Sikkerhet

Generelle sikkerhetsrutiner

Pearsons strategier for informasjonsarbeid følger ISO27001. Våre prosedyrer og standarder følger beste praksis og baseres på ISO27002, NIST-publikasjoner, gjeldende lovverk samt den nye personvernforordningen GDPR som trer i kraft i løpet av 2018. Kunder har full tilgang til sin egen data. Kun et lite antall av Pearsons data-administratorer har tilgang til kundenes PHI (Personal Health Information). Pearsons globale informasjonssikkerhetspolicy «Access Control Policy» bygger på “Need to know”-prinsippet. Dette betyr at Pearson regulerer tilgangen til nettverk, datamaskiner, data og applikasjoner ut fra den enkelte ansattes behov og kvalifikasjonskrav. Tilgangen overstiger aldri det grunnleggende behovet den ansatte hos Pearson har for å fullføre sine arbeidsoppgaver.

Datalagring

Pearsons plattformer og alle persondata som disse prosesserer finner sted hos AWS i Canada. Pearson har valgt å plassere sine servere i Canada på bakgrunn av at landets lovverk når det gjelder håndtering og prosessering av persondata er godkjent av Europakommisjonen. Håndteringen vurderes være tilstrekkelig for å beskytte individuelle rettigheter og friheter for personer i Europa. All data som sendes mellom kunder og Pearson via WIFI/Ethernet er kryptert med AES-128 og TLS. Data som befinner seg på våre servere er videre kryptert med FIPS og AES-256. Data lagres og sikkerhetskopieres så lenge kunden ikke sletter denne fra Q-interactive Central eller Q-global. Q-interactive og Q-global er utviklet for tilgang 24x7x365. Dersom det skulle oppstå et driftsavbrudd er vårt mål å tilbakestille normal drift så snart som mulig.

Autorisasjon, tilgang og kontroll

Våre digitale plattformer baseres på rollebasert tilgang. Brukere må logge inn med unike brukernavn og passord for å få tilgang til applikasjonen. Det er ikke tillatt å benytte seg av gruppekontoer. Hver enkelt bruker må ha en egen konto. På Q-interactive autoriseres brukeren gjennom brukernavn, passord, kompetansekrav og brukerroller. I tillegg implementeres tofaktorautentisering mars 2018. Dette innebærer at hver enkelt bruker må verifisere sin identitet gjennom Google Authenticator, e-post eller SMS, før man får tilgang til systemet og informasjonen som finnes på plattformen.

Systemet/applikasjonen er konfigurert slik at den logger administratorers tilgang til data, oppdateringer, opprettelse og sletting av informasjon. Systemet lagrer også informasjon om når brukere leser, oppdaterer, skaper eller sletter informasjon. Det vil si at en unik ID for brukeren samt testpersonen logges, samt hvilke handlinger som er gjennomført og når. Loggene lagres i to år og kan kun mottas ved skriftlig forespørsel.

Underleverandører

En underleverandør kan ha ansvar for hele eller deler av datahåndteringen, som ellers gjennomføres av hovedleverandøren. En kunde kan ikke nekte å godkjenne en underleverandør eller dens vilkår, med mindre det finnes spesifikke grunner til dette. Pearson kan informere om nye underleverandører eller endring i vilkår hos nåværende leverandører.

Hva gjør jeg om jeg har ytterligere spørsmål angående Q-interactives sikkerhet?

Kontakte oss via e-post: info.no@pearson.com