• English

Security Policy

Sikkerhetspolicyen til Klikk.com er ment å være i samsvar med standarder, krav og anbefalinger fra følgende tredjepartsaktører:

  • PCI – Standard for betalingskortindustrien
  • SANS – Institutt for systemadministrasjon, nettverk og sikkerhet
  • Norsis – Norsk senter for informasjonssikring
  • NSM – Nasjonal sikkerhetsmyndighet
  • IETF – Internet Engineering Task Force
  • RFC – Request For Comments (forslagsdokumenter)
  • ITU – Den internasjonale telekommunikasjonsunionen
  • ISO – Den internasjonale standardiseringsorganisasjonen

og generelle beste praksiser.

Krav for alle ansatte

  • Sikkerhet i systemer og tjenester skal kontinuerlig utvikles og vedlikeholdes. Automatisert vedlikehold kan ikke utføres fra en sikkerhetssone med lavere nivå.
  • Alle personer skal ha sin egen brukerkonto. Deling av passord mellom personer er ikke tillatt.
  • Passord, programvarebaserte nøkler eller PKI-mekanismer som kan gi superbrukertilgang til andre systemer eller tjenester, skal ikke lagres permanent noe sted – heller ikke kryptert. Delte hemmeligheter som benyttes til totrinns-autentisering kan lagres i kryptert form på ansattes enheter, men kun på ikke-jailbreakede mobile enheter (telefon/nettbrett).
  • Tilgangen skal begrenses til færrest mulig personer.
  • Kun ansatte kan ha permanent superbrukertilgang.
  • Kommunikasjon mellom ulike sikkerhetssoner skal være kryptert.
  • All pålogging som gir superbrukertilgang skal som minimum kreve totrinns-autentisering og logging/revisjon.
  • Single Sign-On (SSO) er ikke tillatt mellom ulike tjenester. Det betyr at man ikke kan logge inn med totrinns-autentisering på én tjeneste, og deretter få tilgang til en annen tjeneste uten ny autentisering.
  • Sikkerhetssystemer og prosedyrer skal testes jevnlig.
  • Alle systemer og tjenester skal overvåkes kontinuerlig.
  • Maskin-til-maskin-autentisering mellom ulike tjenester som gir superbrukertilgang er ikke tillatt. Dette inkluderer overvåkings- og vedlikeholdssystemer.
  • Direkte kommunikasjon til tredjepartsnettverk i en høysikkerhetssone er ikke tillatt, og må gå gjennom en beskyttet tjeneste i en lavere sone.
  • VPN- eller proxy-tjenester som gir tilgang til en høysikkerhetssone er ikke tillatt med mindre hver VPN-bruker har en unik IP-adresse og er beskyttet av en restriktiv brannmur.
  • VPN-tjenesten må oppfylle de samme sikkerhetskravene og tilhøre samme sikkerhetssone som systemet eller tjenesten den beskytter.

Krav for applikasjoner

  • – En applikasjon har ikke tillatelse til å ha tilgang til prosesser tilhørende andre tjenester.
  • – En applikasjon har ikke tillatelse til å ha tilgang til filer eller data tilhørende andre tjenester.
  • – En applikasjon har ikke tillatelse til å ha superbrukertilgang til operativsystemet eller CPU-ring 0, 1 

Virtuelle servere og hypervisoren

  • Ingen virtuell maskin (VM) har tillatelse til å bruke andre MAC-adresser eller IP-adresser enn sine egne, slik det er definert av nettverkssvitsjen.
  • Kun ansatte skal tildeles superbrukertilgang, selv midlertidig.

  • Det er ikke tillatt å gi samme VM tilgang til ulike sikkerhetssoner, med unntak av dedikerte brannmur-instanser.
  • Ingen VM har tillatelse til å ha tilgang på prosessnivå til andre virtuelle maskiner.

Fysiske nettverkssvitsjer

  • Svitsjen må kreve MAC-autentisering mot serverporten, eller være konfigurert med et manuelt MAC-filter.

Krav for rutere / brannmurer

  • VM-er og servere skal ikke ha tillatelse til å bruke TCP/IP-porter som ikke er i bruk.

Krav for lagringssystemer

  • Lagringssystemet må befinne seg bak et lukket nettverk som kun er tilgjengelig for nødvendige applikasjoner. Administrasjon er kun tillatt fra maskiner i samme sikkerhetssone eller høyere.

Krav for fysisk sikkerhet

  • Utstyr skal være låst og ha adgangskontroll.
  • Ingen tredjepart skal ha fysisk tilgang til utstyret.