Informationssäkerhet
Credons tjänst möjliggörs av ett EU-direktiv som heter PSD2. Den
innebär i korthet att samtliga banker i Europa inte längre har monopol
på information på dina konton, istället bestämmer du som kontoinnehavare
vem du vill dela information med. Kravet är att det ska ske på ett
säkert sätt, något som Integritetsskyddsmyndigheten i Sverige
säkerställer genom tillståndskrav, ett tillstånd som Credon har. Detta
tillstånd medger att vi kan hjälpa dig hämta ner en kopia av dina
transaktioner på ett smidigt och säkert sätt. Du godkänner detta och du
kan avbryta när du vill. Du ser också vilken information som
kreditgivaren får som om ditt bolag innan du delar med dom.
Integritetsskyddsmyndigheten (fd Datainspektionen) har sett över vår
verksamhet och ställt höga krav på säkerhet något vi måste uppfylla för
att kunna bedriva denna tjänst. Vi står under deras tillsyn.
Information som används i processen är bolagsdata, där källan är
Bolagsverket och Kronofogden. Denna information erhåller Credon via
Sergel Kredittjänster och vi visar orgnr, sni-kod, VD, styrelsen,
registreringdatum, adress, omsättning, ebit, årets resultat,
skattestatus, antal anställda, kassalikviditet, soliditet, anmärkningar,
skuldsaldo. Persondata över de som sitter i bolagets styrelse inhämtas
enbart för att möjliggöta access till Credons tjänst via Bank-Id.
Mailadress och telefonnummer inhämtas för att kunna kommunicera med
kredittagare. Du loggar in genom BankId
och därigenom säkerställer vi att enbart styrele samt firmatecknare kan
komma åt data. Detta gäller även bank-access där villkoren för att
komma åt transaktionsdata för sitt företag bestäms av kontoförande bank.
Vår tjänst hanterar till största del
data om juridisk person och omfattas då inte av GDPR. Inga känsliga
personuppgifter finns heller i systemet förutom den information som
kommer från BankID (för och efternamn, personnummer, och även e-post och
telefonnummer om detta har lagts in av användaren eller kreditgivaren).
Denna information är dock krypterad i databasen.
För tillfället används TLS/SSL certifikat från let's encrypt
(https://letsencrypt.org/) som kommer att ersättas med EV "Extended
Validation" certificat från Entrust.
Transaktionsdata från din bank hämtas ner genom ett samarbete med Open
Payments Europe AB. Normalt får vi access till transaktioner från den
dag data hämtas och 18-24 mån bakåt i tiden fördelat på inbetalningar
och utbetalningar. Vissa betalningsadresser förmedlas också. Datan
sammanställs med fyra grafer;
- kontoaktivitet per månad, balans per månad, kassaflöde per månad samt skattetransaktioner per månad.
-
Kredittagaren får se denna sammanställning och kan sedan välja att dela
den med utvald kreditgivare som då får besked om detta. Inget annan
information från din bankdata delas med utvald kreditgivare.
Open Payments Europe AB har etablerade IT och
informationssäkerhetspolicies som styr dagliga rutiner, utveckling,
övervakning och kontroll av bolagets IT funktioner. Dessa policies är
upprättade i enlighet med:
- Lag (2010:751) om betaltjänster
- Finansinspektionens föreskrifter och allmänna råd (FFFS 2010:3) om betalningsinstitut och registrerade betaltjänstleverantörer
- Finansinspektionens föreskrifter (FFFS 2018:4) för betaltjänsteleverantörer
- EBA Guidelines on ICT and security risk management
Vad gäller den tekniska säkerhetsnivån i Open Payments produktplattform
så tillämpar de generellt en segmenterad åtskildhet mellan komponenter
där det är strikt kontrollerat vilka resurser i systemet som skall kunna
kommunicera. All kommunikation till och från samt inom plattformen sker
krypterat och med ömsesidig autentisering (klient/server). Även all
datalagring i systemet är krypterad "at-rest". Open Payments genomför även årliga penetrationstester utförda av extern part för att säkerställa hög säkerhetsnivå.
Sergel Kredittjänster har ett kvalitetsledningssystem enligt standard
ISO 9001:201 och avser också att i närtid bli certifierade inom
informationssäkerhet ISO 27001. I Sergels kvalitets- och säkerhetsarbete
ingår bland annat säkerhetspolicys, mailsäkerhet,
informationsklassificering samt risk- och incidentmanagement. Vidare har
Sergel en Business Continuity Plan för att säkerställa bl.a. IT-drift
och operativ verksamhet.