Krav vedrørende beskyttelse af oplysninger under transmission. Der skal anvendes tilstrækkelige sikkerhedsforanstaltninger i forbindelse med transmission af per- sonoplysninger. Sikkerhedsforanstaltningerne skal leve op til de til enhver tid anerkendte og gæl- dende branchestandarder for behandling af personoplysninger. Databehandler sikrer i denne forbindelse, at personoplysninger er krypteret i forbindelse med trans- missionen. Krypteringen skal løbende holdes opdateret, og følge den til enhver tid værende aner- kendte og gældende branchestandard.
Krav vedrørende beskyttelse af oplysninger under transmission. Databehandler sikrer, at: Data er krypteret i forbindelse med overførsel af data. Krypteringen følger den til enhver tid værende best practice for kryptering og holdes således løbende opdateret med valg af kommunikationsprotokoller, krypteringsalgoritmer og nøglelængder, for at sikre at krypteringen ikke har kendte sårbarheder. For tiden er minimumsstandarden AES, med en minimumsnøglelængde på 192 bit. For mode-of-operation anvendes GCM over CBC. Alle snitflader, udstillet af løsningen, herunder bl.a.: services (REST, SOAP, FTP, MQ, osv.) web-browser baserede brugergrænseflader er sikrede med nyeste version af TLS-tvungen eller tilsvarende teknologi, f.eks. HTTPS eller SFTP Databehandlerens anvendte sikkerhedsprotokoller for datatransmission er opdaterede til den seneste version Alle personoplysninger, der sendes ind eller ud af løsningen, er sikret på passende vis og at forbindelsen overholder Datatilsynets retningslinjer for krypteret transmission. Alternativt skal persondata være fysisk sikret under transmission. F.eks. med VPN. Databehandler ved ændringer af løsningens arkitektur eller dataflow på forlangende kan dokumentere, at opsætningen er udført korrekt. F.eks. kan Databehandler, for HTTPS endpoints, anvende SSL Labs valideringsværktøj, og trække en rapport, der viser, at Databehandler opnår en score på A eller højere
Krav vedrørende beskyttelse af oplysninger under transmission. Network/Communication security O.1 Whenever access is performed through the Internet, communication should be encrypted through cryptographic protocols (TLS/SSL). Network/Communication security O.2 Wireless access to the IT system should be allowed only for specific users and processes. It should be protected by encryption mechanisms. Network/Communication security O.3 Remote access to the IT system should in general be avoided. In cases where this is absolutely necessary, it should be performed only under the control and monitoring of a specific person from the organization (e.g. IT administrator/security officer) through pre-defined devices. Network/Communication security O.4 Traffic to and from the IT system should be monitored and controlled through Firewalls and Intrusion Detection Systems.