Sikkerhed
Generelt
Data om medarbejdertræning, kompetencer og instruktioner er ofte forretningskritisk viden og derfor prioriteres sikkerheden i platformen højt. Platformen er udviklet efter de tekniske principper i ISO 27.001 og følger gældende GDPR lovgivning. Endvidere dokumenteres sikkerhedsniveauet gennem Penetration Test, som udføres af et uvildigt sikkerhedsfirma.
"Det ligger blandt den bedst sikrede håndfuld løsninger, jeg har set.
Produktsikkerhed
Password
Platformen gennemtvinger password kompleksitet og benytter sig af PBKDF2 til hashing af password.
Oppetid
Platformen har en historik oppetid på >99%
Sikkerhed best practices
Champ opfordrer kunder til at følge gængse sikkerheds best practices, såsom at benytte lange passwords, styre rettighedsniveauer på platformen osv.
Netværks- & applikationssikkerhed
Hosting
Platformen er hostet i Microsoft Azure (EU-West).
Disaster recovery
Platformen er bygget med disaster recovery i tankerne. Platformen er spredt over 3 Azure availability zoner og vil derfor fortsætte normal drift ved nedbrud af én af disse zoner.
Monitorering
Platformen benytter sig af Microsoft Application Insights til logning/audit af aktiviteter, svartider, fejlrate og dataadgang.
Backup
Platformen har daglig backup af data og opbevarer data op til 5 år, med mulighed for recovery.
Alle virtuelle maskiner og databaser bliver sikkerhedskopieret dagligt og gemt jf. følgende:
- Daglige backups gemmes i 3 måneder
- Ugentlige backups gemmes i 12 måneder
- Månedlige backups gemmes i 5 år
Blob storage benytter Zone redundant storage og gemmes jf. følgende:
- Data replikeres på tværs af 3 datacentre indenfor Vesteuropa
- Soft delete er aktiveret og data vil blive gemt i 5 år efter sletning
Adgang og autentificering
Adgang til kundedata er begrænset til et mindre antal medarbejdere. Al data sendes krypteret via HTTPS og platformen benytter sig af "Zero-trust coporate network" princippet, således at adgang til Champs netværk ikke giver øgede rettigheder til produktionsmiljøet i Azure. Champ gennemtvinger stærk password politik for ansatte og kræver 2-faktor autentificering (2FA) hvor muligt, bl.a. på Azure, Github og Azure DevOps.
Kryptering
Al data på platformen er krypterent in-transit og at-rest. Platformen benytter HTTPS til al kommunikation og gennemtvinger minimum TLS 1.2. Al data er krypteret med AES-256 ved opbevaring. Platformen scorer højt i generelle tests for server konfiguration og TLS opsætning. Specifikt får platformen en A+ rating ved Qualys SSL Labs Platformen benytter derudover HSTS og Perfect Forward Secrecy.
Penetration tests og sårbarhedsskanninger
Champ benytter tredje parts værktøjer til skanning af løsning under udvikling og inden hvert release. Champ får ligeledes udført en årlig penetration test.
Penetration test
For at dokumentere sikkerhedsniveauet i platformen gennemføres der minimum årligt Penetration Test af et uvildigt sikkerhedsfirma. Den seneste penetration test er udført af Dubex i Marts 2020 med følgende konklusion:
"Based on the few issues found and general observations the host and applications in scope was found to follow current best practices for secure development of webbased applications. The underlying infrastructure was found to follow current best practices for secure web application server configuration. The application was found to have an overall risk score of LOW based on the OWASP Risk Rating Methodology.