ISAE 3000 & Sikkerhedsspørgsmål

Intempus ISAE 3000 TYPE 2 erklæring

General Data Protection Regulation (GDPR), eller på dansk “Databeskyttelsesforordningen”, er navnet på EUs persondatalovgivning. GDPR har til formål at beskytte EU’s borgere fra misbrug af deres personlige data. Derfor skal alle europæiske virksomheder siden den 25. maj 2018 have haft skærpet deres processer for, hvordan persondata bliver opsamlet og behandlet sikkert. Intempus har følgende certificeringer:

  • ISEA 3000 erklæring
  • ISEA 3000 TYPE 2 erklæring

Intempus APS udtalelse

Intempus ApS varetager behandling af personoplysninger i forbindelse med Intempus timeregistreringsplatform for vores kunder, der er dataansvarlige i henhold til Europa-Parlaments og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og lov om supplerende bestemmelser til databeskyttelsesforordningen (databeskyttelsesloven). Medfølgende beskrivelse er udarbejdet til brug for de dataansvarlige, der har anvendt Intempus timeregistrerings- platform, og som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder de tekniske og organisatoriske sikkerhedsforanstaltninger og øvrige kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen og databeskyttelsesloven er overholdt.

Intempus ApS anvender underdatabehandlere. Disse underdatabehandleres relevante kontrolmål og tilknyttede tekniske og organisatoriske sikkerhedsforanstaltninger og øvrige kontroller indgår ikke i den medfølgende beskrivelse. Intempus ApS bekræfter, at den medfølgende beskrivelse i sektion 3 giver en retvisende beskrivelse af Intempus timeregistrerings-platform og de tilhørende tekniske og organisatoriske sikkerhedsforanstaltninger og øvrige kontroller pr. 15. november 2021.

Spørgsmål og svar

FAQ om databehandling og databeskyttelse

How does Intempus back up customer data?

Intempus performs backup of data using two independent backup systems. Each backup system sends backups to two different storage locations for a total of four separate backup locations.

A daily full backup is created using the pg_dump tool. These backups are stored on two different servers for six months. Once per week we restore one of these backups to a test system to ensure we always have good backups.

Continuous backups are created using the barman tool. This ensures new data is backed up within a few minutes of being created. These backups are stored on two different servers for 2-3 weeks. Barman monitors that the required backups are present and alerts us if backups are not being performed.

How does Intempus protect user passwords?

Passwords are stored in our database using an iterated salted hash algorithm. This means that even Intempus system administors cannot read your password from the database. The algorithm being used is known as PBKDF2-SHA256.

Intempus performs a calculation of the complexity of passwords entered by users. This is known as an entropy estimate. The calculation makes use of a third party database of passwords previously leaked from other systems. That database is named Have I Been Pwned. Intempus use the offline version of the database in order to protect against potential leaks through the HIBP API.

Each Intempus customer can choose a minimum password strength for their users. Intempus will enforce this policy when a user updates their password. The calculated entropy will not be stored by Intempus after the validation has been performed.

To protect against brute force attacks and credential stuffing Intempus will enforce a global rate limit on invalid login attempts. When the limit is exceeded the client IP address is temporarily blocked by Intempus. If necessary a range of multiple IP addresses will be blocked. The decision to block based on IP addresses was made because this is more accurate than blocking based on usernames.

Does Intempus support single-sign-on?

Intempus has support for Microsoft SSO. A customer using SSO can choose to either require their users to use SSO or to give users a choice between SSO and password logins.

How does Intempus encrypt customer data?

Communication between Intempus and users is encrypted using transport layer security (TLS). Customer data exchanged between different parts of Intempus is encrypted using either TLS or SSH.

The storage server used by our database is encrypted by the hosting provider transparent to Intempus.

Which certifications does Intempus have?

Intempus has a ISAE 3000 type 2 certification.

Cookie-indstillinger