I godt og sikkert selskab

IT-sikkerhed og GDPR

Websikkerhed er et hurtigt bevægende mål. Derfor er det en konstant udfordring at holde trit med optimale sikkerhedsstandarder. Med GoPublic er du på linje med andre organisationer, der har nultolerance i forhold til at overholde sikkerhedsbestemmelser og best practice. Med GoPublic bliver du en del af et fællesskab, der har forpligtet sig til at opretholde de højeste standarder for it-sikkerhed og GDPR-overholdelse.

Anti DDoS

GoPublic giver to muligheder for DDoS-beskyttelse afhængigt af vurderingen af det passende sikkerhedsniveau.

Standard anti DDoS-foranstaltninger omfatter:

Aktiv hardwarebeskyttelse ved hjælp af Arbor og Juniper hardware leveret af vores hostingpartner, Hetzner
Dynamisk IP-filtreringsløsning leveret af vores hostingpartner, Hetzner
I tilfælde af et angreb sættes yderligere IP-begrænsninger på både firewall- og kundeløsningsniveau. Begrænsningen omfatter ofte geo-fencing.

Avancerede anti DDoS-foranstaltninger omfatter:

Oven i ovenstående leverer vi den førende DDoS-beskyttelse fra Akamai
I dette scenarie serveres al frontend-brugertrafik gennem Akamais mange Edge-servere så tæt på brugeren som muligt.
Ved fremkomsten af et DDoS-angreb træder Akamais verdensførende IP-filtreringsteknologi ind og skrubber dårlig trafik så tæt på anmodningen som muligt.
Desuden serveres trafik i en cache-version, hvilket eliminerer behovet for at anmode om og gengive sideindlæsning fra GoPublic-infrastruktur.
Opsætningen er blevet testet flere gange i virkelige store DDoS-angreb med stor succes.
Vedrørende GDPR og brugen af Akamai: Al trafik mellem Hetzner infrastruktur og Akamai er krypteret, og IP-adresser er pseudonymiserede. Kun Akamai-servere placeret inden for EU bruges til at betjene trafik.

IT-sikkerhed

Blandt de sikkerhedsretningslinjer, vi altid overholder, er:

Tekniske minimumskrav til danske statskunder.
OWASP Top 10 (The Open Worldwide Application Security Project):
Sikker På Nettet

Disse krav sikrer blandt andet:

Logfiler opbevares i 12 måneder
Sikkerhedskopier websteder (snapshots) mindst hver 24. time og er i stand til at gendanne på mindre end 30 minutter.
Patch sikkerhedsopdateringer inden for 24 timer
Vi opdaterere og gennemgår regelmæssigt vores interne it-sikkerhedspolitik og gennemføre bevidsthedstræning af medarbejdere.

GDPR

Hver kunde har en databehandleraftale med GoPublic. Vores databehandleraftale er baseret på den officielle skabelon fra Datatilsynet.

Når vi bruger GoPublic, sørger vi for, at ingen data forlader EU. Kontakt os for et få et eksempel på en databehandleraftale.

Cookies

GoPublic lever op til EU-regler vedrørende cookies. GoPublic kommer med indbygget cookie-bannerfunktionalitet. Vores mål er, at vores kunder bruger så få sporingscookies som muligt og slet ikke bruger reklamecookies. For ikke at spore enkeltpersoner, der bruger cookies, men stadig få analysedata for at forbedre indholdsskabelsen, har vi gjort følgende:

Den indbyggede analysesektion i GoPublic er bygget for at understøtte disse standarder og er ikke cookie-baseret, men oprettet ved hjælp af anonymiserede serverdata.
Ligeledes bruger de indbyggede analyser i vores indbyggede nyhedsbrevstjeneste ikke spy-pixels til at spore individer, men bruger kun anonymiserede serverdata til at spore leveringer og åbningspriser.

Sikkerheds- og GDPR-certifikater og -revisioner

GoPublic revideres årligt af en uafhængig IT-revisor. Vi er revideret på ISAE 3000-standarden.

Vores hosting partner, Hetzner, har en ISO 27001-certificering.

Infrastruktur oversigt

GoPublic kører på dedikerede fysiske servere for at eliminere risici forbundet med ekstern adgang og forhindre data i at blive sendt til tredjeparter. Serverne er placeret i Tyskland og hostes af Hetzner.

Serverne virtualiseres til et miljø med høj tilgængelighed. Det betyder, at selvom en af de fysiske servere holder op med at fungere, vil det virtuelle miljø blive ved med at fungere.

Applikationsoversigt

GoPublic er bygget fra bunden ved hjælp af den seneste stabile version af Microsofts programmeringssprog .NET (aktuelt version 8).

GoPublic er designet som et Headless CMS baseret på Composable Architecture-principper. Dermed tilbyder GoPublic en redaktørvenlig måde at skabe indhold i strukturerede formater, gemt i en database som nemt kan bruges overalt gennem GoPublic API.

Vores front-end-applikation, eller Content Delivery Application, udnytter API’et til at vise indhold som en responsiv webløsning. Redaktører kan bruge Grid-editoren i GoPublic CMS til at bygge specialdesignede websider med omfattende fleksibilitet og design-alsidighed.

SSL / HTTPS

Vi bruger non-profit-tjenesten Let's encrypt at udstede, vedligeholde og løbende validere SSL-certifikater for hvert websted, der hostes på GoPublic.

FAQ omkring sikkerhed

Er vores domæne beskyttet af SSL/TLS-kryptering?

Ja, alle domæner/hostnames på et site er krypteret med et SSL/TLS certifikat fra Let's Encrypt. Certifikatets signatur algoritme er: SHA-256 med RSA kryptering.

Hvornår implementeres MFA (Multi-factor Authentication) på domænet som en ekstra godkendelsesmetode?

Det kommer med GoPublic v1 i H2 2025, eller kan tilkøbes som SSO (Single Sign-On) via ADFS for 2.000 kr. ex moms /md.

Kan man bruge rollebaseret adgangskontrol (RBAC) for at sikre, at brugere kun kan få adgang til og ændre indhold relateret til deres afdeling?

Ja, det er muligt at oprette brugerroller, der kan begrænses til både enkelte sites og enkelte mapper i mediearkivet.

Hvilke roller er defineret for brugeradgang?

Der er som default oprettet en Administrator-rolle og en Editor-rolle (redaktør). Herudover kan yderligere roller oprettes efter behov.

Udføres der regelmæssige sikkerhedskopier (backup)?

Vi sikkerhedskopier websteder (snapshots) mindst hver 24. time, og er i stand til at gendanne på mindre end 30 minutter. Læs mere ovenfor her på siden.

Sikkerhedskopierne gemmes på en separat back-up disk. Med GoPublic v1 opsættes 3-2-1 backup strategi.

Er der en plan for håndtering af domænerelaterede hændelser (f.eks. DNS-kapring, ødelæggelse)?

Vi har en beredskabsplan for DDoS-angreb og restore af løsningerne. Skulle der ske DNS-kapring, vil det være jeres it-afdeling, der skal håndtere det.

Er der beskyttelse mod DDoS-angreb (Distributed Denial of Service)?

Ja, vi har anti-DDoS procedure og hardware sat op.

Hvilken sikkerhedsforanstaltning bruges der til at beskytte webindholdet og applikationerne mod angreb (f.eks. XSS-beskyttelse, App-Firewall...)?

Vi har 3-lags firewall opsat.

Er bruger- og administrativ adgang til hjemmesiden kontrolleret og overvåget?

Ja, og vi gemmer logs i 30 dage pt. men kommer til at gemme i 12 måneder med GoPublic v1.

Er der regelmæssig overvågning af login-aktiviteter?

Det kommer i GoPublic v1.

Er der logning på app-niveau og/eller på serverniveau?

Der logges på både app- og serverniveau.

Er domænerelaterede e-mail-tjenester sikret?

Ja, det er de.

Hvor ofte udføres sikkerhedsrevisioner eller -gennemgange?

Vi gennemfører årligt en revision efter ISAE 3000 standarden med en ekstern revisor. Se mere her: https://www.gopublic.dk/isae-3000-erklaering

Derudover har vores hosting partner, Hetzner, en ISO 27001-certificering

Sikres det at alle organisationens hjemmesider (hos GoPublic) krypteres og minimum anvender TLS 1.2?

Ja, vi anvender som minimum TLS 1.2 og alle steder, hvor det er muligt, anvendes TLS 1.3.

Tekniske minimumskrav for statslige myndigheder

I nedenstående kan du finde svar på de tekniske minimumskrav for statslige myndigheder, som GoPublic helt eller delvist har ansvaret for at opfylde.

Krav 9: Kommunikation med mail-protokoller skal krypteres og anvende minimum TLS 1.2

Nedenfor har vi listet den værdi og status, som GoPublic opfylder i henhold til kravene til TLS 1.2 og TLS 1.3.

V5 sølv: Myndigheder med sølvabonnement på GoBasic v5

V5 guld: Myndigheder med guld- og platinabonnement på GoBasic v5

GoPublic: Myndigheder på GoPublic v1

Mail Box: Mails sendt på vegne af GoPublic (f.eks. fra formularer eller GoPublic Mail)

Mail Direct: Mails sendt fra myndighedens eget domæne (kan opsættes uden omkostninger ved at kontakte supporten)

Konfigurationsparametre TLS 1.2

1: TLS versioner

V5 sølv: TLS 1.2
V5 guld: TLS 1.2
GoPublic: TLS 1.2
Mail Box: TLS 1.2
Mail Direct: TLS 1.2

Status: Tilstrækkelig

2: Algoritmer for - Nøgleudveksling

V5 sølv: ECDHE
V5 guld: ECDHE
GoPublic: ECDHE
Mail Box: ECDHE
Mail Direct: ECDHE

Status: God

3: Algoritmer for - Certifikat verifikation

V5 sølv: ECDSA, RSA
V5 guld: ECDSA, RSA
GoPublic: ECDSA, RSA
Mail Box: ECDSA, RSA
Mail Direct: ECDSA, RSA

Status: God

4: Algoritmer for - Bulk kryptering

V5 sølv: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
V5 guld: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
GoPublic: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Box: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Direct: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM

Status: God

5: Hash funktioner for - Nøgleudveksling

V5 sølv: SHA-512, SHA-384, SHA-256
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box: SHA-512, SHA-384, SHA-256
Mail Direct: SHA-512, SHA-384, SHA-256

Status: God

6: Hash funktioner for - Certifikat verifikation

Status: God

7: Hash funktioner for - Bulk kryptering

V5 sølv: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
V5 guld: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
GoPublic: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Box: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Direct: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256

Status: God

8: RSA Nøglelængder

V5 sølv: Mindst 3072
V5 guld: Mindst 3072
GoPublic: Mindst 3072
Mail Box: Mindst 3072
Mail Direct: Mindst 3072

Status: God

9: Understøttede elliptisk kurver

V5 sølv: secp384r1, secp256r1, x448, x25519
V5 guld: secp384r1, secp256r1, x448, x25519
GoPublic: secp384r1, secp256r1, x448, x25519
Mail Box: secp384r1, secp256r1, x448, x25519
Mail Direct: secp384r1, secp256r1, x448, x25519

Status: God

10: Understøttede "finite field" grupper

V5 sølv: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
V5 guld: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
GoPublic: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Box: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Direct: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)

Status: Tilstrækkelig

11: Komprimering

V5 sølv: Ingen komprimering
V5 guld: Ingen komprimering
GoPublic: Ingen komprimering
Mail Box: Ingen komprimering
Mail Direct: Ingen komprimering

Status: God

12: Usikker genforhandling (Insecure renegotiation)

V5 sølv: Off
V5 guld: Off
GoPublic: Off
Mail Box: Off
Mail Direct: Off

Status: God

13: Klient-initierede genforhandlinger (Client initiated renegotiation)

V5 sølv: Off
V5 guld: On
GoPublic: Off
Mail Box: Off
Mail Direct: Off

Status: God (med undtagelse af V5 guld, der har status: Utilstrækkelig)

14: 0-RTT

0-RTT blev først introduceret i TLS 1.3 og forekommer derfor kun såfremt TLS 1.3 understøttes.

V5 sølv: n/a
V5 guld: Off
GoPublic: Off
Mail Box: Off
Mail Direct: n/a

Status: God

15: OCPS hæftning (stapling)

V5 sølv: Off
V5 guld: On
GoPublic: Off
Mail Box: Off
Mail Direct: Off

Status: Tilstrækkelig (med undtagelse af V5 guld, som har status: God)

Konfigurationsparametre TLS 1.3

TLS 1.3 understøttes ikke for følgende:

V5 sølv
Mail Box

Disse vil derfor ikke være udfyldt i nedenstående.

1: TLS versioner

V5 sølv:
V5 guld: TLS 1.3
GoPublic: TLS 1.3
Mail Box:
Mail Direct: TLS 1.3

Status: God

2: Algoritmer for - Nøgleudveksling

V5 sølv:
V5 guld: ECDHE
GoPublic: ECDHE
Mail Box:
Mail Direct: ECDHE

Status: God

3: Algoritmer for - Certifikat verifikation

V5 sølv:
V5 guld: ECDSA, RSA
GoPublic: ECDSA, RSA
Mail Box:
Mail Direct: ECDSA, RSA

Status: God

4: Algoritmer for - Bulk kryptering

V5 sølv:
V5 guld: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
GoPublic: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Box:
Mail Direct: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM

Status: God

5: Hash funktioner for - Nøgleudveksling

V5 sølv:
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box:
Mail Direct: SHA-512, SHA-384, SHA-256

Status: God

6: Hash funktioner for - Certifikat verifikation

V5 sølv:
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box:
Mail Direct: SHA-512, SHA-384, SHA-256

Status: God

7: Hash funktioner for - Bulk kryptering

V5 sølv:
V5 guld: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
GoPublic: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Box:
Mail Direct: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256

Status: God

8: RSA Nøglelængder

V5 sølv:
V5 guld: Mindst 3072
GoPublic: Mindst 3072
Mail Box:
Mail Direct: Mindst 3072

Status: God

9: Understøttede elliptisk kurver

V5 sølv:
V5 guld: secp512r1, secp384r1, secp256r1, x448, x25519
GoPublic: secp512r1, secp384r1, secp256r1, x448, x25519
Mail Box:
Mail Direct: secp512r1, secp384r1, secp256r1, x448, x25519

Status: God

10: Understøttede "finite field" grupper

V5 sølv:
V5 guld: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
GoPublic: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Box:
Mail Direct: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)

Status: Tilstrækkelig

11: OCPS hæftning (stapling)

V5 sølv:
V5 guld: On
GoPublic: Off
Mail Box:
Mail Direct: Off

Status: Tilstrækkelig (med undtagelse af V5 guld, som har status: God)

Krav 11: Autentifikation til myndighedens systemer over internettet skal anvende flerfaktor-autentificering

Flerfaktor-autentifikation kommer med GoPublic v1 i H2 2025, eller kan tilkøbes som SSO (Single Sign-On) via ADFS for 2.000 kr. ex moms /md.

Krav 16: Logning skal foretages på internetvendte tjenester og centrale interne it-systemer

Herunder beskrives de forskellige typer af logning som GoPublic foretager. En del af logningen skal foretages af myndighedens egen it-afdeling, som oftest vil være Statens it.

Rekursive DNS-servere

Denne logning omfatter myndighedens domæner.

GoPublic administrerer ikke DNS og logning af dette ligger derfor hos myndighedens DNS-udbyder.

DHCP-servere

Denne logning omfatter logning af en enheds (f.eks. en computer eller en telefon) forbindelse til netværket for at få tildelt en ip-adresse.

Logningen ligger derfor hos myndighedens it-afdeling.

Firewalls

Denne logning omhandler de firewalls, der findes på myndighedens egne interne netværk. En del af logningen af dette skal derfor foretages af myndighedens egen it-afdeling.

GoPublic fører log over de firewalls, der findes på vores servere og opfylder de krav der er hertil.

Autentifikationsservere

Logningen omfatter de loginforsøg, der har været på myndighedens enheder (f.eks. computere og mobiltelefoner).

Denne del af logningen skal foretages af myndighedens it-afdeling.

GoPublic fører log over de loginforsøg, der har været i backoffice til myndighedens websites, og opfylder de krav, der er hertil.

Routere, der blokerer for trafik

Når en router blokerer for trafik, forhindrer den, at bestemte datapakker bliver sendt gennem netværket baseret på regler, sikkerhedsindstillinger eller netværksindstillinger.

En del af logningen af dette ligger derfor hos myndighedens it-afdeling.

GoPublic fører log over trafikken på serverne, og opfylder de krav, der er hertil.

Klient-VPN gateways

Dette logning omhandler myndighedens VPN-adgang(e), hvilket GoPublic ikke administrerer.

Logning af dette skal derfor foregå hos myndighedens it-afdeling.

Web proxy

Disse logdata skal indsamles for at følge myndighedens udgående internettrafik på vegne af myndighedens klienter.

Logning af dette ligger derfor hos myndighedens it-afdeling.

Antivirus/-malware-systemer

Logningen omhandler den antivirus, der er installeret på myndighedens egne enheder. En del af denne logning foretages derfor af myndighedens it-afdeling.

GoPublic kører antivirus på vores serverne, hvorpå myndighedens websites ligger. Dette logges, og opfylder de krav, der er hertil.

Ind- og udgående mailgateways

Denne logning omfatter logning af ind-og udgående e-mails fra myndighedens interne mailsystem og internettet. En mailgateway hjælper med sikkerhed, filtrering, routing og tilgængelighed.

En del af denne logning ligger derfor hos myndighedens it-afdeling.

GoPublic fører log over ind- og udgående mails sendt via enten GoPublic Mail eller formularer, og opfylder de krav, der er hertil.

Internetvendte webservere eller webservices (f.eks. hjemmesider, API, MQ og andre HTTPS-baserede tjenester)

Logning af dette udføres af GoPublic, da der her er tale om logning af indgående trafik på hjemmesiderne.

Logningen opfylder de krav, der er hertil.

Øvrige internetvendte tjenester (f.eks. SFTP, SSH etc.)

GoPublic benytter ikke øvrige internetvendte tjenester, så en logning af dette vil udelukkende ligge hos myndighedens it-afdeling.

Krav 26: Software på myndighedens internetvendte tjenester skal holdes sikkerhedsopdateret

GoPublic benytter udelukkende aktivt understøttede operativsystemer og softwarepakker.

Der foretages vedligeholdelse/sikkerhedsopdateringer på serverne, snarest efter release af en opdatering. Såfremt opdateringen medfører nedetid, vil dette altid blive meldt ud i et nyhedsbrev mindst 3 dage forinden.

Krav 27: Adgang til myndighedens internetvendte tjenester skal ske over en krypteret forbindelse

Alle domæner/hostnames på et GoPublic-site er krypteret med et SSL/TLS certifikat fra Let's Encrypt. Certifikatets signatur algoritme er: SHA-256 med RSA kryptering.

GoPublic understøtter TLS 1.2 og TLS 1.3. Se krav 9 for uddybende beskrivelse.

Krav 28: Internettilgængelige IP-adresser, som myndigheden har brugsret over, skal scannes for tjenester

GoPublic foretager portscanning for alle porte (0-65.535) hvert kvartal i månederne marts, juni, september og december.