Välkommen till Intric Supportcenter
Säkerhet & Compliance
DPIA
Tekniska och organisatoriska skyddsåtgärder

Tekniska och organisatoriska skyddsåtgärder

För att underlätta för våra kunder att genomföra en konsekvensbedömning avseende dataskydd (DPIA) tillhandahåller Intric ett omfattande underlag baserat på vårt ISO 27001-certifierade ledningssystem för informationssäkerhet (ISMS). Intric AB är certifierade enligt ISO 27001:2022, vilket är en internationellt erkänd standard för ledningssystem för informationssäkerhet.

Materialet nedan innehåller:

  • Utdrag av Intrics interna tekniska och organisatoriska skyddsåtgärder.
  • En lista över de säkerhetsfunktioner som finns tillgängliga i plattformen (t.ex. åtkomstkontroll, loggning, kryptering) som ni kan använda för att skydda er data.

Ni kan använda detta material som en bas för er egen riskbedömning (DPIA). Observera att de specifika åtgärder ni behöver vidta beror på känsligheten i den information och de personuppgifter ni avser att hantera i plattformen.

Informationssäkerhet och skyddsåtgärder

Intric erbjuder en AI-plattform för kunskapshantering och automatisering där informationssäkerhet och efterlevnad står i centrum. Plattformen kan driftas i en dedikerad molninstans med europeiska driftsleverantörer, eller genom en on-premise installation. Plattformen stödjer såväl globala AI-modeller som europeiska och svenska språkmodeller. Vid on-premise installationer kan även språkmodeller driftas lokalt.

Informationsledningssystem (ISO 27001-certifierat)

Intric AB:s informationssäkerhetsledningssystem (ISMS) är ISO 27001-certifierat och utgör garantin för att våra bolagets plattform uppfyller de stränga krav på skydd, integritet och tillgänglighet som efterfrågas av våra kunder inom den offentliga sektorn.

Nedan finns en övergripande beskrivning av de policies och riktlinjer som ingår i Intrics ISMS.

  • Information Security Policy – Övergripande ramverk som säkerställer konfidentialitet, integritet och tillgänglighet för alla system och data. Täcker åtkomstkontroll, dataskydd, incidenthantering och kontinuerlig övervakning.
  • Access Control and Termination Policy – Minsta möjliga behörighet (least privilege) tillämpas konsekvent. Alla åtkomster dokumenteras, granskas kvartalsvis och återkallas inom en arbetsdag vid avslut.
  • Acceptable Use Policy – Tydliga riktlinjer för användning av IT-resurser med krav på multifaktorautentisering (MFA) för all produktionsmiljö och kritiska system.
  • Data Classification Policy – Systematisk klassificering av information i fyra nivåer (Public, Internal, Confidential, Restricted) med specifika hanteringskrav för varje nivå.
  • Data Handling Procedure – Detaljerade krav för säker hantering av data genom hela livscykeln, från insamling till radering, med kryptering av känslig data i vila och transit.
  • Records Retention and Disposal Policy – Säker lagring och destruktion av information enligt juridiska krav och affärsbehov, med verifierade raderingsmetoder.
  • Incident Response Policy – Strukturerad process för rapportering, hantering och kommunikation av säkerhetsincidenter med definierade svarstider baserat på allvarlighetsgrad.
  • Baseline Hardening Policy – Konfigurationsstandarder för alla system inkluderar nätverkshärdning, patchhantering, loggning, MFA och kryptering.
  • Change Management Policy – Alla förändringar i produktion kräver godkännande, testning och dokumentation. Källkodsändringar loggas och kräver godkännande före production deployment.
  • Risk Assessment and Treatment Policy – Årlig riskbedömning identifierar hot och sårbarheter. Kritiska risker åtgärdas omedelbart med dokumenterade behandlingsplaner.
  • Business Continuity and Disaster Recovery – Testad återställningsplan säkerställer fortsatt drift vid incidenter. Regelbunden backup med verifierad återställningskapacitet.
  • Business Impact Analysis Policy – Systematisk analys av kritiska processer med definierade återställningstider (RTO) och återställningspunkter (RPO).
  • Personnel Security Policy – Bakgrundskontroller, sekretessavtal och årlig säkerhetsutbildning för all personal. Tydliga roller och ansvar för säkerhetsarbetet.
  • Board of Directors Charter & Oversight Committee Charter – Tydlig styrning och ansvar på ledningsnivå för informationssäkerhet, riskhantering och teknologiöversikt.
  • Vendor Management Policy – Säkerhetsbedömning av alla kritiska leverantörer före ombordtagning och årlig uppföljning. Krav på sekretessavtal och säkerhetsåtaganden.
  • Physical Security Policy – Kontrollerad fysisk åtkomst till faciliteter och utrustning baserat på least privilege-principen med dokumenterad åtkomsthantering.
  • Network Security Policy – Segmenterad nätverksarkitektur med brandväggar, krypterad kommunikation (TLS 1.2+) och regelbunden övervakning av nätverkstrafik.

Utdrag på interna tekniska skyddsåtgärder

Nedan följer ett antal exempel på de interna tekniska skyddsåtgärder som stipuleras i de policies, rutiner och riktlinjer som Intric AB har i sitt ISO 27001-certifierade informationsledningssystem.

Kryptering och dataskydd

  • Kryptering i vila: All känslig data krypteras i lagring med hjälp av industristandard-algoritmer
  • Kryptering i transit: TLS 1.2+ krävs för all dataöverföring över publika nätverk
  • Nyckelhantering: Centraliserad hantering av krypteringsnycklar via molnleverantörens key management service

Åtkomstkontroll

  • Multifaktorautentisering (MFA): Obligatorisk för alla privilegierade konton och åtkomst till produktion, e-post, versionshantering och molninfrastruktur
  • Unika användaridentiteter: Alla användare tilldelas unika credentials som kan spåras
  • Lösenordskrav: Minimum 8 tecken med komplexitetskrav, unika per system
  • Rollbaserad åtkomst (RBAC): Minsta möjliga behörighet baserat på arbetsroll
  • Password managers: Godkända password managers krävs för lagring av credentials

Nätverkssäkerhet

  • Segmentering: Produktion, utveckling/test och företagsnätverk hålls separerade
  • Brandväggar: Konfigurerade för att endast tillåta nödvändiga portar och protokoll

Sårbarhetshantering

  • Automatisk sårbarhetsscanning: Månatliga genomsökningar av infrastruktur och applikationer
  • Patch Management: Kritiska säkerhetspatchar tillämpas enligt definierad tidslinje
  • Penetrationstester: Regelbundna tester av säkerhetskontroller
  • Sårbarhetsprioritering: Kritiska sårbarheter åtgärdas omedelbart

Loggning och övervakning

  • Loggning: Alla systemaktiviteter, administratörsåtgärder och säkerhetshändelser loggas
  • Tidssynkronisering: NTP används för korrekt tidsstämpling
  • Loggskydd: Loggar skyddas mot obehörig åtkomst och modifiering
  • Loggretention: Loggar lagras enligt kontrakt/kundinstruktioner

Backup och återställning

  • Automatiska backuper: Minst veckovis backup av användardata
  • Geografisk redundans: Backup replikeras till olika tillgänglighetszoner
  • Återställningstester: Periodisk verifiering av backup-integritet
  • Versionshantering: Källkod versionshanteras med spårbarhet

Utvecklingssäkerhet

  • Separat utvecklingsmiljö: Utveckling och test separerat från produktion
  • Code review: Alla ändringar till produktion kräver godkännande
  • Säker källkodshantering: Åtkomst till repositories begränsat med MFA
  • Input-validering: Data valideras för att förhindra attacker

Enhetshantering

  • Mobile Device Management (MDM): Centraliserad hantering av endpoints
  • Diskkryptering: Krav på kryptering av arbetsstationer och bärbara enheter
  • Automatiska uppdateringar: OS och applikationer hålls uppdaterade
  • Screen lock: Automatisk skärmlåsning vid inaktivitet

Utdrag på organisatoriska skyddsåtgärder

Nedan följer ett antal exempel på de interna organisatoriska skyddsåtgärder som stipuleras i de policies, rutiner och riktlinjer som Intric AB har i sitt ISO 27001-certifierade informationsledningssystem.

Policyhantering och compliance

  • Årlig policygranskning: Alla policyer granskas och uppdateras minst årligen
  • ISO 27001:2022-certifiering: Oberoende certifiering av informationssäkerhetssystem
  • Statement of Applicability (SoA): Dokumenterad kontrollval med motivering
  • Efterlevnadskontroller: Regelbunden övervakning av policyefterlevnad

Riskhantering

  • Årlig riskbedömning: Systematisk identifiering och värdering av risker
  • Riskregister: Dokumenterade risker med ägare och behandlingsplaner
  • Riskacceptans: Formell process för godkännande av kvarstående risker
  • Kontinuerlig övervakning: Löpande uppföljning av identifierade risker

Personal och kompetens

  • Bakgrundskontroller: Genomförs före anställning enligt lokala lagar
  • Sekretessavtal (NDA): Obligatoriskt för all personal före tillträde
  • Säkerhetsutbildning: Årlig obligatorisk utbildning för all personal
  • Rollspecifik träning: Särskild utbildning för säkerhetskritiska roller
  • Prestationsutvärdering: Årlig genomgång inkluderar säkerhetsansvar

Åtkomsthantering – processer

  • Onboarding-process: Strukturerad process för åtkomstbeviljning vid anställning
  • Kvartalsvis åtkomstgranskning: Regelbunden översyn av behörigheter för kritiska system
  • Offboarding-checklista: Säkerställer att all åtkomst återkallas inom en arbetsdag
  • Rolländringsprocess: Dokumenterad process vid ändrade arbetsuppgifter

Incidenthantering och drift

  • 24/7 övervakning och rapportering: Tydliga kanaler för rapportering av drift- och säkerhetsincidenter via status.intric.ai
  • Definierade svarstider: Kritiska incidenter hanteras inom 48 timmar
  • Dokumenterad process: Alla incidenter spåras i ärendesystem
  • Post-mortem analys: Lärdomar dokumenteras och kommuniceras
  • Kundkommunikation: Strukturerad kommunikationsplan vid incidenter

Förändringshantering

  • Formell ändringsprocess: Alla produktionsändringar kräver test och godkännande
  • Rollback-planer: Dokumenterade återställningsplaner vid problem
  • Emergency changes: Separata rutiner för akuta ändringar med efterhandsgodkännande
  • Kundkommunikation: Information om planerade förändringar

Leverantörs- och partnerstyrning

  • Vendor risk assessment: Säkerhetsbedömning före ombordtagning
  • Årlig leverantörsgranskning: Översyn av kritiska leverantörers säkerhet (SOC 2-rapporter)
  • Kontraktuella krav: Tydliga säkerhetsåtaganden i avtal
  • Subkontraktantskontroll: Granskning av leverantörers underleverantörer
  • Exit-hantering: Strukturerad process vid uppsägning inklusive datahantering

Business continuity

  • Business Impact Analysis (BIA): Identifiering av kritiska processer
  • Dokumenterade återställningsmål: RTO och RPO definierade för kritiska system
  • Disaster Recovery Plan: Testad plan för återställning vid större incident
  • Årlig testning: BCP/DRP-planer testas minst årligen
  • Dokumenterad redundans: System distribuerade över olika zoner

Funktionalitet för tekniska skyddsåtgärder i Intric

Intric-plattformen erbjuder omfattande och flexibel funktionalitet så att våra kunder har full kontroll att implementera tekniska skyddsåtgärder, anpassade efter organisationens specifika krav på informationsklassificering och adekvat säkerhetsnivå.

Nedan beskrivs den funktionalitet som finns inbyggd i plattformen med syfte att aktivt höja säkerhetsnivån och stödja regelefterlevnad.

Åtkomstkontroll och behörighetshantering

  • Rollbaserad åtkomst (RBAC): Kunden kan definiera detaljerade användarroller och begränsa åtkomst till specifika funktioner, dokument och AI-modeller
  • Single Sign-On (SSO): Integration med kundens befintliga identitetshantering (Azure AD, Google Workspace m.fl.) för centraliserad åtkomstkontroll
  • Multifaktorautentisering (MFA): Möjlighet att kräva MFA för alla användare via SSO-integration

Modellval och dataminimering

  • Val av AI-modell: Kunden väljer mellan globala, europeiska, svenska eller lokala språkmodeller baserat på säkerhetskrav
  • Lokala modeller (on-prem): Möjlighet att köra AI-modeller helt inom kundens infrastruktur utan extern dataöverföring
  • Dataminimering: Kunden konfigurerar vilken data som ska bearbetas och kan begränsa omfattningen

Kryptering och dataskydd

  • End-to-end kryptering: All data krypteras både i transit och i vila
  • Kundhanterade nycklar: Vid on-premise har kunden full kontroll över krypteringsnycklar
  • Krypterad lagring: All dokumentation och konversationshistorik lagras krypterat
  • Säkra API-anrop: All kommunikation mellan system sker via krypterade kanaler (TLS 1.2+)

Loggning och spårbarhet

  • Revisionsloggar: Kunden kan spåra all användaraktivitet, åtkomst till dokument och systemändringar
  • Export av loggar: Möjlighet att exportera loggar för integration med kundens SIEM-system
  • Dataåtkomstlogg: Fullständig loggning av vem som har tillgång till vilken information
  • Användaransvar: Insyn i vilken användare som ansvarar över både verktyg/assistent och uppladdad information

Datahantering, radering och backup

  • Dataägande: Kunden behåller full äganderätt till all data i systemet
  • Selektiv radering: Möjlighet att radera specifika dokument, konversationer eller användare
  • Massradering: Funktionalitet för att radera all data vid avslut av tjänsten
  • Exportfunktion: Kunden kan exportera all sin data i strukturerade format
  • Automatisk radering: Konfigurerbara retentionsregler för automatisk radering efter viss tid
  • Automatiska backuper: Regelbundna backuper av kundens data (vid molndrift)
  • Återställningsfunktion: Kunden kan återställa raderad data inom definierad period (14 dagar)
  • Backup-frekvens: Dagligen
  • Egna backuper: Vid on-premise ansvarar kunden för backup enligt egen policy

Nätverkssäkerhet

  • Nätverksisolering: Vid on-premise kan systemet isoleras helt från internet

Avancerad säkerhetskonfiguration

  • Sessionstimeout: Daglig inaktivitetstid för automatisk utloggning
  • Lösenordspolicy: Kunden kan konfigurera komplexitetskrav och rotationsregler för lösenord