Informationssäkerhet

Credons tjänst möjliggörs av ett EU-direktiv som heter PSD2. Den innebär i korthet att samtliga banker i Europa inte längre har monopol på information på dina konton, istället bestämmer du som kontoinnehavare vem du vill dela information med. Kravet är att det ska ske på ett säkert sätt, något som Integritetsskyddsmyndigheten i Sverige säkerställer genom tillståndskrav, ett tillstånd som Credon har. Detta tillstånd medger att vi kan hjälpa dig hämta ner en kopia av dina transaktioner på ett smidigt och säkert sätt. Du godkänner detta och du kan avbryta när du vill. Du ser också vilken information som kreditgivaren får som om ditt bolag innan du delar med dom. Integritetsskyddsmyndigheten (fd Datainspektionen) har sett över vår verksamhet och ställt höga krav på säkerhet något vi måste uppfylla för att kunna bedriva denna tjänst. Vi står under deras tillsyn. Information som används i processen är bolagsdata, där källan är Bolagsverket och Kronofogden. Denna information erhåller Credon via Sergel Kredittjänster och vi visar orgnr, sni-kod, VD, styrelsen, registreringdatum, adress, omsättning, ebit, årets resultat, skattestatus, antal anställda, kassalikviditet, soliditet, anmärkningar, skuldsaldo. Persondata över de som sitter i bolagets styrelse inhämtas enbart för att möjliggöta access till Credons tjänst via Bank-Id. Mailadress och telefonnummer inhämtas för att kunna kommunicera med kredittagare. Du loggar in genom BankId och därigenom säkerställer vi att enbart styrele samt firmatecknare kan komma åt data. Detta gäller även bank-access där villkoren för att komma åt transaktionsdata för sitt företag bestäms av kontoförande bank. Vår tjänst hanterar till största del data om juridisk person och omfattas då inte av GDPR. Inga känsliga personuppgifter finns heller i systemet förutom den information som kommer från BankID (för och efternamn, personnummer, och även e-post och telefonnummer om detta har lagts in av användaren eller kreditgivaren). Denna information är dock krypterad i databasen. För tillfället används TLS/SSL certifikat från let's encrypt (https://letsencrypt.org/) som kommer att ersättas med EV "Extended Validation" certificat från Entrust. Transaktionsdata från din bank hämtas ner genom ett samarbete med Open Payments Europe AB. Normalt får vi access till transaktioner från den dag data hämtas och 18-24 mån bakåt i tiden fördelat på inbetalningar och utbetalningar. Vissa betalningsadresser förmedlas också. Datan sammanställs med fyra grafer;
  • kontoaktivitet per månad, balans per månad, kassaflöde per månad samt skattetransaktioner per månad.
  • Kredittagaren får se denna sammanställning och kan sedan välja att dela den med utvald kreditgivare som då får besked om detta. Inget annan information från din bankdata delas med utvald kreditgivare.
Open Payments Europe AB har etablerade IT och informationssäkerhetspolicies som styr dagliga rutiner, utveckling, övervakning och kontroll av bolagets IT funktioner. Dessa policies är upprättade i enlighet med:
  • Lag (2010:751) om betaltjänster
  • Finansinspektionens föreskrifter och allmänna råd (FFFS 2010:3) om betalningsinstitut och registrerade betaltjänstleverantörer
  • Finansinspektionens föreskrifter (FFFS 2018:4) för betaltjänsteleverantörer
  • EBA Guidelines on ICT and security risk management
Vad gäller den tekniska säkerhetsnivån i Open Payments produktplattform så tillämpar de generellt en segmenterad åtskildhet mellan komponenter där det är strikt kontrollerat vilka resurser i systemet som skall kunna kommunicera. All kommunikation till och från samt inom plattformen sker krypterat och med ömsesidig autentisering (klient/server). Även all datalagring i systemet är krypterad "at-rest". Open Payments genomför även årliga penetrationstester utförda av extern part för att säkerställa hög säkerhetsnivå. Sergel Kredittjänster har ett kvalitetsledningssystem enligt standard ISO 9001:201 och avser också att i närtid bli certifierade inom informationssäkerhet ISO 27001. I Sergels kvalitets- och säkerhetsarbete ingår bland annat säkerhetspolicys, mailsäkerhet, informationsklassificering samt risk- och incidentmanagement. Vidare har Sergel en Business Continuity Plan för att säkerställa bl.a. IT-drift och operativ verksamhet.