Centum Logo
  • Forbrukslån
  • Refinansiering
  • Billån
  • Lån uten sikkerhet
  • Smålån
  • Kontakt oss
  • Personvern
23 96 70 00
  • Mine soknader
  • Logg ut
  • Fordelsavtale
  • Forbrukslån
  • Personvern
  • Eksterne banker og långiveres personvern
  • Retningslinjer for IT-sikkerhet
  • Om informasjonskapsle

Avtale och personvern

Retningslinjer for IT-sikkerhet

Retningslinjer for IT-sikkerhet

Behandling av informasjon og data

Disse retningslinjene for IT-sikkerhet gjelder for Zmarta Group og de selskapene som inngår i konsernet. Retningslinjene beskriver Zmartas grunnleggende tilnærming og intensjoner samt overordnede mål for informasjonssikkerhetsarbeid.

Definisjoner

Informasjonssikkerhet handler om å gi Zmartas informasjonstilgang riktig beskyttelse over tid og omfatter sikkerhetsaspektene:

Tilgjengelighet – informasjon er tilgjengelig i forventet utstrekning og til ønsket tid.

Korrekthet – informasjon beskyttes mot uønsket og ulovlig forandring eller ødeleggelse.

Personvern – data eller annen informasjon ikke gjøres tilgjengelig eller formidles uautorisert.

Konfidensialitet – informasjonen overholder gjeldende lover og forskrifter samt interne retningslinjer og at den ikke gjøres tilgjengelig eller deles uten tillatelse.

Sporbarhet – vi kan spore viktige endringer i systemet, slik at vi i etterkant tydelig kan se spesifikke aktiviteter eller hendelser til et identifisert objekt eller bruker (hvem, hva, når).

Bakgrunn

God informasjonssikkerhet er svært viktig for å beskytte Zmartas virksomhet mot interne og eksterne IT-relaterte trusler. Informasjonssikkerhetsarbeidet har også som formål å beskytte ansatte og kunder som vi bistår i egenskap av å formidle boliglån, forbrukslån og forsikringer samt beskytte våre leverandører og samarbeidspartnere

Informasjonssikkerhetsarbeidet skal håndtere informasjonsrisiko på en strukturert og konsekvent måte. Arbeidet er ikke statisk, men utvikles kontinuerlig i takt med vår virksomhet og verden rundt oss.

Utgangspunktet i vårt arbeid med informasjonssikkerhet er virksomhetens og interessenters behov for sikkerhet mot uønskede hendelser.

Retningslinjer

Tilnærming. Det er av avgjørende betydning at informasjonen og den underliggende infrastrukturen er beskyttet mot identifiserbare trusler som manipulasjon, ødeleggelse, korrupsjon, ulovlige aktiviteter, gjennomføring av bedragerske transaksjoner, rene feil uansett om disse er utilsiktede eller tilsiktede samt brudd på retningslinjer for personvern mellom Zmarta Groups og deres kunder eller partnere.

Sikkerhetstiltakene som beskrives i disse retningslinjene beskriver hvordan informasjon og informasjonssystemer (både interne og eksterne) skal benyttes på en trygg måte. Retningslinjene for informasjonssikkerhet har som formål å sikre at all håndtering av Zmartas informasjonstilgang skjer i overensstemmelse med gjeldende lovverk, forskrifter og allmenne regler samt Zmartas interne retningslinjer og rutiner.

Zmarta informasjonssikkerhetsarbeid kjennetegnes av:

  • at vi har kunnskap om hvordan vi kan sikre informasjonssikkerheten
  • at vi kontinuerlig analyserer og vedlikeholder kapasiteten for krisehåndtering
  • at informasjonstilgang klassifiseres etter den modellen som brukes
  • at trusselbildet mot informasjonstilgang analyseres kontinuerlig
  • at hendelser som kan føre til negative konsekvenser forebygges
  • at arbeid med informasjonssikkerhet er en naturlig del av virksomheten.

Viktige prinsipper: Følgende prinsipper gjelder for informasjonssikkerheten innen Zmarta Group:

Investering i sikkerhetstiltak skal gjøres på bakgrunn av gjennomførte risikovurderinger, effektivitetskrav og de krav forretningsvirksomheten stiller.

Implementeringen av informasjonssikkerhet skal være gjennomførbar og praktisk, og det skal finnes en balanse mellom beskyttelsesnivå og effektivitet.

Informasjonssikkerhet er en kontinuerlig prosess som skal være integrert i forretningsvirksomheten.

Ansatte, konsulenter, forretningspartnere og leverandører skal vite og være trygge på Zmarta Groups holdning til hvor viktig informasjonssikkerhet er for Zmarta Group.

Strukturen for informasjonssikkerhet skal effektivisere og sikre at retningslinjene overholdes i henhold til kravene til informasjonssikkerhet utformet av Zmarta.

Sikker identifisering og autentisering skal benyttes for tilgang til alle systemer. Ingen uvedkommende skal få tilgang til Zmartas informasjon. Informasjonssikkerheten skal sikre at kun personer med autorisert tilgang får tilgang til den informasjonen som trengs for de skal kunne utføre sine arbeidsoppgaver.

Det skal etableres systemovervåking, slik at alle eventuelle hendelser oppdages og rapporteres, samtidig som det iverksettes relevante tiltak for å eliminere og redusere risikoen for at noe lignende skal kunne skje i fremtiden.

Sikkerhetsorganisasjon: Zmarta har delt arbeidet med informasjonssikkerhet inn i flere sikkerhetsområder. Disse omfatter fysisk sikkerhet, administrativ sikkerhet, datasikkerhet/IT-sikkerhet, personsikkerhet samt kommunikasjonssikkerhet.

For hvert sikkerhetsområde er det utpekt en ansvarlig. Informasjonssikkerhetsansvarlig har et overgripende ansvar for den strategiske sikkerheten på samtlige av disse områdene. Informasjonssikkerhetsarbeidet ledes av teknisk fagansvarlig (CTO).

Klassifisering: Klassifisering av Zmartas informasjonssystem skal gjennomføres med hensyn til vår definisjon av informasjonssikkerhet, det vil si krav til tilgjengelighet, korrekthet, personvern, konfidensialitet og sporbarhet. Klassifisering er en formell måte å fastsette egnet beskyttelsesnivå for et IT-system på. Informasjonen er i fokus for klassifiseringen.

Sletting og rensing: Når det gjelder Zmartas rutiner for sletting av personopplysninger og fjerning av annen informasjon, fremgår dette av Zmarta Groups registre og styringsdokumenter.

Bruk: Personopplysninger skal oppbevares og håndteres i henhold til EUs personvernforordning (GDPR) og den svenske datavernloven samt andre relevante lover og forskrifter. Ved usikkerhet i forhold til dette, kan det stilles spørsmål til informasjonssikkerhetsansvarlig eller personvernsombud (DPO)

Systemutvikling: Informasjonssikkerheten skal vurderes under utvikling, implementering og endringsfaser i hele programvarens levetid. Zmartas systemutviklingsprosess skal dokumenteres, og prosessene for endringshåndtering og testing skal styres.

Privacy by Design & Privacy by Default i henhold til EUs personvernforordning I Zmarta Groups systemutvikling skal både personlig integritet og informasjonssikkerhet være ledestjerner.

Vi skal derfor arbeide med innebygd integritetsbeskyttelse (Privacy by Design). Dette er et begrep som brukes for å beskrive systemer og løsninger der personvernet også er en integrert del av utviklingen av systemet eller løsningen, og som går som en rød tråd gjennom hele systemets levetid. Et eksempel er innføring av informasjonssikkerhetstiltak så tidlig som på planleggingsstadiet for å hindre at følsomme opplysninger kommer i hendene til ikke-autoriserte personer.

Bestemmelsen om Privacy by Design kompletteres av regelen om Privacy by Default, som innebærer å iverksette passende tekniske og organisatoriske tiltak for å sikre at kun er nødvendige personopplysninger for et spesifikt formål som behandles. Det samme gjelder for mengden av personopplysninger som samles inn, omfanget av behandlingen av disse opplysningene, tidspunktet for lagring og tilgjengelighet.

Data Protection Impact Assessments – konsekvensvurderinger: Vi foretar konsekvensvurderinger i henhold til personvernforordningen ved å granske og revidere retningslinjer og veiledninger som for eksempel risikohåndtering og endringsarbeid (IT-anskaffelser, utkontraktering, tjenesteutvikling) og sørger for at de inneholder krav til innebygd databeskyttelse og databeskyttelse som standard.

Virusbeskyttelse: Alle systemer skal holdes oppdatert med de siste sikkerhetsoppdateringene. Ingen innebygde sikkerhetsmekanismer bør skrus av.

Tilgang til nettverk: Tilgang til nettverk fra hjemmekontor skal kun tillates dersom brukeren er autorisert via tilgangskontroller og verifiseringsprosedyrer på den måten som Zmarta Group har bestemt, eventuelt via virtuelt privat nettverk (VPN).

All følsom og internt eller eksternt kommunisert datakommunikasjon skal beskyttes via kryptering eller annet adekvat sikkerhetssystem.

Egne hjemmesider og kryptert overføring av informasjon: Det skal iverksettes ekstra sikkerhetskrav til hjemmesider der det samles inn personopplysninger. IT-sikkerhetsansvarlig skal løpende kontrollere at sikkerhetsnivået er tilfredsstillende.

Zmarta Group vil at alle brukere skal føle seg trygge når de gir oss personopplysninger. For å beskytte dine personopplysninger, bruker vi https (TLS-kryptering som støtter kryptert kommunikasjon over et datanettverk) når du besøker våre nettsider. Dette gjør vi for at all informasjon (f.eks. dine personopplysninger) alltid er kryptert ved overføring til oss.

Brukersikkerhet: Brukernavn og passord skal håndteres på en trygg måte, og alle innlogginger skal gjøres av autoriserte personer. Zmarta skal sikre at alle ansatte har god kunnskap om Zmarta Groups behandling av personopplysninger og tilhørende informasjonssikkerhet.

Rapportering av hendelser som berører personvern og informasjonssikkerhet: Hendelser som vedrører personvern kan skyldes brann, ikke-autorisert tilgang eller annet. Slike uønskede hendelser skal håndteres av en ansvarlig person. Det er viktig å ha gode rutiner slik at man umiddelbart kan håndtere hendelser som omfatter personopplysninger. Meldinger om hendelser rettes til tilsynsmyndighet, dvs. Integritetsmyndigheten i Sverige, i løpet av 72 timer.

Zmarta har en en rutinebeskrivelse for håndtering av uønskede hendelser. Oppfølging av informasjonssikkerhetsarbeidet skjer ved at sikkerhetshendelser registreres i et eget system. Oppfølging av valgte eller gjennomførte beskyttelsestiltak skal skje kontinuerlig.

Dersom hendelsen kan føre til at personer utsettes for alvorlig risiko, som diskriminering, ID-tyveri, svindel eller økonomisk bedrageri, skal Zmarta også informere de som påvirkes av hendelsen, slik at de kan iverksette nødvendige tiltak.

Arkivering og lagring

Hvert system har ulike data som har ulike krav med tanke på lagring og langtidsarkivering. Zmarta skal ha en særskilt rutine for arkivering for å sikre arkivering av data på best mulig måte.

Innkjøp

Zmarta Groups instruks for innkjøp og avtalehåndtering (prosess ved inngåelse av avtale) skal sikre at alle deler av disse retningslinjene følges og implementeres.

Fysisk sikkerhet

All tilgang til informasjon skal registreres. Kritiske informasjonssystemer skal oppbevares i egne, fysisk avgrensede rom. Sikkerheten skal være en integrert del av Zmartas virksomhet og støtte den slik at man kan nå de oppsatte målene for kvalitet og effektivitet. Servere og lagringsmedia som inneholder følsom eller konfidensiell informasjon skal beskyttes ekstra godt. Alle Zmartas lokaler skal være utstyrt med egnede alarmsystemer. Brannvarslere og rømningsplaner samt skilt til nødutganger og rømningsveier skal plasseres i alle Zmartas lokaler.

Risikoanalyser

Det skal gjennomføres årlige risikoanalyser for alle forretningskritiske prosesser. Disse skal gjennomføres med den metoden og etter de prosedyrene som er utviklet til dette formålet. Vi skal risikoklassifisere ut fra lav, middels og høy risiko.

Referanser og lenker

Zmarta er ikke ansvarlig for noe innhold som er lenket eller referert til fra disse sidene. Hvis skader oppstår ved bruk av informasjonen som presenteres her, fratas Zmarta alt ansvar.

Videre er Zmarta ikke ansvarlig for kommentarer eller meldinger publisert av brukere av Zmartas nettside, i de tilfeller slik publisering er mulig. Zmarta er ikke ansvarlig for noe innhold som det er linket eller referert til på disse sidene.

Ansvar

Retningslinjene fastsettes av Zmartas ledelse. Informasjonssikkerhetsansvarlig er ansvarlig for å oppdatere retningslinjene og tilhørende dokumenter og deretter kommunisere dette til alle ansatte.

Informasjonssikkerhetsansvarlig overvåker også at retningslinjene overholdes og at alle ansatte får tilpasset opplæring, slik at bevisstheten rundt dette øker.

Integritetsmyndigheten og Datatilsynet

Zmarta Group har valgt den svenske Integritetsmyndigheten som sin tilsynsmyndighet, ettersom Zmarta eies av et svensk selskap, og konsernet (Zmarta Group) har størstedelen av virksomheten sin i Sverige. Relevant tilsynsmyndighet i Norge er Datatilsynet.

I henhold til loven har du også rett til å klage på behandlingen av personopplysningene dine til Datatilsynet eller Integritetsmyndigheten.

Integritetsmyndigheten har følgende kontaktinformasjon: telefon: +46 (0)8-657 61 00, e-post: imy@imy.se eller via post; Box 8114, 104 20 Stockholm.

Datatilsynet tar imot klager via post: Datatilsynet, Postboks 8177, 0034 Oslo

Kontakt

Du når Zmarta AS via telefon 23 96 70 10, e-post til; info@zmarta.no eller via post til; Zmarta c/o Bauer Media AS Postboks 1102 Sentrum 0104 Oslo.

Dersom du har spørsmål om våre retningslinjer for IT-sikkerhet eller vår behandling av personopplysninger ellers, er du velkommen til å kontakte vårt personvernombud på dpo@zmartagroup.com eller tlf. +46 (0) 431 47 47 06.

Publisert 1. august 2022
  • Forbrukslån
  • Refinansiering
  • Billån
  • Kredittkort
  • Lån uten sikkerhet
  • Spørsmål og Svar
  • Kontakt oss
Part of Zmarta - sammenlign lån og strømavtaler

Zmarta AS   |   Zmarta c/o Bauer Media AS Postboks 1102 Sentrum 0104 Oslo   |   23 96 70 10   |   info@centum.no   |   Om informasjonskapsler