COMAsystem er designet og drevet på et sikkerhedsniveau, der matcher organisationer og industrier med særligt høje sikkerhedskrav. Platformen er udviklet med udgangspunkt i, at kontraktdata er forretningskritiske og kræver ansvarlig og kontrolleret håndtering.
Privacy by Design er et grundlæggende princip i COMAsystem. Det betyder, at hensynet til datasikkerhed og databeskyttelse er indarbejdet i måden, virksomheden udvikler, driver og videreudvikler platformen på. Beslutninger om arkitektur, funktionalitet, drift og leverandørvalg træffes med udgangspunkt i, hvordan data bedst beskyttes, og hvordan risici reduceres, før de opstår. Datasikkerhed er dermed ikke et efterfølgende lag, men en integreret del af måden COMAsystem fungerer på som virksomhed.
Et centralt princip i COMAsystem er klarhed om jurisdiktion og leverandørkæde. Derfor indgår der ikke amerikanske selskaber på COMAsystems liste over underdatabehandlere. Dette betragtes som et væsentligt kriterium for overholdelse af GDPR. Amerikanske selskaber er underlagt amerikansk lovgivning og kan i visse tilfælde være forpligtet til at udlevere data til myndigheder uden mulighed for efterfølgende at informere kunden, også når data udelukkende opbevares på servere inden for EU.
Adgang til platformen er baseret på en rolle- og rettighedsmodel, der afspejler organisationens ansvar og arbejdsdeling. Platformen understøtter Single Sign-On som en del af kundens identitets- og adgangsstyring, så brugeradgang kan forankres i organisationens eksisterende rettighedsstruktur. Det giver en sammenhængende håndtering af brugeradgang og understøtter kontrolleret on- og offboarding. Logning og sporbarhed indgår som en fast del af platformens governance.
Driftsstabilitet er en grundlæggende forudsætning for tillid til en kontraktstyringsplatform. COMAsystem drives derfor med fokus på høj tilgængelighed og forudsigelig drift, så platformen kan anvendes som en integreret del af organisationens daglige arbejde.
Platformen overvåges kontinuerligt med henblik på tidlig identifikation af driftsmæssige afvigelser. Overvågning og driftsstyring er organiseret med klare ansvarsforhold og faste procedurer, så hændelser håndteres struktureret og konsekvent.
Planlagt vedligeholdelse gennemføres kontrolleret og som udgangspunkt uden for normal arbejdstid for at minimere påvirkningen af brugerne. Uplanlagt vedligeholdelse og systemkritiske hændelser håndteres med fokus på hurtig genetablering og tydelig kommunikation, så forretningsmæssige konsekvenser begrænses.
Driftsstatus er offentligt tilgængelig og giver gennemsigtighed omkring platformens tilgængelighed og stabilitet over tid.
Beskyttelse af data over tid er et centralt element i COMAsystems tilgang til datasikkerhed. Der foretages daglig backup af systemet og de data, der behandles i platformen, for at sikre, at oplysninger kan genskabes ved behov.
Backup opbevares sikkert og adskilt fra produktionsmiljøet som led i en kontrolleret driftsstruktur. Det reducerer risikoen for datatab og understøtter en robust platform, også i tilfælde af tekniske hændelser eller driftsforstyrrelser.
Beredskab og retablering er integreret i den samlede driftsmodel. Platformen er indrettet til at kunne genskabe både data og funktionalitet uden at kompromittere dataintegritet eller kontinuitet i kontraktstyringen.
Samtidig understøtter platformen organisationens krav til sletning og opbevaring som led i den samlede data- og compliance-ramme.
COMAsystems sikkerhedsarbejde er struktureret og baseret på anerkendte internationale standarder og rammeværk for informationssikkerhed. Principper fra ISO, NIST og CIS anvendes som reference for etablering og vurdering af det samlede kontrolmiljø.
Platformen underlægges årligt en uafhængig revision efter ISAE 3000 Type II, som dokumenterer, at de relevante tekniske og organisatoriske sikkerhedskontroller er etableret og fungerer effektivt over tid. Revisionen omfatter både kontrolmiljø, processer og den periode, hvor kontrollerne har været i drift.
Derudover gennemføres regelmæssige, uafhængige penetrationstests af platformen, udført af ekstern tredjepart, med fokus på at identificere og adressere potentielle sårbarheder. Overvågning, logning, audit trails og systematisk opfølgning på hændelser indgår som faste elementer i sikkerhedsarbejdet.
Denne tilgang sikrer, at sikkerhed ikke er en statisk tilstand, men et område, der vurderes og udvikles løbende.
