möjligt och återställa servicen så snabbt som det är tekniskt möjligt.

Auktorisation, åtkomst och kontroll

Pearsons digitala plattformar använder sig av rollbaserad åtkomst. Användare måste använda unika användarnamn och lösenord för att få tillgång till applikationen. Allmänna användarkonton är inte tillåtna. Varje enskild användare måste inneha ett unikt användarnamn och lösenord. Q-interactive hanterar auktorisationen inom applikationen genom unika användarnamn, lösenord, behörighetsroller och tillstånd. Utöver detta kommer tvåfaktorsautentisering att implementeras i mars 2018, vilket innebär att varje enskild användare måste verifiera sin identitet via Google Authenticator, e-post eller SMS innan denne får tillträde till systemet och informationen som finns på plattformen. Systemet/applikationen är konfigurerad att logga priviligierade kontons (såsom superusers, admin m.fl.) åtkomst inklusive tillträde, uppdateringar, skapande och avlägsnande av information. Utöver detta bevarar systemet/applikationen en säkrad granskningslogg över när användare läser, uppdaterar, skapar eller raderar information. Detta innebär att en enskild användares unika kännetecken, en informants unika kännetecken (t.ex. testperson ID), funktionen som utfördes av användaren samt tid och datum för denna handling loggas. Dessa loggar bevaras i två år och kan delges kund vid skriftlig begäran.

Underleverantör

En underleverantör är någon som leverantören har anförtrott delar av eller hela datahanteringen till, som annars genomförs av leverantören åt kund. En kund kan inte vägra att godta en underleverantör eller förändringar i underleverantörer, förutsatt att det inte finns specifika och underbyggda grunder för ett sådant ställningstagande. Pearson kan åta sig att informera kunder om addering av nya eller förändringar i befintliga underleverantörer.

Vad gör jag om jag har ytterligare frågor angående säkerhet och lagring av testdata i Q-interactive?

Kontakta oss här.