Våra policies

Policy för informationssäkerhet

Informationssäkerhet är viktigt för EPM Datas trovärdighet och våra kunders tillit till hur vi hanterar deras information. Vi måste kunna lita på att all information som vi hanterar internt och för våra kunders räkning alltid är tillgänglig, korrekt och skyddad från obehörig åtkomst. Det gäller oavsett vilken form informationen har, hur den överförs eller lagras. Bristande informationssäkerhet kan leda till störningar i vår och våra kunders verksamhet eller medföra bristande skydd för den personliga integriteten. Informationssäkerhet är därför av högst prioritet på EPM.
Arbetet med informationssäkerhet på EPM utgår ifrån fyra dimensioner, vilka arbetats fram med ledning och medarbetare utifrån etablerade klassningsmodeller för informationssäkerhet:

  • Konfidentialitet: Att en adekvat säkerhetsnivå ska finnas för att säkerställa att information med lagkrav om sekretess eller motsvarande inte kan röjas, förstöras, komprometteras eller stjälas.
  • Tillgänglighet: Att information är tillgänglig vid behov med en rimlig tillförlitlighet, och ska kunna nås av behöriga inom önskvärd tid.
  • Riktighet: Att information skyddas mot oönskad förändring eller borttag, oavsett om den är avsiktlig eller oavsiktlig. Informationen ska vid varje valt tillfälle vara korrekt, tillförlitlig och fullständig.
  • Spårbarhet: Att det finns ändamålsenlig spårbarhet på åtkomst och förändring av informationstillgångar för att i efterhand kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt.

EPM Datas policy för informationssäkerhet anger vårt synsätt och viljeinriktning för arbete med informationssäkerhet med övergripande målsättning att:

  • kunders information inte försvinner eller förstörs.
  • ingen obehörig får tillgång till information.
  • rutiner, kompetens och teknisk utrustning finns för att säkerställa detta samt för att hantera informationssäkerhetsrisker och förebygga informationssäkerhetsincidenter.
  • arbete med informationssäkerhet följs kontinuerligt upp och förbättras, och
  • informationssäkerhet finns med som kontrollpunkt i all nyutveckling av produkter och tjänster.

För att uppnå detta, och för att upprätthålla den nivå av kontroll och spårbarhet som krävs för att visa överensstämmelse med erkända processer, skall EPM Data upprätthålla ett ledningssystem för informationssäkerhet baserat på de krav som ställs i den internationella standarden ISO/IEC 27001 samt EU-förordningen 2016/679 (GDPR).

Policy för tjänstehantering

Tjänstehantering på EPM Data

Vi ska producera tjänster till våra kunder med hög säkerhet och tillgänglighet och till attraktiva priser, och vi ska göra det genom att vi

  • Har kund- och användarfokus: Tjänstehanteringen ska ha fokus på EPM:s kunders och deras användares behov
    • Tjänster levereras med den kvalitet som motsvarar överenskomna krav och förväntningar i SLA:er.
  • Är processinriktade: Alla medarbetare arbetar strukturerat utifrån ett processorienterat arbetssätt för att effektivt hantera tjänster och underliggande komponenter.
    • De processer som krävs för tjänstehanteringen är definierade, kommunicerade och förbättras utifrån verksamhetens behov och synpunkter från kunder, medarbetare och andra parter.
    • Roller och ansvar är tydligt beskrivna.
  • Kontinuerligt förbättras: Tjänster och tjänstehanteringsprocesser ska kontinuerligt förbättras
    • Synpunkter/feedback från intressenter används för att kontinuerligt förbättra tjänster och tjänstekvalitet. Alla förbättringsförslag registreras och utvärderas.
    • Tjänstehanteringen förbättras genom kontinuerlig mätning och uppföljning av processers prestanda och effektivitet.
  • Kompetensutvecklar oss: Utbildning och kunskapsöverföring ska säkerställa att alla EPM:s medarbetare som är involverade i tjänstehantering kan utföra sina arbetsuppgifter i enlighet med förväntningar på sin roll.
  • Har ett engagerat ledarskap: EPM:s ledningen står bakom och har skrivit under de här riktlinjerna och införandet av den, och ger de resurser som krävs för att införa och förbättra tjänstehantering och få ökad kundnöjdhet i tjänsteleveransen.
  • Går mot standardiserade tjänster: Vifortsätter att utveckla och förbättra våra lösningar och tjänster för enhetlig, effektiv och rationell leverans till våra kunder.
  • Agerar enligt våra värderingar: Trovärdighet, Kvalitet och Hängivenhet.

För att uppnå detta, och för att upprätthålla den nivå av kontroll och spårbarhet som krävs för att visa överensstämmelse med erkända processer, ska EPM upprätthålla ett ledningssystem för tjänstehantering baserat på de krav som ställs i den internationella standarden ISO/IEC 20000-1.

Miljöpolicy

EPM Data strävar i vårt dagliga arbete att minska miljöpåverkan och därmed bidra till en ren och hälsosam miljö. I alla företagets verksamheter ska vi verka för att minimera verksamhetens klimatavtryck och en god miljö genom att hushålla med naturens resurser såsom råvaror, material, energi och vatten samt förebygga föroreningar.

  • Producera våra tjänster med miljövänlig teknik såsom resursbesparande virtualisering i miljöcertifierade datacenter.
  • Skapa intresse och engagemang för miljöarbete bland anställda och öka medarbetarnas medvetenhet för hur vi kan ta mer hänsyn till miljön i vårt dagliga arbete.
  • Välja produkter som kan anses som bästa miljöval, i den mån det är möjligt.
  • Sortera och återvinna utrangerat material för att minimera klimatavtrycket.
  • Se till att använda miljövänliga alternativ för person- och varutransporter.
  • Vid val av leverantörer skall miljöaspekter beaktas.
  • Öppet redovisa vårt miljöarbete och utforma verksamheten så att miljölagar och andra för verksamheten ställda bindande krav utgör miniminivån för våra åtgärder.
  • Utveckla vårt miljöarbete och vårt miljöledningssystem genom ständiga förbättringar.

För att uppnå detta, och för att upprätthålla den nivå av kontroll och spårbarhet som krävs för att visa överensstämmelse med erkända processer, ska EPM Data upprätthålla ett miljöledningssystem baserat på de krav som ställs i den internationella standarden ISO 14001.
I likhet med övriga policyer (policy för tjänstehantering, policy för informationssäkerhet) revideras denna policy årligen vid behov.

Policy for integritet och GDPR-arbete

Behandling av personuppgifter

EPM Data behandlar personuppgifter inom ramen för sin verksamhet för att leverera tjänster till befintliga och potentiella kunder. För behandling av medarbetares personuppgifter så finns information tillgänglig för berörda parter i interna policyer.
För personuppgifter som hanteras i samband med kunduppdrag för att leverera tjänster inom tjänsteavtalet, är EPM Data att betrakta som personuppgiftsbiträde. All personuppgiftsbehandling utförs enligt instruktioner från kunden och specificeras i Tjänsteavtalet. EPM Data kan även använda personuppgifter för befintliga kunder för information och försäljning och är i det fallet att betrakta som personuppgiftsansvarig.

Registrering av ärenden

I samband med att du kontaktar oss via mail eller telefon i din roll som företrädare för en organisation så kommer vi spara dina personuppgifter för att kunna arbeta vidare med ärendet och ge en optimal service. Vi sparar ditt namn, e-postadress och telefonnummer om du angivit ett sådant. Vi sparar även eventuella personuppgifter som du själv lämnar i ärendet. All behandling följer gällande personuppgiftslagstiftning och dina uppgifter lämnas inte ut till någon extern part. Vi sparar dina uppgifter med stöd i det avtal så EPM tecknat med din arbetsgivare och kommer spara uppgifterna under avtalstiden och rensas inom ett (1) år från det att uppdraget är avslutat. Har ni idag inget avtal med EPM så sparas informationen med stöd av EPM:s berättigade intresse i upp till ett (1) år. Har du invändningar mot denna behandling vänligen kontakta din arbetsgivare i första hand eller integrity@epm.se för mer information.

Försäljning och Marknadsföring

Med stöd av ett berättigat intresse kan EPM Data komma att bearbeta befintliga och potentiella kunder med erbjudanden och uppföljningar av pågående inköpsprocesser. I dessa fall behandlar vi enbart kontaktinformation tex: Namn, e-postadress, telefonnummer, arbetsgivare och eventuell titel. Då behandlingen rör dig som inte är befintlig kund hos EPM Data kan detta endast ske om;
• Det finns en pågående diskussion av ett potentiellt avtal med EPM Data
• Du innehar en publik roll i bolaget du representerar
• Du har på annat sätt lämnat samtycke till att dina kontaktuppgifter skall göras publika via externa söktjänster

Säkerhetsföreskrifter

Dessa tekniska och organisatoriska åtgärder för att säkerställa en adekvat säkerhetsnivå utgör en integrerad del av EPM Datas verksamhet och ska följas vid utförande av personuppgiftsbehandlingar.

  1. Fysisk säkerhet. Personuppgiftsbärande system skall skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, såsom serverhallar, skall skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT-system och lagringsmedia.
  2. Åtkomstkontroll. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras. För det fall eventuella bärbara datorer används vid behandlingar skall personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
  3. Skydd mot skadlig kod. Personuppgiftsbärande system skall vara skyddade mot virus, trojaner och andra former av digitala intrång.
  4. Säkerhetskopia. Personuppgifterna skall regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet skall ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning.
  5. Behörighetskontroll. Ett tekniskt system för behörighetskontroll skall styra åtkomsten till personuppgifterna för EPM Data. Behörigheten skall begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Det skall finnas rutiner för tilldelning och borttagande av behörigheter.
  6. Åtkomst till personuppgifter skall kunna följas upp i efterhand genom loggar eller liknande underlag.
  7. Anslutning för extern datakommunikation skall skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av EPM Data skall skyddas med kryptering.
  8. Gallring av personuppgifter under och efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet 1) Under avtalstiden efter begäran från Kunden sker radering snarast möjligt och senast tre månader efter begäran. 2) Efter att avtalet har upphört att gälla enligt punk 8.2 i IT & Telekomföretagens Särskilda bestämmelser vid behandling av personuppgifter i samband med IT-Infrastrukturtjänster.
  9. Förändringskontroll. Åtgärder utförs för att säkerställa att det i efterhand går att granska och avgöra om personuppgifter har matats in, ändrats eller raderats i systemet och vem som vidtagit åtgärden för de uppgifter där EPM Data är Personuppgiftsansvarig. För data där kunden är Personuppgiftsansvarig ansvarar kunden själv för att personuppgifterna är korrekta och uppdaterade.
  10. Särskiljningskontroll. EPM Data ansvarar för att data som samlats in för olika ändamål behandlas separat i det fall EPM Data är Personuppgiftsansvarig. För data där kunden är Personuppgiftsansvarig ansvarar kunden själv för att personuppgifter endast används för det specifika ändamålet för vilket de samlats in.
  11. Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Kundens personuppgifter, utförs av annan än EPM Data, skall kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök skall servicen ske under Personuppgiftsbiträdets överinseende. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal skall ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service skall den vara stängd när service inte pågår.
  12. Personuppgiftsbiträdet skall ha rutiner för att omgående underrätta Personuppgiftsansvarig vid upptäckt av obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande integritetsincidenter, samt försök därtill. Det skall finnas lämpliga och adekvata processer för att kunna säkerställa tillgängligheten och åtkomsten till personuppgifterna vid personuppgiftsincidenter. Därutöver skall Personuppgiftsbiträdet ha rutiner för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
  13. Personuppgifterna skall i de fall det är tillämpligt i möjligaste mån anonymiseras.

Den registrerades rättigheter

Du som registrerad individ har långt gående rättigheter när det gäller den behandlingen som EPM Data utför. Du har rätt att veta vilka uppgifter som EPM registrerat i sin roll som personuppgiftsansvarig. Utöver detta kan du begära rättelse av felaktiga uppgifter och vi vissa fall även kräva att bli raderad ur våra register. För att utöva dina rättigheter vänligen kontakta integrity@epm.se och beskriv där ditt ärende så återkommer vi inom kort. Det går även bra att sända begäran via post till EPM Data, St. Eriksgatan 117, 11343 Stockholm.