Krav på extern molntjänst - checklista
Krav på extern molntjänst - checklista
Denna kravlista riktar sig till leverantör av molntjänst och ska hanteras av beställare av tjänsten tillsammans med leverantören. Kravlistan ska ses som en checklista på vilka krav som ska hanteras i ett leveransavtal för molntjänsten.
1 Krav på hantering av personuppgifter
Krav | ||
1. | Krav på hantering av personuppgifter, bland annat att hantering av personuppgifter inte får ske utanför EU/EES-området. Krav finns också på att ett skriftligt personuppgiftsbiträdesavtal upprättas (punkt 2 nedan) med såväl molnleveran-tören som eventuella underleverantörer innehållande instruktioner om hur personuppgiftshanteringen ska gå till. Både bearbetning och lagring av personuppgifter (behandling av personuppgifter omfattar både bearbetning och lagring av uppgifterna) ska ske i godkänt land. Se också avsnittet ”Krav på lagringsplats nedan”. | |
2. | Personuppgiftsbiträdesavtal ska tecknas med beställaren (personuppgifts- ansvarig) samt med leverantörens samtliga underleverantörer som ingår i leveransen av den totala tjänsten. | |
3. | Personuppgiftsbiträdesavtalet får ej vara underordnat annat avtal eller de generella avtalsvillkoren. | |
4. | Leverantören ska ange hur specifika krav som ställs från Dataskydds- förordningen/Dataskyddslagen (Personuppgiftslagen) och Patientdatalagen kan uppfyllas av tjänsten. |
2 Krav på informationssäkerhet
Krav | ||
5. | Hur sker loggning av åtkomst till information i tjänsten? Hur lagras loggarna? | |
6. | Har leverantörens personal direktåtkomst till kundens data på driftmiljöns servrar? |
7. | Hur erbjuds granskning av åtkomstloggar som en funktion i tjänsten? | |
8. | Vilka återställelsetider erbjuder leverantören efter ett driftavbrott/-störning? | |
9. | Krav på stark autenticering för åtkomst: Xxxxx autentisering ska stödjas av autenticeringsfunktion för tjänsten. Denna ska stödja eID (SITHS-kort) och/eller engångslösenord om skyddsvärda uppgifter hanteras i tjänsten. | |
10 | Hur rapporteras och hanteras inträffade säkerhetsincidenter till kunden samt internt inom leverantörens driftorganisation? | |
11 | Vilka anställningskontroller genomför leverantören för de anställda som får tillgång till kundens information? | |
12 | Informationsägarskap: Regionen ska äga all lagrad data i tjänsten både under avtalstiden då tjänsten nyttjas och även efter avtalstidens avslutande. Leverantören får inte använda någon data för något syfte utan regionens godkännande (t.ex. så är ”data mining” inte tillåtet). | |
13 | Krav på att leverantören ska redovisa sin säkerhetsorganisation och sin kontinuitetshantering samt planering för att undvika nyckelpersonberoende. | |
14 | Kunden ska ges möjlighet att initiera och genomföra externa revisioner av leverantören och lokaler för aktuell fysisk drift-/lagringsmiljö minst en gång per år. | |
15 | Leverantören ska ha en kontinuitetsplan för sin IT-drift av tjänsten. En övergripande beskrivning ska finnas av hur denna plan ser ut. | |
16 | Kan ni som leverantör tvingas att lämna ut data till extern part (såsom myndigheter)? | |
17 | Har någon annan extern part, såsom underleverantörer, direktåtkomst till kundernas data i servermiljön? | |
18 | Finns det något annat sätt som någon extern part skulle kunna få tillgång till kundens data? T.ex. genom olika former av avlyssning? | |
19 | Kan något lands myndighet, där ni är verksamma, ålägga er någonting som även gäller era verksamheter i annat land? | |
20 | Har eller kan ni bli ålagda att lämna ut olika typer av kryptonycklar genom avtalsmässiga förpliktelser från er sida? | |
21 | Har ni något samröre med någon underrättelsetjänst i något land? I vilka länder och på vilket sätt? | |
22 | Hur sker radering av uppgifter som ska förstöras/gallras? Hur säkerställs att permanent radering sker också av uppgifter som finns i backup-kopior? |
3 Krav på lagringsplats
Krav | ||
23 | I vilka länder sparas information i tjänsten fysiskt? Varje land där lagring sker ska redovisas. |
4 Tekniska krav
Denna kravlista innehåller IT-säkerhetsmässiga kravdelar, men omfattar även övergripande krav för aktuell driftlösning.
Krav | ||
24 | Leverantören ska utförligt kunna beskriva systemet, ingående tekniska delsystem och hur klient-serverkommunikation implementeras. | |
25 | Leverantören ska ha system för åtkomst- och behörighetskontroll avseende sitt system. Leverantören skall leverera ingående beskrivningar av åtkomst- och behörighetskontrollen. | |
26 | Leverantören ska ha loggningsfunktion avseende vilka anställda som utför systemåtgärder. Av spårbarhetsskäl skall leverantören antingen ge elektronisk direktåtkomst till denna funktion eller regelbundet kunna leverera detaljerade utdrag ur densamma. | |
27 | Kommunikation server-klient ska krypteras. Den krypteringsalgoritm som används ska redovisas. Implementationen av kryptering ska beskrivas övergripande. | |
28 | Server där kundens data lagras ska ha de senaste säkerhetsuppdateringarna från operativsystemsleverantören installerade. Nya säkerhetsuppdateringar ska kontinuerligt installeras snarast möjligt efter att de är publicerade. | |
29 | Serverns operativsystem ska vara härdat, d.v.s. endast tjänster som är direkt eller indirekt nödvändiga för tjänstens funktion ska vara aktiverade. | |
30 | Server där kundens data lagras ska ha ett uppdaterat antivirussystem installerat, med automatisk uppdateringsfunktion. | |
31 | Server där kundens data lagras ska skyddas på nätverksnivå av uppdaterade brandvägg och IPS-system. Loggning skall ske av eventuellt inträffat intrång/ obehörig åtkomst. | |
32 | Leverantören ska redogöra för backup- och återläsningsrutiner av data, samt uppge SLA-nivå för tjänsten och delar av tjänsten, om det är relevant. | |
33 | Leverantören ska ha ett fullgott, inbrottssäkert skalskydd avseende fysisk åtkomst till server. Det ska finnas låssystem samt system för åtkomst- och |
behörighetskontroll med spårbarhetsfunktion. | ||
34 | Data som lagras på servern ska vara helt eller delvis krypterat. Den krypteringsalgoritm som används ska redovisas. Implementationen av kryptering ska beskrivas övergripande. | |
35 | Intern dataöverföring skall vara krypterad. Den krypteringsalgoritm som används ska redovisas. Implementationen av kryptering ska beskrivas övergripande. Detta gäller t.ex. mellan datacenter, mellan datacenter och operatörscenter. | |
36 | Ange i vilken utsträckning som levererad tjänst uppfyller kraven från senaste version av rekommendationerna* för säkerhet i webbapplikationer från OWASP Foundation. |
* För att uppfylla specifika tekniska säkerhetskrav vid användning av webbapplikationer ställer regionen krav utgående från rekommendationer från OWASP Foundation (Open Web Application Security Project). OWASP anger hur de 10 mest säkerhetskritiska riskerna i webbapplikationer ska hanteras, se Referens 1.
5 Övriga krav
Krav | ||
37 | Vilken support för tjänsten kan leverantören tillhandahålla till kunden och med vilka tjänstenivåer? | |
38 | Hantering av allmänna handlingar Information som lagras i en molntjänst för en kommuns eller en regions räkning kommer att innefatta allmänna handlingar och då måste verksam- heten kunna säkerställa att informationen är tillgänglig för att lämnas ut om någon begär det. Av bestämmelserna i Offentlighets- och sekretesslagen, OSL, framgår i kapitel 4-6 att alla myndigheter ska ha en god ordning och struktur för sina allmänna handlingar. För att kunna klara dessa grundläggande krav förutsätts att de IT- stöd som används av verksamheterna uppfyller baskrav på t.ex. säker tillgänglighet och drift. Om molntjänster används som enda lagringsställe för allmänna handlingar måste tjänsten granskas så att driftavbrott eller förändringar i tjänsten inte medför att handlingar kan gå förlorade. Det finns även krav på att tjänsten måste kunna klara att informationen efter myndighetens beslut ska gallras och att den då kan tas bort. För tjänster som är utvecklade för den amerikanska marknaden är det vanligt med den omvända principen, att lagrad information inte ska kunna tas bort. Svenska myndigheter måste även kunna ha möjlighet att arkivera information som behöver bevaras. De IT-lösningar som väljs behöver då även hantera |
arkivuttag. | ||
39 | Leverantören ska redovisa hur denne använder underleverantörer för att kunna leverera tjänsten som helhet. Vilka krav ställs på dessa underleverantörer via avtal? | |
40 | Leverantören ska ange hur arkivering, avveckling, migrering och exit-lösning (vid avveckling/tjänstens upphörande) hanteras. | |
41 | Leverantören ska redovisa relevant dokumentation hos leverantören som påverkar leveransen. | |
42 | Leverantören ska redovisa hur krav på flexibilitet kan tillgodoses, dvs. möjlighet för kunden att skala upp sin användning av tjänsten på ett ekonomiskt fördelaktigt sätt. | |
43 | Leverantören ska tillhandahålla de licenser som behövs för tjänsten, eller tydligt ange vad som krävs. | |
44 | Avtalet ska innehålla angivande av hur en eventuell tvistelösning ska ske, inklusive vilket lands lagstiftning som ska gälla (Svensk lag). | |
45 | Eventuell vitesklausul ska ingå där ersättningar vid ej uppfyllda tjänstenivåer (SLA) regleras. Detta kan ge ökad tydlighet i hur leveransen ska bedömas utifrån ett avtalsperspektiv. | |
46 | Ändringar av villkoren för tjänstens leverans får inte göras ensidigt av leverantören under avtalsperioden. |
6 Referenser
Referens 1 OWASP-rekommendationer om säkerhet i webbapplikationer, xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/Xxxxxxxx:XXXXX_Xxx_Xxx_Xxxxxxx #tab=OWASP_Top_10_for_2017_Release_Candidate_2