GDPR Summary
– sådan lever vi op til IT sikkerhed

Som kunde hos Heyloyalty opnår du med dette GDPR Summary i hånden dokumentation for, at vi som din leverandør og samarbejdspartner lever op til de aftalte krav vedrørende IT-sikkerhed.

 Dette GDPR Summary er et udtryk for kvalitet, tryghed og sikkerhed, idet vi med denne dokumentation, overfor vores kunder garanterer og dokumenterer, at vi har styr på vores drift, kvalitet, sikkerhed, beredskab, kompetencer og processer.

Omfang for denne beskrivelse

Heyloyalty ApS er leverandør af et e-mail og marketing automation system, som hjælper vores kunder med kosteffektive, skræddersyede løsninger, som bl.a. via marketing automation, machine learning og automatiske triggers, kan medvirke til at styrker kundernes salg og fastholdelse af deres kunder og nyhedsbrevsmodtagere via udsendelse af personificerede nyhedsbreve og sms’er, samt re-targeting via Facebook og Instagram.

 Heyloyalty har som leverandør, ansvaret for at etablere og opretholde passende procedurer og kontroller med henblik på at finde og forebygge fejl, for således at overholde de i aftalen stillede krav. Kerneaktiviteten er drift, udvikling og vedligehold af Heyloyalty systemet, som tilsammen danner grundlag for dette summary.

Beskrivelse af Heyloyalty ApS

Heyloyalty ApS er grundlagt i 2006, af CEO og Partner Nicolaj Balle Ladiges. Vi er en dansk virksomhed med 12 medarbejdere på hovedkontoret i Aarhus og vi servicerer hovedsageligt små og mellemstore danske virksomheder. Vi er leverandør af vores eget udviklede system Heyloyalty og leverer udvikling, service og support til brugerne af systemet.

Vores medarbejdere er kompetente, erfarne, troværdige og lægger stort engagement i at service hver enkelt kunde, hvilket skaber tryghed og sikkerhed i valget af Heyloyalty som samarbejdspartner.

Forretningsstrategi og IT-Sikkerhedsstrategi

Totalleverandør:

Vores overordnede mål er at være e-commerce branchens fortrukne valg indenfor marketing automation systemer.  

Heyloyalty’s system leverer bl.a. følgende funktioner:

  • Dynamiske, personificerede nyhedsmails
  • Nyhedsbrevsproduktion via eget Produktfeed – og stylet efter individuelle ønsker
  • Triggers, automatisk mailudsendelse ud fra specifikke kriterier
  • Tabt kurv triggers
  • Winback triggers
  • Drag & Drop editor til design af e-mail skabeloner
  • Retargeting på facebook og Instagram
  • Webpush beskeder/notifikationer via browser til besøgende på kunders website (med mulighed for at parre sammen med kundernes eksisterende kontakter)

Heyloyalty ApS arbejder med IT-sikkerhed på et forretningsstrategisk niveau og arbejder løbende med at sikre et højt service- og kvalitetsniveau. Ledelsen prioriterer gennem sikkerhedspolitikken, at IT-sikkerheden er en vigtig del af virksomhedskulturen.

Heyloyalty har implementeres relevante sikkerhedsforanstaltninger inden for følgende områder:

  • Organisatorisk sikkerhed
  • Teknisk og Fysisk sikkerhed
  • Adgangsstyrring
  • Driftssikkerhed
  • Informationssikkerhed ved beredskab og reetablering af drift
  • Kommunikationssikkerhed

    Heyloyalty ApS – organisering af IT sikkerhed

    Hos Heyloyalty, en del af Arnsbo Media koncernen, eksistere en klar opdelt organisation vedr. IT sikkerhedsansvar, med dertilhørende rollebeskrivelser vedr. systemadgange.

    Direktionen har hovedansvaret for IT-sikkerheden i Heyloyalty ApS, mens den systemansvarlige varetager den daglige IT-sikkerhed.

    Alle medarbejdere holdes løbende opdateret med ændringer i IT-sikkerhedspolitikken.

    Ved brug af samarbejdspartnere udarbejdes samarbejdsaftaler og databehandleraftaler, inden arbejdet påbegyndes.

    Vi er en flad organisation, med kort fra beslutning til handling, og hvor medarbejderne er beskæftiget med både at udvikle systemet og servicere vores kunder, hvilket er med til at skabe et dybt kendskab til Heyloyalty systemet og en unik relation mellem os og kunderne.

    Risikostyring

    Risici der følger af Heyloyalty ApS’ aktiviteter afdækkes og afgrænses på et sådant niveau, at Heyloyalty ApS altid vil kunne opretholde normal drift.

    Heyloyalty ApS har indarbejdet fast procedure for risikovurdering, når der udvikles på Heyloyalty systemet, dette indebærer bl.a. grundig test af uvildig udvikler, en systemtest af en supporter, inden release. Dermed sikres, at de risici der er forbundet med system og dertilhørende serviceydelser er minimeret til et acceptabelt niveau. Alt udvikling går under hensyntagen til mottoet ”Privacy by design & Privacy by default”, som alle medarbejdere er trænet i. Endvidere er indført ”Process Excellent” for support mod kunder.

    Arbejdsprocessen omkring IT-sikkerhed er en kontinuerlig og dynamisk proces, som sikrer at Heyloyalty ApS altid er i overensstemmelse med kundernes krav og behov.

    Håndtering af IT-sikkerhed

    Ledelsen har det overordnede ansvar for IT-sikkerheden, derved sikres at de overordnede rammer og krav for IT-sikkerhed overholdes. IT-sikkerhedspolitikken skal som minimum gennemgås og revideres én gang om året.

    IT-sikkerhedspolitikken er gældende for alle medarbejdere og for alle leverancer til vores kunder. Ved eventuelle fejl eller sikkerhedsbrist i vores driftsmiljø, udbedres fejlen/sikkerhedshullet omgående ved hjælp af effektiv handling, beskrevet i beredskabsstyring/planen.

    IT-sikkerhedspolitikken er bl.a. defineret ud fra målsætningen om, at Heyloyalty systemet leverer stabilt og sikker drift til kunderne og fastsætter de grundlæggende politikker for Heyloyalty’s infrastruktur.

    HR, medarbejdere og uddannelse

    Alle medarbejdere hos Heyloyalty skal leve op til den rolle, som er tildelt dem og skal sikre at procedurer følges i henhold til IT-sikkerhedspolitikken.

    Hos Heyloyalty har det absolut topprioritet, at der passes på kundernes data og dermed vores forretning. Rollebaseret adgangsstyring, sikrer at kun relevante medarbejdere har adgang til specifikke kundedata. Alle medarbejdere har endvidere underskrevet en fortrolighedserklæring og modtaget undervisning i den gældende IT-sikkerhedspolitik ved ansættelsen i Heyloyalty ApS.

    Medarbejderne betragtes som Heyloyalty’s vigtigste aktiver og anvender bl.a. personprofilanalyser i forbindelse med ansættelse, for at sikre medarbejdernes rette kvalifikationer og tilgang til levering af Heyloyalty ydelserne.

    Heyloyalty sikrer via produkttræning og ugentlige gennemgange af udviklingsopgaver, at opretholde medarbejdernes videns og sikkerhedsniveau ift. Heyloyalty-systemet.

    Fysisk sikkerhed

    Heyloyalty ApS’ servere befinder sig hos Inventio.IT A/S og hos Amazon Web Service, og disasterbackup forefindes hos Digital Ocean.

    Heyloyalty’s kontor er altid aflåst uden for almindelig åbningstid (hverdage 8-17), desuden er tyverialarmen altid tilsluttet, når der ikke er nogen medarbejdere til stede.

    På kontoret findes brandsikret, aflåst lokale, hvori alle medarbejdernes computere opbevares uden for arbejdstid.

    Brugerstyring/adgangssikkerhed

    Brugere til Heyloyalty systemet oprettes alene på baggrund af vores kunders ønske.

    Vores egne brugere oprettes på baggrund af autorisation fra systemejeren. Brugerrettigheder defineres ud fra forskellige roller og rettigheder. Brugernes kodeord er personlige og det er alene brugeren selv der kender kodeordet. Den enkelte bruger har mulighed for at nulstille sit kodeord og generere et nyt. Brugere har kun adgang til egne oplysninger.

    Heyloyalty systemet har en indbygget log på alle oprettelser/opdateringer og sletninger. Endvidere findes log på uautoriseret adgangsforsøg.

    Heyloyalty’s medarbejdere i support- og udviklingsafdelingerne har adgang til alle kunders oplysninger, men tilgår kun kundens oplysninger efter nærmere aftale og i support øjemed.

    Overvågning og styring af IT-sikkerhedshændelser

    Heyloyalty ApS har udarbejdet en formel og fast procedure til styring af beredskabsplanlægning, denne omfatter IT-systemer og processer.

    Alt kritisk systemsikkerhed tilsynsføres via OpsGenie, som er en fleksibel platform for hændelsesstyring og alarmstyring, der integrerer med div. overvågningsstabeller, for at forbedre driftssikkerhed og fleksibilitet.

    Der er etableret en beredskabsplan og alle der er tilknyttet beredskabssystemet, har installeret App’en der sikrer omgående notifikation ved en alarm, således at hvis en kritisk fejl konstateres, afsendes omgående en alarm til de to ansvarlige på vagt, via sms.

    Alle sikkerhedshændelser dokumenteres i en aktivitetsliste. Der er opsat mål for reetableringstiden og der forefindes procedure for eskalation, sluttende med at den administrerende direktør involveres.

    Efter endt sikkerhedshændelse afholdes retrospektive møde for analyse og sikkerhedsvurdering af hændelsen.

    Backup opgaver styres af Inventio.IT, hvilket sikrer at Heyloyalty ApS’ kunders data kan genskabes, nøjagtigt og hurtigt, således at kunderne undgår unødvendig ventetid. Endvidere sikrer Inventio.IT at der tages kryds-backup af alle data til et andet fysisk serverrum.

    Kommunikationssikkerhed

    Vores internet leverandør er Nianet og der er installeret en 200Mbps fiberforbindelse og en 200 Mbps Flatrate internet aftale med en SLA -Erhvervsaftale (Service Level Agreement). Vi er beskyttet mod ransomware med antivirus, spamfilter samt begrænsninger i, hvad brugerne foretager sig på systemerne.

    Hvis Heyloyalty ApS’ kunder skulle blive ramt af ransomware, har vi sikret hurtig genetableringstid med almindelig back-up.

    Kundens ansvar

    I forhold til den enkelte kundes bruger og adgang til Heyloyalty systemet, er Heyloyalty ApS ikke ansvarlig for tildeling af adgangsrettigheder, herunder tildeling, ændring og nedlæggelse. Kunden er selv forpligtet til at sikre nødvendige kontroller i forbindelse med oprettelse af egne brugere, håndtering omkring sikkerheden af password ift. de foreskrevne retningslinjer og rollebeskrivelser/adgange. 

    Kunden er ansvarlig for egne oplysninger og indsamlingen af medlemsoplysninger (kundens kunder) og at der forefindes fornøden hjemmel til dataindsamlingen.

    Dedikerede Persondatakompetencer

    Hos Heyloyalty ApS er det ikke et krav at der skal udpeges en Databeskyttelsesrådgiver (DPO), idet behandling af personoplysninger ikke er vores kerneaktivitet.

    Vi har dog valgt at udpege en GDPA med ansvar svarende til en DPO, GDPA står for General data Protection Administrator. GDPA’en udvælges med omhu, og personen udpeges for minimum 2 år ad gangen og er en dedikeret persondataadministrator som styrker vores troværdighed og integritet, samt viden på området

    GDPA’en fungerer som en databeskyttelsesrådgiver/persondata administrator dvs. er en form for intern databeskyttelsesombudsmand i Heyloyalty ApS. Vedkommende inddrages i alle spørgsmål om databeskyttelse og rådgiver om de databeskyttelsesretlige regler og sikrer at persondata behandles efter de gældende regler både internt og på vegne af vores kunder.

    Spørgsmål?

    Har du spørgsmål til ovenstående eller GDPR generelt hos Heyloyalty, er du som altid meget velkommen til at kontakte os.

     

    Februar 2019

    Vi bruger cookies til at forbedre din oplevelse. Når du bruger sitet, accepterer du brugen af cookies. Se mere

    Cookie indstillingerne på denne hjemmeside er aktiveret for at give dig den bedste oplevelse. Hvis du fortsætter med at bruge hjemmesiden uden at ændre dine cookie indstillinger eller du klikker Accepter herunder, betragtes dette som din accept

    Luk