Applikationssäkerhet

Multifaktorautentisering
Alla systemadministratörer på Benify har individuella konton med multifaktorsautentisering.

Multifaktorsautentisering kan även aktiveras för slutanvändare via Google Authenticator. För svenska kunder kan BankID användas för multifaktorsautentisering.

Åtkomst kan också hanteras via single sign on (SSO) med SAML 2.

Lösenord
Alla våra kunders slutanvändare har individuella användarkonton och behöver autentisera sig med minst med lösenord. Lösenordspolicyn kan anpassas efter specifika kundönskemål för att överensstämma med kundens lösenordspolicy.

Återställning av lösenord genomförs på begäran av användaren. Återställningslänkar skickas endast till användarens registrerade e-postadress. Återställningslänken innehåller ett temporärt lösenord som måste bytas vid första inloggning. Tidigare återställningslänkar upphör att gälla vid begäran av nytt lösenord.

Applikationen tillåter endast en återställning var 30 minut.

Efter fem misslyckade inloggningsförsök spärras aktuellt användarkonto. Kontot är spärrat i 24 timmar, tills nytt lösenords har begärts eller till kontot manuellt låses upp av Benifys administratörer.

Inaktivitet
Alla användare loggas automatiskt av efter 30 minuters inaktivitet.

Separering av kunddata
All kunddata separeras per kund för att säkerställa sekretess och integritet mellan olika kunder. Varje kund har en unik nyckel som används för att separera datan.

Känslig data
Alla personuppgifter från kunder klassificeras som Strikt konfidentiellt enligt Benifys policy för informationsklassning. Information om lön, bonusar etc. klassificeras även som känslig i Benifys applikation. 

Åtkomst till känslig information tilldelas enbart utifrån principen om lägsta behörighet. 

Enligt standardinställningarna är känslig information maskerad för alla Benifys administratörer. Åtkomst till maskerad information regleras i rollbehörigheterna.

Åtkomst till känslig information ingår i den årliga omprövningen av rollbehörigheter.

Händelselogg
Alla aktiviteter i applikationen loggas. Våra loggar omfattar information om användaren, tidpunkt och datum, användaraktivitet och kritiska säkerhetshändelser (såsom autentiseringsförsök 

Applikationstiden synkroniseras med Network Time Protocol (NTP).

Kryptering – data i transit
Kommunikation mellan slutanvändares klientdatorer och Benifys servrar sker över publika nätverk, krypterat via HTTPS och Transport Layer Security (TLS) enligt bästa branschpraxis.

Kryptering – data i vila
Produktions- och backupdata krypteras i vila med AES 256-bit.

Kryptering – integrering
Benify rekommenderar starkt att all kundintegrering och filöverföring skyddas med SFTP/HTTPS och filkryptering såsom PGP.

Skydd av autentiseringsinformation
Alla lagrade lösenord skyddas med hashfunktionen SHA512 och ett salt.

Sårbarhetsscanning av webbapplikationen
Automatiserad sårbarhetsscanning för webbapplikationer (inklusive OWASP Top 10) genomförs veckovis mot Benifys applikation.

Alla sårbarheter klassificeras och begränsas enligt interna policys och processer.  

Penetrationstester
Benify anlitar ett oberoende säkerhetsbolag för att genomföra fullskaliga penetrationstester på Benify applikationen varje kvartal. Utöver detta testas även varje ny uppdatering av applikationen löpande. Penetrationstester genomförs med både automatiserade och manuella tester som inkluderar test i enlighet med internationella projekt och standarder såsom OWASP Top Tio och WASC.