Disse tekniske, organisatoriske foranstaltninger dækker alle CitNOW Group Corporate kontorlokaler sammen med dets forsknings- og udviklingsanlæg.

Om CitNOW Group

CitNOW Group blev grundlagt for at udnytte innovation og hjælpe detailhandlere og producenter med at levere en enestående kundeoplevelse og er drevet af visionen om at omdanne den måde, hvorpå bilverdenen kommunikerer.

CitNOW Group tilbyder adskillige tjenester til de forskellige faser af kunderejsen. Få mere at vide om hver tjeneste via vores side Brands & Solutions page.

CitNOW Group består af CitNOW, CitNOW Imaging, CitNOW Triage og Appraise, Dealerdesk, Dealerweb, Quik, RealTime Communications (RTC) og Web1on1 (t/a CitNow-samtaler). Vi har en global tilstedeværelse i 82 lande med over 19.500 anlæg og en række partnerskaber med komplementære billeverandører.

Formål og anvendelsesområde

CitNOW Group behandler kunde- og forbrugerdata på vegne af vores kunder i bilindustrien. Som sådan respekterer CitNOW Group privatlivets fred og værdien af disse data samt den tillid, som vores kunder giver os.

Følgende er de tekniske og organisatoriske foranstaltninger til sikring af databeskyttelse og datasikkerhed. Formålet er at garantere fortroligheden, integriteten og tilgængeligheden af de behandlede oplysninger. For mere detaljerede oplysninger om datacenteranlæg kan du klikke på linkene nederst i dokumentet.

Fremgangsmåde

Vi vil:

• Bruge alle rimelige, passende, praktiske og effektive sikkerhedsforanstaltninger til at beskytte vores vigtige processer og aktiver for at nå vores sikkerhedsmål.
• Overholde alle ISO 27001:2022-krav i vores informationssikkerhedsstyringssystem.
• Bruge ISO 27002 som en ramme til at vejlede vores tilgang til sikkerhedsstyring.
• Løbende gennemgå vores brug af sikkerhedsforanstaltninger, så vi kan forbedre den måde, hvorpå vi beskytter vores forretning.
• Beskytte og administrere vores informationsaktiver for at gøre det muligt for os at opfylde vores kontraktlige-, lovgivningsmæssige- og fortrolighedsforpligtelser.
• Bruge alle rimelige, passende, praktiske og effektive foranstaltninger til at overføre oplysninger til tredjeparter, der har brug for adgang til disse oplysninger.
• Sørge for overholdelse af den generelle databeskyttelsesforordning (GDPR), Storbritanniens generelle databeskyttelsesforordning (UK GDPR) og EU's generelle databeskyttelsesforordning (EU GDPR) gennem vores GDPR-repræsentanter i virksomheden samt vores uafhængige outsourcede databeskyttelsesansvarlige (DPO).
• Bruge TISAX-rammer- og retningslinjer til at opfylde forbruger- og lovgivningsmæssige krav til informationssikkerhed inden for CitNOW Groups politikker.

1. Politikker for informationssikkerhed
   1. CitNOW Group har defineret et sæt informationssikkerhedspolitikker, der er godkendt af bestyrelsen, og som beskriver organisationens tilgang til styring af sine informationssikkerhedsmål.
   2. Informationssikkerhedspolitikkerne er til for at imødekomme krav skabt af forretningsstrategi, regler, lovgivning, kontrakter og det nuværende og forventede trusselsmiljø for informationssikkerhed. Disse politikker er også et krav i vores ISO 27001-, Cyber Essentials Plus- og TISAX-akkrediteringer (hvor det er relevant, efter enhed). Følgende politikker er for alle medarbejdere:
      • Politik for adgangskontrol
      • Politik for acceptabel brug
      • Politik for forandringsstyring
      • Politik for klassificering af oplysninger
      • Politik for håndtering af informationssikkerhedshændelser
      • Politik for overførsel af oplysninger
      • Politik for mobilenheder og fjernarbejde
      • Politik for fysisk sikkerhed
      • Politik for ryddet skrivebord og sort skærm
      • Håndteringssystem for adgangskoder
      • Politik for kryptografi
      • Personalepolitikker, herunder personaleindslusning-, kontrol og -udslusning
      • Politik for brug af internetbrowser
   3. Der kan også være yderligere obligatoriske politikker ud over ovenstående baseret på en medarbejders stilling.
   4. Vi gennemfører en gennemgang af alle CitNow-koncernens informationssikkerhedspolitikker mindst en gang om året, eller når der foretages væsentlige ændringer, der kan påvirke en politik, uanset ændringstypen (f.eks. virksomhedsændring, lovændring, teknologiændring).
2. Risikostyring
   1. CitNOW Group har en omfattende, men pragmatisk tilgang til risikoidentifikation, -analyse og -behandling samt løbende overvågning og gennemgang. Det fremgår af vores dokument om risikovurdering- og behandlingsmetode. Det behandler risici, der opstår som følge af interne og eksterne spørgsmål, uanset om de er baseret på trusler eller muligheder, og skitserer tilgangen til risici, der følger af gældende lovgivning.
   2. Der er også et levende risikoregister, som bruges til at kortlægge og behandle risici identificeret gennem identifikation og analyse. Det bruges også til at dokumentere aktivitet og påvise forbindelser til de kontroller og politikker, som organisationen har valgt for at tackle risikotrusler- og muligheder.
3. Organisatorisk
   1. Roller og ansvar: CitNOW Group har identificeret nøglerollerne og ansvarsområderne inden for informationssikkerhed og databeskyttelse. Disse specifikke roller tildeles og kommunikeres, så informationssikkerhed ikke kun styres effektivt, men også så effektiviteten af sikkerhedsstyringssystemet indberettes til topledelsen. 
      1. Leder af sikkerhedsoperationer- og risiko: Leder og håndterer ISO-udvalget for at sikre vedligeholdelsen af ISMS- og ISO-akkreditering. Også ansvarlig for informationssikkerhed i organisationen samt risikostyring.
      2. Leder af group-compliance- og databeskyttelse: Leder koncernens compliance-team og er ansvarlig for ISMS-områder, der vedrører juridisk-, kontraktmæssig- og databeskyttelse. Ansvar for GDPR-praksis i både vores britiske- og EU-kontorer.
      3. ISO-udvalget: Daglig drift og vedligeholdelse af ISMS. Implementering af politikker og procedurer og sikring af, at medarbejderne overholder det. Håndterer korrigerende handlinger og forbedringer samt risici og behandlinger.
      4. Interne revisorer: Personer har deltaget i det anbefalede ISO 27001-interne revisorkursus og er som sådan ansvarlige for at udføre alle interne revisioner i overensstemmelse med revisionsprogrammet.
      5. Bestyrelsen med ansvar for ISMS og GDPR: Kontaktpunkt for ISO-udvalget og CitNow-koncernens bestyrelse. Ansvarlig for at underskrive nye politikker og procedurer inden for ISO og sikre, at vi arbejder hen imod vores KPI'er. Også ansvarlig for afmelding af risikoaccept i henhold til vores risikometodologi.
      6. Databeskyttelsesansvarlig: Ansvarlig for at sikre, at CitNOW Group overholder alle aspekter af GDPR-lovgivningen, både i Storbritannien og EU.
      7. EU-repræsentant: Vores udpegede EU-repræsentant med hensyn til EU's GDPR. Ansvarlig for at have kontakt til EU's tilsynsmyndigheder i relation til EU's GDPR og for kontakt med registrerede bosiddende i EU.
      8. GDPR-forkæmpere: Daglig kontakt for GDPR inden for virksomheden. Sikrer vedligeholdelse af levepolitikker såsom artikel 30-dokumenter om databehandling, overtrædelsesregister osv. Også ansvarlig for vedligeholdelse af fortrolighedserklæringen og for at sikre vores daglige overholdelse med hensyn til vores ansvar over for vores registrerede og kunder.
   2. Opdeling af opgaver: Opgaveadskillelsen bruges til at sikre, at modstridende ansvarsområder ikke tildeles den samme person, og for at forhindre, at en enkelt person kan få adgang til, ændre eller bruge aktiver uden tilladelse eller sporing.
   3. Trusselsintelligens: For at forstå potentielle trusler og sårbarheder, der kan påvirke informationssikkerheden, indsamler og analyserer vi trusselsoplysninger fra kendte kilder. Det sikrer, at vi er opmærksomme på trusler, der kan påvirke os, og kan træffe de nødvendige forholdsregler, når det er nødvendigt. Enhver trusselsoplysninger, der kan påvirke organisationen, registreres i risikoregisteret og følger vores risikobehandlingsmetode.
   4. Informationssikkerhed inden for projektledelse: Gruppens produktafdelinger følger et produkt-workflow, der omfatter behovet for at involvere compliance i de tidlige stadier af projektet, sammen med færdiggørelsen af risikovurderinger. I tilfælde af, at et projekt vil påvirke vores kunders, medarbejderes eller forbrugeres privatliv, skal vores procedurer for konsekvensanalyse af databeskyttelse følges. Hvis et projekt omhandler en tredjepart, vil sikkerhedsproceduren for leverandører også blive fulgt.
   5. Fortegnelse over oplysninger og andre aktiver: Vi driver en opgørelse over informationsaktiver eller registreringsværktøj for informationsaktiver, som sporer vores aktiver gennem hele deres livscyklus. Ejeren af aktivet er ansvarlig for korrekt forvaltning af et aktiv gennem hele aktivets livscyklus og for at beskytte aktivet i overensstemmelse med klassificering af oplysninger. Alle CitNOW-koncernens informationsaktiver skal returneres til CitNOW Group ved opsigelse af ansættelser eller tredjepartsaftaler.
   6. Acceptabel brug af oplysninger og andre tilknyttede aktiver: CitNOW Group har en politik for acceptabel brug, der skitserer regler for brug af virksomhedens informationssystemer- og aktiver. Den lægger vægt på ansvarlig brug til forretningsformål, forbyder uautoriserede aktiviteter og sikrer datasikkerhed. Medarbejdere skal følge retningslinjerne for softwareopdateringer, internetbrug, e-mailkommunikation og hændelsesrapportering.
   7. Håndtering af aktiver: Hvor det er muligt, undgår CitNOW Group selv oprettelsen af papirbaserede informationsaktiver og forsøger kun at producere digitale oplysninger. Digitale oplysninger beskyttes mod uautoriseret adgang gennem foranstaltninger, herunder adgangskontrol.
   8. Klassificering og mærkning af oplysninger: CitNOW Group har tre fortrolighedsniveauer defineret som "Information Classification Matrix" (fortrolig, offentlig og intern). Al dokumentation skal være tydeligt mærket med den relevante fortrolighedsmærkning, og der skal medfølge en liste over autoriserede personer med oplysninger klassificeret som “fortrolige“.
   9. Informationsoverførsel: CitNOW Group har en politik for informationsoverførsel, der sikrer, at alle informations-/dataoverførsler inden for CitNOW Group, hvad enten de er interne, eksterne eller til tredjeparter, opfylder minimumskravene for sikkerhed. Den skitserer roller og ansvar, metoder til sikker overførsel, og retningslinjer for håndtering af forskellige formater af information, herunder elektronisk post, instant messaging og eksterne hukommelsesenheder. Politikken gælder for alle medarbejdere og tredjeparter og understreger vigtigheden af overholdelse og korrekt klassificering af oplysninger.
   10. Adgangskontrol: CitNOW Group har en politik for adgangskontrol, der definerer regler for adgang til systemer, udstyr, faciliteter og information baseret på virksomheds- og sikkerhedsbehov. Adgang følger principperne “afvis-som-standard“ og “need-to-know“. Role-Based Access Control (RBAC) overholder “least privilege“, og adgangsrettigheder gennemgås årligt. It-afdelingen kontrollerer netværksadgang og giver den kun, når det er nødvendigt.
   11. Brugeransvar og adgangskodestyring: Alle brugere af CitNOW Group-systemer skal have et unikt bruger-id og skal kræve godkendelse med en adgangskode. Adgangskoder skal holdes fortrolige og må ikke distribueres gennem nogen kanal (gennem mundtlig, skriftlig eller elektronisk distribution osv.) eller gemmes i informationssystemet, medmindre det er inden for et godkendt adgangskodeskab (eller digital hvælving). Brugere skal anvende god sikkerhedspraksis, når de vælger og bruger adgangskoder og skal følge de forpligtelser, der er beskrevet i adgangskodepolitikken.
   12. Administration af brugeradgang: Den tekniske implementering af tildeling eller fjernelse af CitNOW-koncernens medarbejderes grundlæggende adgangsrettigheder udføres af it-afdelingen og HR-afdelingen. Den tekniske implementering af tildeling eller fjernelse af adgangsrettigheder udføres af systemejerne. Adskillelse af pligter og adskillelse af privilegerede konti fra ikke-privilegerede konti gennemføres, hvor det er muligt og praktisk. Adgangsrettigheder overvåges og revideres regelmæssigt, og mindst én gang om året.
   13. Informationssikkerhed i leverandørrelationer: CitNOW Group har en sikkerhedspolitik for leverandører. Formålet med denne politik er at sikre, at informationsudveksling med tredjeparter sker på en sådan måde, at den maksimale værdi kan opnås ved disse relationer, samtidig med at CitNOW Groups informationsaktiver beskyttes mod misbrug. Alle tredjeparter med adgang til data eller oplysninger har en aktuel og opdateret fortroligheds- og fortrolighedsaftale. Det er enten indeholdt i kontrakten eller serviceaftalen afhængigt af leverandørtypen. Der er også en intern tredjepartsprocedure, der sikrer, at alle medarbejdere følger de korrekte trin, når de overvejer en ny leverandør, og at Compliance-teamet er involveret i processen, som sikrer, at alle kontroller er blevet gennemført.
   14. Leverandør adresserer sikkerhed med leverandører: Hvor det er muligt, samarbejder vi med leverandører, der allerede opfylder størstedelen af vores informationssikkerhedsbehov for de tjenester, de leverer til os, og som har god erfaring med at håndtere bekymringer om sikkerhedsproblemer på en ansvarlig måde. Vi udvælger førende og betroede tjenester, der er kendt for deres robusthed, pålidelighed og sikkerhed, og søger, hvor det er muligt, leverandører, der allerede har opnået ISO 27001 eller tilsvarende.
   15. Overvågning, gennemgang og forandringsstyring af leverandører: Alle CitNOW Group-leverandører undergår en grundig sikkerhedsgennemgang, inden de engagerer deres tjenester. Denne gennemgangsproces er kontinuerlig, hvor kritiske leverandører evalueres årligt, og ikke-kritiske leverandører gennemgås ved afslutningen af deres kontrakt eller inden kontraktfornyelse. Når vi håndterer ændringer i leverandørtjenester, tager vi flere faktorer i betragtning for at sikre de bedste resultater. Som god praksis sigter vi mod at researche og evaluere tre potentielle leverandører, inden vi foretager et endeligt valg. De vigtigste overvejelser omfatter:
       • Ændringstypen
       • Den berørte leverandørtype og forretningsoplysningernes, systemernes og processernes kritiske niveau samt revurdering af risici
       • Forholdets intimitet og
       • vores evne til at påvirke eller kontrollere ændringer hos leverandøren
   16. Håndtering af informationssikkerhedshændelser: Procedurer for reaktion på hændelser etableres på forhånd for at sikre en struktureret tilgang under hændelser. De skitserer personalets roller og ansvar for indberetning og reaktion på sikkerhedshændelser, hvilket skaber en konsekvent ledelsesramme. Den indledende opgave er at vurdere begivenheden og træffe beslutning om, hvordan man minimerer kompromittering af tilgængelighed, integritet eller fortrolighed (CIA) af oplysninger, forhindre yderligere hændelser, minimere forstyrrelser og identificere, hvem der skal informeres, herunder internt personale, kunder, leverandører og regulatorer, mens kravene i GDPR og Data Protection Act 2018 taget i betragtning. Når den er vurderet, vil en udpeget person kommunikere med relevante parter for at løse begivenheden. Responstiden varierer afhængigt af hændelsesklassificering- og sværhedsgrad. Hvis en hændelse påvirker kunderne, underretter vi dem i henhold til juridiske og kontraktlige forpligtelser inden for lovmæssigt håndhævelige grænser efter en grundig undersøgelse.
   17. Informationssikkerhed ved sammenbrud: CitNOW Group har identificeret forskellige scenarier, der potentielt kan påvirke virksomheden, og har dokumenteret trinene til at mildne sådanne hændelser som en del af forretningskontinuitetsplanen. Denne plan er designet til at hjælpe med rettidig genoptagelse af operationer i tilfælde af en forstyrrende hændelse. Test og vedligeholdelse af CitNOW Groups forretningskontinuitetsplanen gennemføres for at sikre, at den er i overensstemmelse med vores informationssikkerhedsmål og udføres baseret på følgende:
       • Test af specifikke dele af planen og deres indvirkning på informationssikkerheden udføres i hyppigheder, der er relateret til risikosandsynligheden og virkningen ifølge risikovurderingen.
       • BCP-revisioner planlægges regelmæssigt i overensstemmelse med revisionsprogrammet.
       • Gennemgang af selve planen for at sikre relevans gennemføres af compliance- og it-teams og eventuelle identificerede gavnlige ændringer præsenteres for bestyrelsen.
       • Øvelse med fuld forretningskontinuitet, der gennemføres mindst én gang om året for at sikre, at den forbliver en del af en integreret tilgang til virksomheden og dens evne til at opfylde sine mål.
   18. Gældende lovgivning: Den gældende lovgivning, regulering og de kontraktmæssige krav, der påvirker CitNOW Group, identificeres, dokumenteres, overvåges og gennemgås som en del af det normale forretningsforløb og som en del af ledelsesgennemgangen.
   19. Intellektuelle ejendomsrettigheder: CitNOW Group skitserer sin tilgang til beskyttelse af sine egne intellektuelle ejendomsrettigheder (IPR) gennem følgende foranstaltninger, der er afledt af etablerede politikker og aftaler. Det omfatter:
       • Ansættelsesvilkår- og betingelser
       • Sletning af oplysninger
       • Fortroligheds- eller hemmeligholdelsesaftaler
   20. Beskyttelse af optegnelser: CitNOW Groups optegnelser opbevares beskyttet mod tab, ødelæggelse, forfalskning, uautoriseret adgang og uautoriseret frigivelse i overensstemmelse med lovgivningsmæssige, regulatoriske, kontraktlige og forretningsmæssige krav. Specifikke optegnelser opbevares i overensstemmelse med datalagringen. Planlægges og administreres af den relevante informations-/aktivejer
   21. Gennemgang af informationssikkerhed: CitNow-koncernens informationssikkerhedspolitikker er procedurer, der er underlagt uafhængig gennemgang med jævne mellemrum, og når der foretages ændringer, som en del af vores forpligtelse til løbende forbedring af tjenesterne. Interne revisioner planlægges også gennem revisionsprogrammet på årsbasis med det relevante personale til at foretage revisionen.
   22. Teknisk gennemgang: Sårbarheds- og penetrationstest udføres på hvert produkt på årsbasis af en kvalificeret specialvirksomhed med pennetest, resultaterne gennemgås, og eventuelle sårbarheder afhjælpes.
   23. Driftsprocedurer: CitNOW Group har operationelle procedurer og giver direktører og afdelingsledere mulighed for at beslutte, hvor de skal opbevare operationelle procedurer, der bedst passer til dem og deres personale, samt oprettelse af sådan dokumentation.
4. Mennesker
   1. Screening: CitNOW Groups globale rekrutterings- og udvælgelsespolitik inkorporerer de screeningsaktiviteter, der skal udføres for alle nyansatte. Disse inkluderer, men er ikke begrænset til, bevis for deres berettigelse til arbejde og to tilfredsstillende ansættelsesreferencer.
   2. Medarbejdervilkår- og betingelser: Alle nye medarbejdere i CitNOW Group får en kontrakt, der er specifik for den enhed, som de indgår kontakt med på tidspunktet for ansættelsestilbuddet. Disse kontrakter pålægger medarbejderen strenge forpligtelser for hemmelighedsholdelse og fortrolighed og beskriver forpligtelserne til overholdelse af informationssikkerhedspolitikker.
   3. Bevidsthed om informationssikkerhed, -uddannelse og -træning: Ved ansættelse i virksomheden skal medarbejderne deltage i vores “DNA“ -træningssessioner, der integrerer dem fuldt ud i virksomheden, herunder sessioner fra medlemmer af vores organisationssikkerhedsteam. Løbende uddannelse- og bevidsthed leveres og gennemføres af alt nuværende personale i form af e-lærings- og phishing-kampagner. Personalet opfordres også til at finde og ansøge om træning, som de mener ville være gavnligt baseret på deres færdigheder.
   4. Disciplinærpolitik: Informationssikkerhed er vigtig, og hvis man gentagne gange ikke overholder CitNow-koncernens politikker eller bevidst forårsager et større databrud, kan det resultere i disciplinære foranstaltninger, hvor det er nødvendigt og relevant, og CitNOW Groups HR-afdeling vi agere i overensstemmelse med disciplinærpolitikken for britiske markedsmedarbejdere. Disciplinærpolitikken er specifik for alle medarbejdere på det britiske marked, og på grund af anden lovgivninger på andre markeder vil HR-teamet håndtere disciplin på disse andre markeder i overensstemmelse med lokal markedslovgivning.
   5. Opsigelse eller ændring af ansættelse: I tilfælde af opsigelse af ansættelsen behandles spørgsmål som hemmeligholdelse og adfærd vedr. fortrolige oplysninger efter forladelse af organisationen i overensstemmelse med ansættelsesvilkårene og påmindes medarbejderne ved fratrædelsessamtalen med HR-teamet. Indhentning af opsagte medarbejderes aktiver udføres i overensstemmelse med tilbagelevering af aktiver, og adgangsfjernelse fra alle systemer udføres i overensstemmelse med adgangskontrolpolitikken.
   6. Fortroligheds- og NDA-aftaler: Fortroligheds- og NDA-aftaler, der håndterer kravene til beskyttelse af fortrolige oplysninger ved hjælp af lovligt håndhævelige vilkår. Fortroligheds- eller fortrolighedsaftaler gælder og kræves for alle eksterne parter eller medarbejdere i CitNOW Group enten gennem en underskrevet NDA eller fuld NDA-bestemmelse, der udgør en del af en aftale.
   7. Indberetning af hændelser og svagheder i informationssikkerheden: Alle medarbejdere, leverandører eller anden tredjepart, der er i kontakt med oplysninger og/eller systemer tilhørende CitNOW Group eller deres kunder, skal indberette enhver systemsvaghed, episode eller hændelse, der kan føre til en potentiel sikkerhedshændelse. Oplysninger om, hvordan man rapporterer sådanne hændelser eller svagheder, er en del af vores løbende informationssikkerhedstræning for alle CitNow-koncernens medarbejdere og er en del af indslusningsprocessen for leverandører og andre tredjeparter.
5. Fysisk
   1. Fysisk adgang: Fysiske sikkerhedsforanstaltninger inden for alle CitNow-koncernens kontorer omfatter:
      • Alle medarbejdere kræver et nøglekort- eller fob for at komme ind på kontorerne, medmindre kontoret har en bemandet reception.
      • Alle besøgende skal logge ind i receptionen og altid bære et besøgsmærke.
      • Medarbejdere skal være opmærksomme på tailgating og er forpligtet til at spørge ind til ukendte mennesker på kontoret.
      • Døre på hovedkontoret skal altid være lukkede.
      • Alle vinduer er hovedadgangsdøre, som skal være låst sidst på dagen hver dag.
      • CCTV-overvågning er for at dække adgangspunkter til alle kontorer, som leveres af udlejere.
   2. Sikre områder: Alle CitNOW-koncernens kontorer er sikret ved hjælp af følgende kontrol:
      • Telekommunikation, servere og netværksudstyr opbevares sikkert i aflåste kommunikationsrum, som kun få medarbejdere har adgang til.
      • Post leveres til en enkelt låst postkasse, som kun er tilgængelig for vores personale, hvor det er muligt.
      • Sikre arkivskabe, skabe eller aflåsbare skrivebordsskuffer er tilgængelige for alt personale.
      • Hvis der kræves et delt mødelokale over flere dage, kan materialer, hvis det er relevant, efterlades natten over, så længe rummet er låst, og alt fortroligt materiale er skjult for eventuelle forbipasserende.
      • Alle møder af “fortrolig“ karakter afholdes i dertil indrettede mødelokaler for at undgå risiko for informationslækage til det åbne hovedkontor, hvor det ikke er nødvendigt at dele dem.
      • Medarbejdere og andre, der bruger kontorer og mødelokaler, mindes om behovet for at undgå at efterlade “fortrolige“ materialer, hvor andre kan se dem. Dette omfatter blandt andet ikke at efterlade white boards osv.
   3. Politik for ryddet skrivebord og sort skærm: Fortrolige eller følsomme oplysninger, uanset om de opbevares elektronisk eller på papir, skal beskyttes korrekt og i overensstemmelse med politikken for informationsklassificerings, når medarbejderne er fraværende på sin arbejdsplads i en længere periode og ved slutningen af hver arbejdsdag. For at lette dette er der udarbejdet vejledende principper, der omfatter både ikke-elektroniske (f.eks. manuelle-/papirfiler) og elektroniske informationsudgaver. Når medarbejderne er væk fra deres arbejdsstationer, skal medarbejderne låse skærmen med en adgangskode.
   4. Udstyr: Alle CitNOW Group har følgende kontrol til at sikre udstyrets sikkerhed.
      • CitNOW Group bruger overvejende skybaserede tjenester fra store, veletablerede udbydere, der er ansvarlige for levering af sikrede leveringsstandarder inden for deres respektive datacentre.
      • Strøm- og telekommunikationskabler, der bærer data eller understøttende informationstjenester inden for alle CitNOW Group-kontorer, er beskyttet mod aflytning, interferens, eller skader.
      • Kabler til servere og netværksudstyr opbevares sikkert i aflåste kommunikationsrum, hvor kun få medarbejdere har adgang til disse områder, og alle kabler er godt vedligeholdt.
      • Specialudstyr såsom brandsikringsudstyr vedligeholdes i henhold til serviceintervaller- og specifikationer.
   5. Lagringsmedier: Medarbejdere i CitNOW Group må kun bruge flytbare medier leveret af virksomheden og udstedt af it-afdelingen på deres arbejdscomputere. Disse medier må ikke forbindes til eller bruges på computere, der ikke ejes eller leases af CitNOW Group, medmindre det udtrykkeligt er godkendt af it-afdelingen. Alle forretningsmæssige eller personlige data, der er gemt på aktiver, skal slettes sikkert ved hjælp af godkendte teknologier afhængigt af dataens følsomhed. CitNOW Group sikrer, at alle aktiver bortskaffes gennem WEEE-godkendte, autoriserede affaldsvirksomheder. Medarbejdere har lov til at tage virksomhedens udstyr, såsom bærbare computere, uden forudgående tilladelse eller behov for registrering af begivenheden, forudsat at alle sikkerhedspolitikker til beskyttelse af aktiver til enhver tid følges.
6. Teknologisk
   1. Malware: Brugen af antivirussoftware på medarbejderenheder registrerer og eliminerer langt størstedelen af almindelig malware, der findes. Vi bruger velkendte og almindeligt pålidelige produkter for at minimere risikoen for, at en bruger støder på malware. I alle tilfælde, hvor anti-malwaresoftware er installeret:
      • Softwaren skal opdateres regelmæssigt ved hjælp af funktionen til automatisk opdatering af softwaren.
      • Malwarescanning skal ske, når der er adgang til filer.
   2. Sårbarhedsstyring: CitNOW Group kører med jævne mellemrum sårbarhedsscanninger og udfører årlige penetrationstest for at lede efter eventuelle sårbarheder, der ikke tidligere er identificeret. Hvor en sårbarhed kommer for dagen, uanset kilden, vurderes den af Compliance-teamet, CIO, CTO og andre vigtige interessenter. Hvis der er behov for tiltag for at afhjælpe en sårbarhed, træffes der straks eller planlægges foranstaltninger, afhængigt af typen, så der skal handles inden en bestemt måldato.
   3. Sletning af oplysninger: Ved at bruge verdens førende datalager kan CitNOW Group sikre et højt tilgængeligheds- og sikkerhedskoncept. Vores databaser indeholder kunde- og forbrugerpersonlige oplysninger (defineret i artikel 6 i overensstemmelse med databeskyttelsesloven 2018). Til sletning af kunde- og forbrugerpersonlige oplysninger fra vores databaser anvender vi anonymiseringskoncepter og derefter fuldstændig sletning efter en defineret periode. Fjernelse af kunde- og forbrugerpersonlige oplysninger fra vores databaser: Opbevaring af logfiler, der angiver, at følgende vil blive gemt for hver sletning:
      • Hvem
      • Slettet hvad
      • Hvornår
      • Autoriseret af hvem
   4. Forebyggelse af datalækage: CitNOW Group har implementeret teknikker til forebyggelse af datatab, der hjælper os med at sikre os, at vores følsomme oplysninger tilgås og bruges korrekt og ikke er tilgængelige for ukendte eller anonyme brugere, ved at:
      • Identificere af data, der kræver beskyttelse, f.eks. ved klassificering
      • Angive, hvem der har adgang til hvilke oplysninger, og hvornår de kan få adgang til dem
      • Sikre, at tjenesteudbyderen har en mekanisme til kontrol og overvågning af, hvordan, hvornår og hvilke data der tilgås, og beskytte oplysninger mod uautoriseret brug, kopiering og distribution
      • Have kontrol over delte oplysninger med udenforstående eller tredjeparter
      • Understrege over for personalet behovet for at kontrollere modtagere og klassificere oplysninger gennem opmærksomhed på informationssikkerhed, uddannelse og træning
      • Tage skridt til at implementere datamaskering, hvor det er relevant.
   5. Sikkerhedskopiering: Sikkerhedskopiering af alle forretningskritiske systemer inden for CitNOW Group udføres regelmæssigt, og både sky- og lokal sikkerhedskopiering bruges. Politikker for sikkerhedskopiering er fastlagt for at definere kravene og opbevaringsperioderne for sikkerhedskopiering af information, software og systemer inden for hver enhed.
   6. Tilgængelighed af informationsbehandlingsfaciliteter: CitNOW Group bruger overvejende skybaserede tjenester til levering af vores arbejde. Disse systemer har iboende redundans indbygget i deres robuste arkitekturer med høj tilgængelighed.
   7. Logning og overvågning: CitNOW Group udfører hændelseslogning for alle enhedsprodukter via forskellig overvågningssoftware, logfiler åbnes efter behov og indeholder oplysninger såsom brugerlogningsforsøg og fejl i applikationerne. Alle logningsoplysninger er kun tilgængelige for brugere med de relevante rettigheder. Brugere skal have en konto inden for det angivne system med korrekte tilladelser.
   8. Kontrol af software: Der er flere foranstaltninger inden for CitNOW Group til at kontrollere ændringer af software på operationelle systemer. Alle ændringer i driftssoftware styres i overensstemmelse med forandringsstyring og tager hensyn til forretningskravene til ændringen og sikkerhedsaspektet ved ændringen.
   9. Netværkssikkerhed: Interne netværk administreres af it-afdelingen. It-afdelingen er ansvarlig for vedligeholdelse og opdatering af alle netværksaktiviteter. Da vi primært bruger skybaserede tjenester, er sikkerheden af netværkstjenester primært skytjenesteudbydernes ansvar. Alle internet- og skybaserede tjenester har en streng serviceaftale mellem CitNOW Group og leverandøren. Enhver adgang til CitNOW Group-servere- eller systemer administreres ved godkendelse. Gæstenetværk uden adgang til kernesystemer er tilgængelige for gæster.
   10. Brug af kryptografi: CitNOW Group har en kryptografisk politik, der skitserer vores tilgang til brugen af kryptografiske kontroller. Den sikrer, at organisationen opretholder de højest mulige standarder for kryptering. Alle personer i CitNOW Group er ansvarlige for at sikre, at interne/fortrolige data krypteres, inden de forlader organisationens lokaler. Overvejelser vedrørende kryptografisk nøglehåndtering beskriver kravene til styring af kryptografiske nøgler gennem hele deres livscyklus, herunder generering, lagring, arkivering, hentning, distribution, tilbagetrækning og destruktion af nøgler. Kryptografiske algoritmer, nøglelængder og brugspraksis bør vælges i henhold til bedste praksis.
   11. Sikker udviklingspolitik: Politikken afspejler vores tilgang til sikker udvikling af vores tjenester, produkter og websteder og gælder for alle udviklingsteams. Sikre kodningsstandarder overvejes og følges.
   12. Accepttest: Test udføres på alle ændringer for at sikre applikationens sikkerhed, robusthed, korrekthed og ydeevne. Accepttest er standardpraksis for vores udviklere som en del af vores implementeringscyklus. Alle nye funktioner testes individuelt inden implementering. Vi har adskillelse af opgaver med testere udpeget på hver enhed til at være en del af hvert udviklingsteam.
   13. Outsourcet udvikling: Alle outsourcede udviklere vurderes for at sikre, at de er kvalificerede og kompetente. Individuelle entreprenører behandles på samme måde som CitNOW Group-udviklere med samme udviklingspolitik- og kontrol, der gælder for alle for outsourcet udvikling som intern udvikling.
   14. Adskillelse af miljø: For at reducere risikoen for skadelige aktiviteter, uautoriserede eller utilsigtede ændringer fra intern brug har alle produkter inden for CitNOW Group separate test-/udviklings- og produktionsmiljøer, der følger branchens bedste praksis, og vi bruger overvejende følgende miljøer inden for hver enhed:
       • Udvikling – til udvikling
       • Iscenesættelse/test – til intern testning
       • Produktionsmiljø – levende driftsmiljø
   15. Forandringsledelse: Væsentlige ændringer i CitNOW-koncernens organisation, forretningsprocesser, faciliteter og systemer til informationsbehandling er underlagt formel gennemgang og accept af bestyrelsen.
   16. Ændringskontrol: Vores ændringskontrolprocedurer under udvikling er inden for ændringsstyring af vores ændringskontrolpolitik. Alle ændringer i systemet gennemføres gennem en peer code-gennemgang og testproces, som er i overensstemmelse med vores dokumenterede procedurer.
   17. Beskyttelse af testdata: Ingen personlige data bruges til udvikling eller test under almindelige omstændigheder i nogen CitNOW Group-produkter.
7. Yderligere understøttende politikker
   1. CitNOW Group har også en lang række andre politikker inden for virksomheden, der hjælper med at understøtte vores praksis for informationssikkerhed, herunder, men ikke begrænset til:
      • Gruppens globale politik mod bestikkelse
      • Disciplinærpolitik
      • Koncernens politik for global whistleblowing
      • Politik for global sundhed og sikkerhed
      • Politik mod moderne slaveri
      • Procedure for anmeldelse af overtrædelser
8. Certificeringer
   1. ISO 27001: CitNOW Group Limited er ISO 27001-certificeret af BSI (certifikatnummer  –  IS 785456).
   2. Cyber Essentials Plus: CitNOW Group Limited er Cyber Essentials Plus-certificeret af CyberSmart (certificeringsnummer  –  b5aea281-ec18-4306-9374-beba1ef3fe98)
   3. TISAX: ENX Association støtter med TISAX (Trusted Information Security Assessment Exchange) på vegne af VDA den fælles accept af informationssikkerhedsvurderinger i bilindustrien. TISAX-vurderingerne udføres af revisionsudbydere, der påviser deres kvalifikationer med jævne mellemrum. TISAX- og TISAX-resultater er ikke beregnet til offentligheden.
   4. TISAX Status: Vi er en registreret TISAX‑deltager og har opnået følgende labels:
      • Fortrolighed & Databeskyttelse i henhold til EU‑GDPR Art. 28 på vurderingsniveau AL2.
      • Verifikation: Vores vurderingsresultater er tilgængelige via ENX‑portalen. Hvis du har brug for adgang, bedes du anmode om dette gennem ENX‑portalen ved hjælp af vores Scope ID (tilgængelig på anmodning).
9. Underdatabehandlere

   Alle underdatabehandlere, der bruges af hver enhed inden for CitNOW Group, er angivet på siden for underdatabehandlere på CitNOW Group-websitet..

   Disse underdatabehandlere kan ændres over tid, efterhånden som nye funktioner og systemopdateringer frigives. Der træffes foranstaltninger ved udvælgelse af nye underdatabehandlere for at sikre, at der anvendes passende sikkerhed og fortrolighed.

   I overensstemmelse med vores procedure for tredjepartsleverandører sikrer CitNOW Group sikkerhed hos tredjepartsleverandører ved omhyggeligt at evaluere deres sikkerhedsforanstaltninger og compliance-standarder. For at styrke denne forpligtelse indgår vi robuste databehandlingsaftaler med alle underdatabehandlere. Derudover implementerer vi yderligere overførselsmekanismer, hvor det er nødvendigt, for at overholde databeskyttelsesreglerne, herunder udfyldelse af standardkontraktklausuler (SCC'er), internationale dataoverførselsaftaler (IDTA'er) og/eller overførselsrisikovurderinger (TRA'er).

10. CitNOW-koncernens hovedkontor

    Alle CitNOW-koncernens hovedkontorer findes på CitNOW Group website.