Säkerhet

Vår syn på säkerhet

Carsdata fungerar som datainfrastruktur för den europeiska bilmarknaden, och konfidentialiteten, integriteten och tillgängligheten hos de uppgifter som anförtrotts oss är grundläggande för den rollen. Vi tillämpar ett djupförsvarsangreppssätt: säkerhet är inbyggd i hur vi utformar, bygger och driver plattformen, snarare än något som läggs till i efterhand. Denna sida sammanfattar de tekniska och organisatoriska åtgärder som vi upprätthåller. Den tillhandahålls i transparenssyfte och utgör inte en del av något avtal; specifika åtaganden anges i det relevanta tjänsteavtalet och personuppgiftsbiträdesavtalet.

Styrning och efterlevnad

Vårt säkerhetsprogram är utformat kring de kontroller och Trust Services Criteria som anges i internationellt erkända ramverk – inbegripet ISO/IEC 27001 och SOC 2 – och vi bedömer och förbättrar fortlöpande våra rutiner i förhållande till dem. Vi behandlar personuppgifter i enlighet med GDPR, och vår behandling för kunders räkning regleras av vårt personuppgiftsbiträdesavtal.

Säkerheten ägs på ledningsnivå och stöds av dokumenterade policyer som omfattar acceptabel användning, åtkomstkontroll, dataklassificering, ändringshantering, leverantörshantering och incidenthantering. Policyerna ses över regelbundet och efter varje betydande förändring av vår miljö.

Datahosting och infrastruktur

Plattformen körs på infrastrukturen hos etablerade molnleverantörer som driver certifierade, fysiskt säkrade datacenter. Personuppgifter hostas i första hand inom Europeiska unionen / Europeiska ekonomiska samarbetsområdet. Vår infrastruktur är logiskt segregerad, utplacerad över motståndskraftiga tillgänglighetszoner och förvaltas genom infrastruktur som kod så att miljöer är konsekventa, granskningsbara och reproducerbara.

Kryptering

Data under överföring krypteras med TLS över publika nätverk. Data i vila krypteras med starka, branschstandardiserade algoritmer. Krypteringsnycklar hanteras genom våra molnleverantörers nyckelhanteringstjänster, med åtkomst begränsad till behöriga system och behörig personal.

Åtkomstkontroll

Åtkomst till system och data följer principerna om lägsta behörighet och behovsenlighet. Administrativ åtkomst kräver flerfaktorsautentisering, beviljas på rollbasis, loggas och ses över regelbundet och återkallas omgående när den inte längre behövs. Där det stöds kan kundens åtkomst till plattformen federeras genom single sign-on.

Nätverks- och applikationssäkerhet

Vårt nätverk skyddas av brandväggar, säkerhetsgrupper och segmentering som begränsar trafiken till vad som är nödvändigt. Applikationer skyddas mot vanliga webbsårbarheter genom säker design, indatavalidering och härdade konfigurationer, och publika slutpunkter skyddas av åtgärder mot volymetriska attacker och attacker på applikationslagret.

Säker utvecklingslivscykel

Förändringar av plattformen genomgår versionshantering, kollegial kodgranskning och automatiserade tester före lansering. Vi använder automatiserad genomsökning av beroenden och sårbarheter i våra pipelines, separerar utvecklings-, staging- och produktionsmiljöer och följer en kontrollerad ändringshanteringsprocess så att lanseringar är spårbara och reversibla.

Övervakning, loggning och detektion

Vi samlar in applikations-, infrastruktur- och åtkomstloggar centralt och övervakar för avvikande aktivitet och tillgänglighetsproblem. Larm dirigeras till det ansvariga teamet så att potentiella problem kan utredas och åtgärdas omgående.

Sårbarhetshantering och testning

Vi genomsöker regelbundet våra system och beroenden efter kända sårbarheter och åtgärdar dem på riskprioriterad basis. Vi anlitar kvalificerade tredje parter för att utföra regelbundna penetrationstester och åtgärdar fynd i enlighet med deras allvarlighetsgrad.

Säkerhetskopiering och kontinuitet i verksamheten

Data säkerhetskopieras regelbundet, med säkerhetskopior krypterade och lagrade åtskilt från primära system. Vi upprätthåller planer för kontinuitet i verksamheten och katastrofåterställning med definierade återställningsmål, och vi testar vår förmåga att återställa tjänsten så att vi kan återhämta oss från avbrott med minimal påverkan.

Personalsäkerhet

Personalen är bunden av sekretessförpliktelser och får utbildning i säkerhet och dataskydd som är lämplig för deras roll, både vid introduktion och fortlöpande. Åtkomst till produktionsdata är begränsad till dem som behöver den för sitt arbete och tas bort när de byter roll eller slutar.

Underbiträden och leverantörshantering

Vi anlitar ett begränsat antal noggrant utvalda underbiträden – i första hand leverantörer av molninfrastruktur och lagring – för att leverera Tjänsterna. Vi bedömer våra leverantörers säkerhetsläge, binder dem genom lämpliga avtalsenliga dataskydds- och säkerhetsskyldigheter och upprätthåller en aktuell förteckning över underbiträden enligt hänvisning i vårt personuppgiftsbiträdesavtal.

Incidenthantering

Vi upprätthåller en dokumenterad incidenthanteringsprocess som omfattar detektion, triage, inneslutning, utrotning, återställning och granskning efter incident. Vid en personuppgiftsincident som påverkar kunddata underrättar vi berörda kunder utan onödigt dröjsmål och stöder dem i att fullgöra sina egna anmälningsskyldigheter, i linje med GDPR och vårt personuppgiftsbiträdesavtal.

Dataskydd och integritet

Säkerhet och integritet hanteras tillsammans. Vi tillämpar principerna om uppgiftsminimering och ändamålsbegränsning, behandlar personuppgifter i enlighet med GDPR och reglerar behandling som utförs för kunders räkning genom vårt personuppgiftsbiträdesavtal. För närmare uppgifter om hur vi hanterar personuppgifter, se vår integritetspolicy.

Rapportera en sårbarhet

Vi välkomnar rapporter från säkerhetsforskare och användare. Om du tror att du har hittat en säkerhetssårbarhet i Carsdata.com, kontakta oss på info@carsdata.com med tillräckligt med detaljer för att återskapa problemet. Vi ber dig att ge oss en rimlig möjlighet att utreda och åtgärda innan något offentliggörande, och att du undviker att komma åt eller ändra data som inte är din egen. Vi kommer att bekräfta din rapport och hålla dig informerad om våra framsteg.