Våra egna certifieringar

Vi pratar inte bara om efterlevnad – vi lever det varje dag. Ledningssystemet Sverige AB granskas årligen av oberoende ackrediterade revisorer och är certifierade enligt:

Övriga standarder vi beaktar

ISO 45001 (Arbetsmiljö)

Trots att vi inte har certifierat vårt ledningssystem utifrån ISO 45001 utgår vi från standarden för att säkerställa en systematik i arbetsmiljöarbetet.

ISO 42001 (Artificiell Intelligens)

Trots att vi inte har certifierat vårt ledningssystem utifrån ISO 42001 utgår vi från standarden för den AI-funktionalitet vi använder, utvecklar och tillhandahåller marknaden. Vi tillämpar systematisk riskhantering, genomför konsekvensbedömningar samt säkerställa att AI-funktionerna är transparenta och etiska.

Artificiell Intelligens på era villkor

Vi erbjuder marknadens mest flexibla AI-arkitektur för ledningssystem. Ni väljer själva vilken säkerhetsnivå era AI-funktioner ska hålla:

[Block: Bild]: Ladda upp diagrammet INFOGRAFIK / ARKITEKTURDIAGRAM.

• Alt-text (SEO): Arkitekturdiagram över lokala AI-integrationer med Ollama samt molnbaserad Azure OpenAI i Ledningssystemet.se.

Säkerhet och dataskydd

Säkerhet och informationssäkerhet

Fysisk åtkomst

Servrar finns inlåsta i serverhallar hos vår driftleverantör och tillgång styrs med fysisk nyckel och kod vilken är begränsad till behörig personal med drift- och underhållsansvar.

Systemåtkomst/Logisk åtkomst

Åtkomst till våra system regleras genom behörighetsstyrning samt genom inloggningsuppgifter vilka omfattar mutlifaktorsautentisering. I system där våra kunder ansvarar för användarhanteringen ansvarar kunden själv för åtkomsträttigheter avseende Administratörer och Användare.

Behörighetsstyrning

Vi har ej åtkomst till kundernas data utöver det som krävs för drift, underhåll och eventuell support för de produkter och tjänster vi tillhandahåller. Administratörsrättigheter hålls begränsade till de individer som har arbetsuppgifter vilka kräver dessa rättigheter.

Kryptering av lagrad data

Våra driftade tjänster tillhandahålls genom en molndrifttjänst där tjänsten är kontinuerligt tillgänglig, därmed är lagrad data ej krypterad. Säkerhetskopior lagrade utanför driftleverantörens tjänster lagras på heldiskkrypterad lagringsmedia.

Kryptering av kommunikation

Vi säkerställer att kommunikation till och från våra tjänster är krypterad. I övrigt strävar vi efter att såväl vi som våra kunder kommunicerar genom krypterade kanaler.

Säker autentisering

Vi säkerställer att personal med åtkomst till våra tjänster och driftsmiljön är autentiserad och kontrollerad. Våra kunder ansvarar för autentisering och identifiering av Administratörer och Användare.

Hantering av lagringsmedia

Destruering av lagringsmedia ombesörjs av vår driftleverantör. För lagringsmedia vi själva ansvarar för tillämpas mekanisk destruktion (förstöring).

Separation av data

Varje kund erhåller en egen instans. Därigenom är data regelmässigt logiskt separerade i en virtualiserad driftsmiljö.

Loggning

Loggning av aktiviteter i våra tjänster ombersörjs av oss på applikationsnivå samt avseende trafikanrop till kundspecifik instans. Loggning på infrastrukturnivå ombesörjs av driftleverantören samt av oss genom våra loggningsverktyg.

Hantering av sårbarheter

Vi ansvarar för att söka identifiera och avhjälpa tekniska sårbarheter på applikationsnivå, dels genom tredjepartsverktyg och dels genom egen skanning. Som stöd för det arbetet, och för att säkerställa möjlighet till insyn för våra kunder, har vi publicerat en SBOM vilken klargör våra tredjepartsberoenden. Driftleverantören ansvarar för identifiering och avhjälpning av tekniska sårbarheter på infrastrukturnivå.

Redundans

Vi ansvarar för att tjänsten allokeras erforderlig kapacitet och har kontinuerlig loggning av förbrukad kapacitet i relation till tillgänglig kapacitet. Redundans på infrastrukturnivå säkerställs genom driftleverantören.

Backuper

Vi tar dygnsvisa totalbackuper genom två av varandra oberoende verktyg, detta för att kunna säkerställa återgång till drift i händelse av en omfattande incident eller störning.För våra tjänster hänvisar vi också till driftleverantörens kontinuitets- och kapacitetsplanering vad gäller löpande drift av avropade tjänster.

Dataskydd

Överföring av personuppgifter

Personuppgifter överförs ej till externa parter med mindre än att det explicit har överenskommits med kunden. Personuppgifter överförs ej till Tredje land.

Gallring av personuppgifter

Eftersom tjänstens personuppgiftshantering normalt sträcker sig till hantering av information rörande Administratörer och Användare är detta något som underhålls genom normal systemadministration. Systemet är inte utformat för att hantera särskilda kategorier av personuppgifter. Någon automatisk gallring sker inte.

Kakor och spårning

Tjänsten använder ett fåtal, nödvändiga, kakor som används för att hålla koll på sessionen samt status för tabellvyer (antal objekt per sida t.ex.) samt menyers status. Tjänsten innehåller inga tredjepartskakor och det skickas inte heller information till tredjeparter om hur systemet används. Detta är också anledningen till att något samtycke om användning av kakor inte inhämtas.

Systemkrav vid drift i egen regi

Här återfinns generella systemkrav för att använda Ledningssystemet.se i egen driftmiljö.

Ledningssystemet.se är konstruerat för att kunna gå på en enkel och robust plattform, oavsett om Ledningssystemet Sverige AB ansvarar för driften via sin driftleverantör, kunden själv vill ansvara för driften i sin servermiljö alternativt hos sin IT-partner eller om kunden önskar lägga driften hos en molntjänstleverantör såsom Microsoft Azure, Amazon Web Services eller Google.

Tekniska krav för server och beroenden

Ubuntu, senaste LTS, härdad (Vi rekommenderar 2 vCPU, 8 Gb RAM samt 128-512 Gb Disk)

MariaDB (Senaste stabila versionen)

Docker engine samt Docker compose (Senaste stabila versionen)

NGinx samt tillhörande SSL-certifikat för valt domännamn

Vid behov av stöd med installation och uppsättning

För själva installationen av applikationen hjälper vi gärna till men behöver då kunna komma åt servern via SSH. I annat fall skickar vi instruktioner för installationen till den hos kunden som ska sätta upp instansen.

Övriga frågor

Här listas frågor som förekommer relativt ofta och som vi ser att våra befintliga och nya kunder behöver få svar på när de bedömer oss som leverantör

Är Ledningssystemet Sverige AB certifierade mot någon standard?

Ja, vi är certifierade mot ISO 9001:2015, ISO 14001:2015 och ISO/IEC 27001:2022. Mer information finns här.

Ledningssystemet Sverige AB har få medarbetare. Hur ser ni på det nyckelpersonsberoende som uppstår?

Det stämmer. Därför säkerställer vi att vi inte binder upp våra kunder till att använda tjänsten genom långa bindningstider, att det är enkelt att exportera allt data, men även att vi lovar att tillgängliggöra vår produkt som öppen och fri källkod den dagen vi inte längre kan förvalta tjänsten på ett acceptabelt sätt. Vi har också valt att bygga programvaran på en mycket standardiserad plattform (Laravel) som är enkel att vidareutveckla.

Kan vi få del av er informationssäkerhetspolicy?

Ja, vår enda policy är vår Verksamhetspolicy och den finns här.

Hur säkerställer ni att tredjepartsprogramvara inte innehåller säkerhetsbrister?

Vi hanterar vår källkod hos Github och använder då funktionaliteten Dependabot. Vidare uppdateras kritiska tredjepartsbibliotek automatiskt när vi släpper en ny version av Ledningssystemet (vilket vi gör ofta, ibland varje dag).Våra driftsmiljöer skannas dagligen för att identifiera sårbarheter. Vi använder i dagsläget OPENVAS by Greenbone.

Hur arbetar ni med säker mjukvaruutveckling?

Vi tillämpar inte något formaliserat ramverk för säker mjukvaruutveckling (t.ex. Microsoft SDL eller liknande). Vi litar mycket på kompetens vid utvecklingen, men bygger också vår arkitektur på att eventuella sårbarheter inte skall kunna utgöra onödiga risker. Mjukvaruutvecklare har utbildning i säker mjukvaruutveckling.

Kan man aktivera multifaktorautentisering i programvaran?

Nej. Vi rekommenderar alla våra kunder att integrera mjukvaran mot egen identitetshanterare (t.ex Microsoft Entra) och att inte använda lösenordsautentisering.

Hur ofta tar ni säkerhetskopia av vårt data?

I de fall vi står för driften använder vi leverantören Oderland samt en parallell struktur för säkerhetskopior. Vi tar totalsäkerhetskopior av vår driftsmiljö varje dygn samt tar säkerhetskopior av databaserna varje timme.

Är datan krypterad?

Vid överföring är data krypterad mellan användare och web-server.Lagrad data i produktionsmiljön är inte krypterad (förutom autentiseringsuppgifter). Har man krav på kryptering av lagrad data rekommenderar vi att man sätter upp en egen driftsmiljö.Säkerhetskopior vi tar utanför driftsleverantörens försorg lagras på heldiskkrypterad lagringsmedia.

Vi har högre krav på säkerhet än vad ni erbjuder i dagsläget i er driftmiljö. Hur hanterar vi det?

Vi erbjuder bara en nivå av drift i dagsläget, men systemet är byggt för att kunna köras i andra miljöer. Vi har kunder som använder t.ex. AWS eller kör systemet i sina egna datacenter. Det går alldeles utmärkt, då systemet inte behöver kunna nås av något av våra stödsystem eller av oss (med mindre än att ett större problem uppstår, och i de fallen får vi hjälpas åt att lösa dem).

Gör ni någon övervakning och datainsamling från installationerna?

Ja, alla installationer kommunicerar normalt med vår övervakningsplattform där vi får information om fel som uppstår i installationerna, om hårddiskutrymmet håller på att ta slut, inloggningsproblem och liknande driftsrelaterad information. Vi visar gärna vad vi samlar in, och dessutom kan man konfigurera i kundmiljön om och vad som kommuniceras till vår övervakningsplattform. När man kopplar ihop en kundinstallation med en samordningsportal utbyts information mellan dessa.

Använder systemet några spårningskakor eller liknade?

Nej. Systemet använder ett fåtal, nödvändiga, kakor som används för att hålla koll på sessionen samt status för tabellvyer (antal objekt per sida t.ex.) samt menyers status. Systemet innehåller inga tredjepartskakor och det skickas inte heller information till tredjeparter om hur systemet används. Detta är också anledningen till att något samtycke om användning av kakor inte inhämtas.

Hur säkerställs att vårt data inte kan nås av en annan kund?

Varje kund har en helt egen installation av mjukvaran och även en egen databasinstans. Detta gör vi av flera anledningar: Dels för att minska konsekvenserna i händelse av ett säkerhetsproblem, dels för att möjliggöra en helt distribuerad plattform där det inte spelar någon roll var instanserna installeras. När vi tillhandahåller drift genom vår leverantör Oderland, så har varje kund en egen container för att vi ska minimera riskerna för s.k. ”lateral-movement-attacker”.

Kan Ledningssystemet Sveriges medarbetare komma åt vårt data?

Om ni själva står för driften av systemet så har medarbetare hos Ledningssystemet Sverige inte åtkomst såvida inte ni konfigurerar upp detta. Om Ledningssystemet Sverige AB står för driften har medarbetare teknisk möjlighet att komma åt databasen eftersom den administreras av bolaget.

Hur gör vi om vi vill lämna Ledningssystemet.se?

Vi gillar inte inlåsningseffekter utan det ska vara lätt att göra slut med oss om Ledningssystemet.se inte hjälper verksamheten eller av andra skäl inte är ändamålsenligt. Om ni vill lämna Ledningssystemet.se kan vissa exporter till Excel göras direkt från användargränssnittet. All data (ej krypterade lösenord) kan hämtas via API. Om ni vill ha er data i form av en SQL-export går det bra att kontakta oss så hjälper vi till med det (givetvis utan kostnad).

Vilken tillgänglighetsnivå (”SLA”) garanterar ni?

Vi garanterar ingen tillgänglighetsnivå alls, utan anser systemet vara ett ur tillgänglighetsperspektiv icke kritiskt system. Det finns dock reglerat i avtalet att ni har möjlighet att säga upp avtalet med oss (vilket ni har oavsett) om systemet inte är tillgängligt.

Lever systemet upp till tillgänglighetsdirektivet?

Vi strävar efter att systemet skall vara tillgängligt, och det finns t.ex. visst stöd för skärmläsare. Vi lever i nuläget inte fullt ut upp till alla tillgänglighetskrav i WCAG 2.2, men har gjort bedömningen att systemet inte är av sådan karaktär att det omfattas av direktivet (t.ex. avseende kontraster).

Innehåller systemet funktionalitet för gallring av personuppgifter?

Nej, eftersom systemets personuppgiftshantering normalt sträcker sig till hantering av information rörande systemets användare så är detta något som underhålls genom normal systemadministration. Systemet är inte utformat för att hantera särskilda kategorier av personuppgifter. Någon automatisk gallring sker inte, men är möjligt att införa om önskemål finnes.