Vi är måna om att våra leveranser skapar mervärde för kundernas verksamheter, att leva upp till de krav som åligger oss samt att våra tjänster och produkter ska vara säkra och av hög kvalitet. Detta levererar vi genom att säkerställa en god arbetsmiljö och inom ramen för vår påverkan värna om miljön.
Som ett bevis på vårt systematiska arbetssätt och vårt åtagande mot oss själva och våra intressenter har vi valt att certifiera vårt ledningssystem, alltså vårt sätt att leva och arbeta inom verksamheterna, mot de tre internationellt etablerade standarderna för kvalitet (ISO 9001:2015) miljö (ISO 14001:2015) och informationssäkerhet (ISO/IEC 27001:2022).
Vi har valt att certifiera vårt ledningssystem, dels för att säkerställa en återkommande granskning av extern part men framförallt för att våra kunder ska vara trygga i att det vi kommunicerar och uppger faktiskt utvärderas av såväl oss som representanter för certifieringsorganet.
Fördelen för oss internt är att vi återkommande behöver genomföra våra egenkontrollsaktiviteter och interna revisioner. På så vis säkerställer vi att vårt säkerhets-, kvalitets-, miljö- och arbetsmiljöarbete är relevant och effektiv.
Genom att utgå från internationellt vedertagna standarder blir det enklare för våra kunder att förstå hur vi bedriver vårt systematiska förbättringsarbete och vilka ramverk vi prövas utifrån.
Vårt arbetssätt lever upp till kraven i ISO 9001. Det innebär att vi på ett systematiskt sätt arbetar för att säkerställa och förbättra kvaliteten i våra produkter och tjänster samt att vi aktivt arbetar för att förstå och möta kundernas behov.
Vår metod för att uppnå den här systematiken bygger på en gedigen kartläggning av vår egen verksamhet, förståelse för kundernas och marknadens förväntningar, dokumenterade processer och arbetssätt samt systematik för att identifiera, bedöma och hantera våra risker och möjligheter.
När vi identifierar förbättringsmöjligheter, eller brister, klargör vi vad som har gått fel och utarbetar åtgärder för att komma tillrätta med såväl bristen som grundorsaken.
Vårt arbete för att minska vår miljöpåverkan lever upp till kraven i ISO 14001. Inom ramen för vår verksamhet och vår strävan att möta marknadens och kundernas förväntningar vill vi säkerställa att vår miljöpåverkan är så låg som möjligt och att vi gör det vi kan för att effekterna av kommande klimatförändringar är något vi tar i beaktande.
Genom att identifiera vår miljöpåverkan samt övriga hållbarhetsaspekter klargörs vad vi kan och bör arbeta med. På så vis säkerställer vi att våra produkter och tjänster utförs inom ramen för ett målmedvetet förbättringsarbete utifrån våra fastställda miljömål.
Vi är, och har alltid varit, mycket medvetna om det stora förtroende våra kunder tillskriver oss vad gäller såväl kunskap som ansvarskänsla kring hur vi kan och bör hantera deras information. Genom att certifiera vårt informationssäkerhetsarbete mot kraven i ISO 27001 kan våra kunder vara trygga med att det vi säger också följs upp genom oberoende granskning.
Vi har genomfört en gedigen inventering av vår informationshantering, de system och tjänster vi använder oss av samt leverantörerna vi är beroende av. Därefter har vi kunnat tillämpa en systematisk riskhanteringsprocess och genom denna har vi valt säkerhetsåtgärder för att säkerställa informationssäkerheten för såväl oss som våra kunder.
Genom att årligen göra vårt informationssäkerhetsarbete till föremål för en extern granskning prövas vi i våra beslut och det säkerställs att det vi klargör i vårt uttalande om tillämplighet (Statement of Applicability) faktiskt stämmer med verkligheten.
Trots att vi inte har certifierat vårt ledningssystem utifrån ISO 45001 utgår vi från standarden för att säkerställa en systematik i arbetsmiljöarbetet.
Genom att utgå från våra processer och de aktiviteter och arbetsuppgifter som utförs inom ramen för verksamheten har vi identifierat faror i arbetsmiljön och utifrån dessa tillämpat vår process för att identifiera, bedöma och hantera risker.
Vidare håller vi oss uppdaterade kring arbetsmiljölagstiftningen och identifierar vilka delar av den som påverkar vår typ av verksamhet samt på vilket sätt vi kan rådge våra kunder.
Servrar finns inlåsta i serverhallar hos vår driftleverantör och tillgång styrs med fysisk nyckel och kod vilken är begränsad till behörig personal med drift- och underhållsansvar.
Åtkomst till våra system regleras genom behörighetsstyrning samt genom inloggningsuppgifter vilka omfattar mutlifaktorsautentisering. I system där våra kunder ansvarar för användarhanteringen ansvarar kunden själv för åtkomsträttigheter avseende Administratörer och Användare.
Vi har ej åtkomst till kundernas data utöver det som krävs för drift, underhåll och eventuell support för de produkter och tjänster vi tillhandahåller. Administratörsrättigheter hålls begränsade till de individer som har arbetsuppgifter vilka kräver dessa rättigheter.
Våra driftade tjänster tillhandahålls genom en molndrifttjänst där tjänsten är kontinuerligt tillgänglig, därmed är lagrad data ej krypterad. Säkerhetskopior lagrade utanför driftleverantörens tjänster lagras på heldiskkrypterad lagringsmedia.
Vi säkerställer att kommunikation till och från våra tjänster är krypterad. I övrigt strävar vi efter att såväl vi som våra kunder kommunicerar genom krypterade kanaler.
Vi säkerställer att personal med åtkomst till våra tjänster och driftsmiljön är autentiserad och kontrollerad. Våra kunder ansvarar för autentisering och identifiering av Administratörer och Användare.
Destruering av lagringsmedia ombesörjs av vår driftleverantör. För lagringsmedia vi själva ansvarar för tillämpas mekanisk destruktion (förstöring).
Varje kund erhåller en egen instans. Därigenom är data regelmässigt logiskt separerade i en virtualiserad driftsmiljö.
Loggning av aktiviteter i våra tjänster ombersörjs av oss på applikationsnivå samt avseende trafikanrop till kundspecifik instans. Loggning på infrastrukturnivå ombesörjs av driftleverantören samt av oss genom våra loggningsverktyg.
Vi ansvarar för att söka identifiera och avhjälpa tekniska sårbarheter på applikationsnivå, dels genom tredjepartsverktyg och dels genom egen skanning. Som stöd för det arbetet, och för att säkerställa möjlighet till insyn för våra kunder, har vi publicerat en SBOM vilken klargör våra tredjepartsberoenden. Driftleverantören ansvarar för identifiering och avhjälpning av tekniska sårbarheter på infrastrukturnivå.
Vi ansvarar för att tjänsten allokeras erforderlig kapacitet och har kontinuerlig loggning av förbrukad kapacitet i relation till tillgänglig kapacitet. Redundans på infrastrukturnivå säkerställs genom driftleverantören.
Vi tar dygnsvisa totalbackuper genom två av varandra oberoende verktyg, detta för att kunna säkerställa återgång till drift i händelse av en omfattande incident eller störning.För våra tjänster hänvisar vi också till driftleverantörens kontinuitets- och kapacitetsplanering vad gäller löpande drift av avropade tjänster.
Personuppgifter överförs ej till externa parter med mindre än att det explicit har överenskommits med kunden. Personuppgifter överförs ej till Tredje land.
Eftersom tjänstens personuppgiftshantering normalt sträcker sig till hantering av information rörande Administratörer och Användare är detta något som underhålls genom normal systemadministration. Systemet är inte utformat för att hantera särskilda kategorier av personuppgifter. Någon automatisk gallring sker inte.
Tjänsten använder ett fåtal, nödvändiga, kakor som används för att hålla koll på sessionen samt status för tabellvyer (antal objekt per sida t.ex.) samt menyers status. Tjänsten innehåller inga tredjepartskakor och det skickas inte heller information till tredjeparter om hur systemet används. Detta är också anledningen till att något samtycke om användning av kakor inte inhämtas.
Här återfinns generella systemkrav för att använda Ledningssystemet.se i egen driftmiljö.
Ledningssystemet.se är konstruerat för att kunna gå på en enkel och robust plattform, oavsett om Ledningssystemet Sverige AB ansvarar för driften via sin driftleverantör, kunden själv vill ansvara för driften i sin servermiljö alternativt hos sin IT-partner eller om kunden önskar lägga driften hos en molntjänstleverantör såsom Microsoft Azure, Amazon Web Services eller Google.
Ubuntu, senaste LTS, härdad (Vi rekommenderar 2 vCPU, 8 Gb RAM samt 128-512 Gb Disk)
MariaDB (Senaste stabila versionen)
Docker engine samt Docker compose (Senaste stabila versionen)
NGinx samt tillhörande SSL-certifikat för valt domännamn
För själva installationen av applikationen hjälper vi gärna till men behöver då kunna komma åt servern via SSH. I annat fall skickar vi instruktioner för installationen till den hos kunden som ska sätta upp instansen.
Här listas frågor som förekommer relativt ofta och som vi ser att våra befintliga och nya kunder behöver få svar på när de bedömer oss som leverantör
Ja, vi är certifierade mot ISO 9001:2015, ISO 14001:2015 och ISO/IEC 27001:2022. Mer information finns här.
Det stämmer. Därför säkerställer vi att vi inte binder upp våra kunder till att använda tjänsten genom långa bindningstider, att det är enkelt att exportera allt data, men även att vi lovar att tillgängliggöra vår produkt som öppen och fri källkod den dagen vi inte längre kan förvalta tjänsten på ett acceptabelt sätt. Vi har också valt att bygga programvaran på en mycket standardiserad plattform (Laravel) som är enkel att vidareutveckla.
Ja, vår enda policy är vår Verksamhetspolicy och den finns här.
Vi hanterar vår källkod hos Github och använder då funktionaliteten Dependabot. Vidare uppdateras kritiska tredjepartsbibliotek automatiskt när vi släpper en ny version av Ledningssystemet (vilket vi gör ofta, ibland varje dag). Våra driftsmiljöer skannas dagligen för att identifiera sårbarheter. Vi använder i dagsläget OPENVAS by Greenbone.
Vi tillämpar inte något formaliserat ramverk för säker mjukvaruutveckling (t.ex. Microsoft SDL eller liknande). Vi litar mycket på kompetens vid utvecklingen, men bygger också vår arkitektur på att eventuella sårbarheter inte skall kunna utgöra onödiga risker. Mjukvaruutvecklare har utbildning i säker mjukvaruutveckling.
Nej. Vi rekommenderar alla våra kunder att integrera mjukvaran mot egen identitetshanterare (t.ex Microsoft Entra) och att inte använda lösenordsautentisering.
I de fall vi står för driften använder vi leverantören Oderland samt en parallell struktur för säkerhetskopior. Vi tar totalsäkerhetskopior av vår driftsmiljö varje dygn samt tar säkerhetskopior av databaserna varje timme.
Vid överföring är data krypterad mellan användare och web-server. Lagrad data i produktionsmiljön är inte krypterad (förutom autentiseringsuppgifter). Har man krav på kryptering av lagrad data rekommenderar vi att man sätter upp en egen driftsmiljö. Säkerhetskopior vi tar utanför driftsleverantörens försorg lagras på heldiskkrypterad lagringsmedia.
Vi erbjuder bara en nivå av drift i dagsläget, men systemet är byggt för att kunna köras i andra miljöer. Vi har kunder som använder t.ex. AWS eller kör systemet i sina egna datacenter. Det går alldeles utmärkt, då systemet inte behöver kunna nås av något av våra stödsystem eller av oss (med mindre än att ett större problem uppstår, och i de fallen får vi hjälpas åt att lösa dem).
Ja, alla installationer kommunicerar normalt med vår övervakningsplattform där vi får information om fel som uppstår i installationerna, om hårddiskutrymmet håller på att ta slut, inloggningsproblem och liknande driftsrelaterad information. Vi visar gärna vad vi samlar in, och dessutom kan man konfigurera i kundmiljön om och vad som kommuniceras till vår övervakningsplattform. När man kopplar ihop en kundinstallation med en samordningsportal utbyts information mellan dessa.
Nej. Systemet använder ett fåtal, nödvändiga, kakor som används för att hålla koll på sessionen samt status för tabellvyer (antal objekt per sida t.ex.) samt menyers status. Systemet innehåller inga tredjepartskakor och det skickas inte heller information till tredjeparter om hur systemet används. Detta är också anledningen till att något samtycke om användning av kakor inte inhämtas.
Varje kund har en helt egen installation av mjukvaran och även en egen databasinstans. Detta gör vi av flera anledningar: Dels för att minska konsekvenserna i händelse av ett säkerhetsproblem, dels för att möjliggöra en helt distribuerad plattform där det inte spelar någon roll var instanserna installeras. När vi tillhandahåller drift genom vår leverantör Oderland, så har varje kund en egen container för att vi ska minimera riskerna för s.k. ”lateral-movement-attacker”.
Om ni själva står för driften av systemet så har medarbetare hos Ledningssystemet Sverige inte åtkomst såvida inte ni konfigurerar upp detta. Om Ledningssystemet Sverige AB står för driften har medarbetare teknisk möjlighet att komma åt databasen eftersom den administreras av bolaget.
Vi gillar inte inlåsningseffekter utan det ska vara lätt att göra slut med oss om Ledningssystemet.se inte hjälper verksamheten eller av andra skäl inte är ändamålsenligt. Om ni vill lämna Ledningssystemet.se kan vissa exporter till Excel göras direkt från användargränssnittet. All data (ej krypterade lösenord) kan hämtas via API. Om ni vill ha er data i form av en SQL-export går det bra att kontakta oss så hjälper vi till med det (givetvis utan kostnad).
Vi garanterar ingen tillgänglighetsnivå alls, utan anser systemet vara ett ur tillgänglighetsperspektiv icke kritiskt system. Det finns dock reglerat i avtalet att ni har möjlighet att säga upp avtalet med oss (vilket ni har oavsett) om systemet inte är tillgängligt.
Vi strävar efter att systemet skall vara tillgängligt, och det finns t.ex. visst stöd för skärmläsare. Vi lever i nuläget inte fullt ut upp till alla tillgänglighetskrav i WCAG 2.2, men har gjort bedömningen att systemet inte är av sådan karaktär att det omfattas av direktivet (t.ex. avseende kontraster).
Nej, eftersom systemets personuppgiftshantering normalt sträcker sig till hantering av information rörande systemets användare så är detta något som underhålls genom normal systemadministration. Systemet är inte utformat för att hantera särskilda kategorier av personuppgifter. Någon automatisk gallring sker inte, men är möjligt att införa om önskemål finnes.
