Säkerhet i IdrottOnline

Sidan uppdaterades: 5 februari 2024

För Riksidrottsförbundet (RF) har arbetet för att tillhandahålla en hög säkerhet inom IdrottOnline varit en självklarhet redan innan införandet av GDPR. Vi arbetar kontinuerligt för att bibehålla samma höga nivå och se till att vara uppdaterade inom den tekniska utvecklingen.

Privacy by design och privacy by default

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst är satta så att inte mer information än nödvändigt samlas in eller kan exporteras.

Mer information om hur idrottsrörelsen arbetar med IT-säkerhet kopplat till privacy by design och privacy by default återfinns i Idrottens Uppförandekod för behandling av personuppgifter.

Autentisering och kryptering

All känslig datakommunikation krypteras med SSL-kryptering med 2048-bitars RSA nycklar, enligt vedertagna standarder och tekniker för säker webbkommunikation. Krypteringen görs för att obehöriga personer inte ska se den information som skickas till och från användarens datorer. IdrottOnline strävar efter att inom snar framtid kryptera all datakommunikation.

Lösenord i IdrottOnline lagras aldrig i klartext utan skyddas av en kryptografisk hashfunktion som även är förstärkt med det som kallas ”salt”. Det betyder att ditt lagrade lösenord inte kan utläsas i klartext, varken av systemet eller av oss som jobbar med det. Om du glömmer bort ditt lösenord behöver du generera ett nytt. Vi skickar aldrig lösenord via e-post utan du skapar ett nytt lösenord direkt på vår säkra sajt.

IdrottOnline loggar automatiskt ut dig från systemet efter en viss tidsintervall. Tidsintervallet skiljer sig från 4 till 8 timmar beroende på vilken applikation du befinner dig i. IdrottOnline verifierar kontinuerligt användaren och den inloggades behörighet för att säkerställa rätt åtkomst.

Monitorering

Vi övervakar ständigt våra tjänster för att upptäcka prestanda- eller tillgänglighetsproblem och agera på dem innan de blir ett problem.

  • Övervakning av CPU-last, minnesåtgång och diskutnyttjande.
  • Syntetisk monitorering – laddningstider, nätverksinstabilitet, sidstorlek, påverkan av tredjeparts-innehåll m.m.
  • Application Performance Monitoring (APM)

Behandling, lagring och backuper

IdrottOnline driftas på servrar i serverhall som är placerad i Sverige. Datahallen övervakas dygnet runt och endast godkänd personal har tillgång till hallen. För att säkra användarnas fullständiga upplevelse har vi valt att jobba tillsammans med de bästa samarbetspartners för att säkerställa en så hög tillförlitlighet och säkerhet för IdrottOnline som möjligt.

  • Datasäkerhet och driftsäkerhet är viktigt och därför tar vi regelbundna backuper av all data i IdrottOnline för att kunna återställa den om en katastrof skulle inträffa.
  • Systemen uppdateras kontinuerligt för att minimera risken för att drabbas av sårbarheter. För vissa utökade funktioner, mobilapplikationen för IdrottOnline samt import från externa system, behandlas data även i Azures publika molntjänster.
  • Samtliga tjänster via Azure som hanterar IdrottOnline är placerade inom Europa.
  • Kommunikationen via Azure, både mot användare och mot andra delar av IdrottOnline-systemet sker krypterat enligt moderna standarder.

Systemunderhåll och administration

  • Personal på Riksidrottsförbundet med åtkomst till systemet är begränsade till de vars tjänst kräver sådan behörighet och regleras av Riksidrottsförbundets interna riktlinjer.
  • Vid driftstörningar finns rutiner och eskaleringsvägar på plats för att snabbt hantera de störningar som uppstått

Ordlista - förklaring av tekniska begrepp

  • Kryptografisk hashfunktion – en typ av envägschiffer som konverterar t.ex ett lösenord till en komplex textsträng som inte går att konvertera tillbaka till det ursprungliga ordet. För att verifiera en inloggning går det som skrivs in i lösenordsfältet igenom samma process och sedan jämförs resultatet mot det som finns lagrat.
  • Salt – I detta sammanhang, ett unikt tillägg till en kryptografisk hashfunktion som ökar komplexiteten.
  • Syntetisk monitorering – När datorer, servrar eller tjänster testar att utföra uppgifter (t.ex surfa till en viss hemsida) som användare typiskt gör och mäter resultatet i olika avseenden.
  • SSL – Secure Socket Layer. Teknik för att kryptera trafik på webben, bekant för de flesta som s:et i "https"
  • TLS – Efterföljaren och ersättaren till SSL. En modernare standard för krypterad trafik på webben. TLS kallas fortfarande ofta för SSL, så även i denna text.

Sidan publicerades: 10 november 2022

På supportsidan finns svar på frågor, information om driftsstörningar och kontaktuppgifter till supporten.