I godt og sikkert selskab

IT-sikkerhed og GDPR

Websikkerhed er et hurtigt bevægende mål. Derfor er det en konstant udfordring at holde trit med optimale sikkerhedsstandarder. Med GoPublic er du på linje med andre organisationer, der har nultolerance i forhold til at overholde sikkerhedsbestemmelser og best practice. Med GoPublic bliver du en del af et fællesskab, der har forpligtet sig til at opretholde de højeste standarder for it-sikkerhed og GDPR-overholdelse.

Anti DDoS

GoPublic giver to muligheder for DDoS-beskyttelse afhængigt af vurderingen af det passende sikkerhedsniveau.

Standard anti DDoS-foranstaltninger omfatter:

Aktiv hardwarebeskyttelse ved hjælp af Arbor og Juniper hardware leveret af vores hostingpartner, Hetzner
Dynamisk IP-filtreringsløsning leveret af vores hostingpartner, Hetzner
I tilfælde af et angreb sættes yderligere IP-begrænsninger på både firewall- og kundeløsningsniveau. Begrænsningen omfatter ofte geo-fencing.

Avancerede anti DDoS-foranstaltninger omfatter:

Oven i ovenstående leverer vi den førende DDoS-beskyttelse fra Akamai
I dette scenarie serveres al frontend-brugertrafik gennem Akamais mange Edge-servere så tæt på brugeren som muligt.
Ved fremkomsten af et DDoS-angreb træder Akamais verdensførende IP-filtreringsteknologi ind og skrubber dårlig trafik så tæt på anmodningen som muligt.
Desuden serveres trafik i en cache-version, hvilket eliminerer behovet for at anmode om og gengive sideindlæsning fra GoPublic-infrastruktur.
Opsætningen er blevet testet flere gange i virkelige store DDoS-angreb med stor succes.
Vedrørende GDPR og brugen af Akamai: Al trafik mellem Hetzner infrastruktur og Akamai er krypteret, og IP-adresser er pseudonymiserede. Kun Akamai-servere placeret inden for EU bruges til at betjene trafik.

IT-sikkerhed

Blandt de sikkerhedsretningslinjer, vi altid overholder, er:

Tekniske minimumskrav til danske statskunder.
OWASP Top 10 (The Open Worldwide Application Security Project):
Sikker På Nettet

Disse krav sikrer blandt andet:

Logfiler opbevares i 12 måneder
Sikkerhedskopier websteder (snapshots) mindst hver 24. time og er i stand til at gendanne på mindre end 30 minutter.
Patch sikkerhedsopdateringer inden for 24 timer
Vi opdaterere og gennemgår regelmæssigt vores interne it-sikkerhedspolitik og gennemføre bevidsthedstræning af medarbejdere.

GDPR

Hver kunde har en databehandleraftale med GoPublic. Vores databehandleraftale er baseret på den officielle skabelon fra Datatilsynet.

Når vi bruger GoPublic, sørger vi for, at ingen data forlader EU. Kontakt os for et få et eksempel på en databehandleraftale.

Cookies

GoPublic lever op til EU-regler vedrørende cookies. GoPublic kommer med indbygget cookie-bannerfunktionalitet. Vores mål er, at vores kunder bruger så få sporingscookies som muligt og slet ikke bruger reklamecookies. For ikke at spore enkeltpersoner, der bruger cookies, men stadig få analysedata for at forbedre indholdsskabelsen, har vi gjort følgende:

Den indbyggede analysesektion i GoPublic er bygget for at understøtte disse standarder og er ikke cookie-baseret, men oprettet ved hjælp af anonymiserede serverdata.
Ligeledes bruger de indbyggede analyser i vores indbyggede nyhedsbrevstjeneste ikke spy-pixels til at spore individer, men bruger kun anonymiserede serverdata til at spore leveringer og åbningspriser.

Sikkerheds- og GDPR-certifikater og -revisioner

GoPublic revideres årligt af en uafhængig IT-revisor. Vi er revideret på ISAE 3000-standarden.

Vores hosting partner, Hetzner, har en ISO 27001-certificering.

Infrastruktur oversigt

GoPublic kører på dedikerede fysiske servere for at eliminere risici forbundet med ekstern adgang og forhindre data i at blive sendt til tredjeparter. Serverne er placeret i Tyskland og hostes af Hetzner.

Serverne virtualiseres til et miljø med høj tilgængelighed. Det betyder, at selvom en af de fysiske servere holder op med at fungere, vil det virtuelle miljø blive ved med at fungere.

Applikationsoversigt

GoPublic er bygget fra bunden ved hjælp af den seneste stabile version af Microsofts programmeringssprog .NET (aktuelt version 8).

GoPublic er designet som et Headless CMS baseret på Composable Architecture-principper. Dermed tilbyder GoPublic en redaktørvenlig måde at skabe indhold i strukturerede formater, gemt i en database som nemt kan bruges overalt gennem GoPublic API.

Vores front-end-applikation, eller Content Delivery Application, udnytter API’et til at vise indhold som en responsiv webløsning. Redaktører kan bruge Grid-editoren i GoPublic CMS til at bygge specialdesignede websider med omfattende fleksibilitet og design-alsidighed.

SSL / HTTPS

Vi bruger non-profit-tjenesten Let's encrypt at udstede, vedligeholde og løbende validere SSL-certifikater for hvert websted, der hostes på GoPublic.

FAQ omkring sikkerhed

Er vores domæne beskyttet af SSL/TLS-kryptering?

Ja, alle domæner/hostnames på et site er krypteret med et SSL/TLS certifikat fra Let's Encrypt. Certifikatets signatur algoritme er: SHA-256 med RSA kryptering.

Hvornår implementeres MFA (Multi-factor Authentication) på domænet som en ekstra godkendelsesmetode?

Det kommer med GoPublic v1 i H1 2025, eller kan tilkøbes som SSO (Single Sign-On) via ADFS for 2.000 kr. ex moms /md.

Kan man bruge rollebaseret adgangskontrol (RBAC) for at sikre, at brugere kun kan få adgang til og ændre indhold relateret til deres afdeling?

Ja, det er muligt at oprette brugerroller, der kan begrænses til både enkelte sites og enkelte mapper i mediearkivet.

Hvilke roller er defineret for brugeradgang?

Der er som default oprettet en Administrator-rolle og en Editor-rolle (redaktør). Herudover kan yderligere roller oprettes efter behov.

Udføres der regelmæssige sikkerhedskopier (backup)?

Vi sikkerhedskopier websteder (snapshots) mindst hver 24. time, og er i stand til at gendanne på mindre end 30 minutter. Læs mere ovenfor her på siden.

Sikkerhedskopierne gemmes på en separat back-up disk. Med GoPublic v1 opsættes 3-2-1 backup strategi.

Er der en plan for håndtering af domænerelaterede hændelser (f.eks. DNS-kapring, ødelæggelse)?

Vi har en beredskabsplan for DDoS-angreb og restore af løsningerne. Skulle der ske DNS-kapring, vil det være jeres it-afdeling, der skal håndtere det.

Er der beskyttelse mod DDoS-angreb (Distributed Denial of Service)?

Ja, vi har anti-DDoS procedure og hardware sat op.

Hvilken sikkerhedsforanstaltning bruges der til at beskytte webindholdet og applikationerne mod angreb (f.eks. XSS-beskyttelse, App-Firewall...)?

Vi har 3-lags firewall opsat.

Er bruger- og administrativ adgang til hjemmesiden kontrolleret og overvåget?

Ja, og vi gemmer logs i 30 dage pt. men kommer til at gemme i 12 måneder med GoPublic v1.

Er der regelmæssig overvågning af login-aktiviteter?

Det kommer i GoPublic v1.

Er der logning på app-niveau og/eller på serverniveau?

Der logges på både app- og serverniveau.

Er domænerelaterede e-mail-tjenester sikret?

Ja, det er de.

Hvor ofte udføres sikkerhedsrevisioner eller -gennemgange?

Vi gennemfører årligt en revision efter ISAE 3000 standarden med en ekstern revisor. Se mere her: https://www.gopublic.dk/isae-3000-erklaering

Derudover har vores hosting partner, Hetzner, en ISO 27001-certificering