Opsio - Cloud and AI Solutions
Tillit & etterlevnad

Compliance-ekspertise for regulerte virksomheter

Opsio drifter skyinfrastruktur for regulerte bransjer i Europa og Asia. Denne siden dokumenterer hvordan vi håndterer dataene deres, hvilke rammeverk teamet vårt leverer mot, og hvor innkjøp finner kontraktsdokumenter de trenger.

Be om DPA & sikkerhetspakkeVår compliance-ekspertise
ISMS India
ISO 27001:2022
Databehandler
GDPR art. 28
Driftstabilitet SLA
99,9 %
Primær datasuverenitet
EU/EØS

Compliance-ekspertise

Opsios kjernetjeneste er å hjelpe regulerte virksomheter oppnå og opprettholde etterlevnad. For hvert rammeverk nedenfor vises hva Opsio selv har, og hva vi leverer for kunder. Dokumentasjon tilgjengelig for innkjøpsvurdering under NDA.

  • ISO 27001:2022

    Opsio: India-omfang · Kundeprogrammer

    Opsio: ISO 27001-sertifisert ved vårt leveransesenter i Bangalore (omfang dekker driftspersonell og utviklingsaktiviteter der). For kunder: vi leder fullstendige ISO 27001-implementeringsprogrammer — gap-analyse, ISMS-design, policyskriving, internrevisjon og støtte gjennom Stage 1/Stage 2-revisjon. Flere kunder har oppnådd sertifisering via denne tilnærmingen.

  • SOC 2 Type II

    Kundeberedskap

    Opsio: ikke SOC 2-attestert som firma. For kunder: vi kjører SOC 2-beredskapsprogrammer — kontrollkartlegging, bevisautomatisering, overvåkingsoppsett og revisorkoordinering gjennom observasjonsperioden. Arkitektene våre er kjent med Security, Availability, Confidentiality og Processing Integrity-kriteriene.

  • GDPR (EU 2016/679)

    Artikkel 28-databehandler

    Opsio: databehandler etter GDPR artikkel 28 for kundens personopplysninger vi håndterer under managed operations. Standard Contractual Clauses på plass for overføring til India-teamet vårt. For kunder: DPIA-støtte, behandlingsansvarlig–databehandleravtaler og teknisk implementering av verktøy for registrertes rettigheter.

  • NIS2-direktivet

    Kundens etterlevnadsprogrammer

    Opsio: operativ praksis på linje med NIS2-forventninger for vesentlige og viktige enheter. For kunder: fullstendige NIS2-etterlevnadsprogrammer — anvendbarhetsanalyse, risikoanalyse, artikkel 21-kontrollkartlegging, integrering av hendelsesrapportering til NSM og tredjepartsrisiko.

  • HIPAA (US-kunder)

    BAA tilgjengelig · Kundearkitekturer

    Opsio: Business Associate Agreement tilgjengelig for amerikanske helsekunder. For kunder: HIPAA-klar arkitektur på AWS, Azure eller GCP med revisjonskontroller, kryptering og BAA-kjedehåndtering. Levert til flere mellomstore amerikanske helseworkloads.

  • DORA (EU 2022/2554)

    Kundens etterlevnadsprogrammer

    For kunder innen finanstjenester: DORA IKT-risikostyringsprogram, tredjepartsrisikoregister, hendelseklassifisering, testprogram (TLPT) og styrerapportmaler. Opsios arkitekter har levert dette for banker og forsikringsselskaper i Norge og Norden.

  • DPDPA (India)

    India-drift · Kundeprogrammer

    Opsio: virksomheten ved leveransesenteret i Bangalore samsvarer med Indias Digital Personal Data Protection Act. For kunder: DPDPA-beredskapsvurderinger, samtykkearkitektur, oppbevaringskontroller og CERT-In-hendelsesrapporteringsløp.

Databehandleravtale

Opsio opptrer som databehandler etter GDPR artikkel 28 for kundens personopplysninger vi behandler på deres vegne under managed operations, migrering og rådgivning.

  • Standard DPA-mal leveres ved kontraktsinngåelse eller på forespørsel på forhånd for innkjøpsvurdering.
  • Støtter EU Standard Contractual Clauses (2021/914) for overføring til ikke-tilstrekkelige jurisdiksjoner, inkludert vårt leveransesenter i Bangalore.
  • Kunden beholder behandlingsansvarlig-rollen og beslutningsrett over dataklassifisering, oppbevaring og sletting.
  • Endringer av underleverandører kommuniseres med minst 30 dagers varsel via kanalen dere oppgir.
  • Varsling om personopplysningsbrudd innen 72 timer fra bekreftet hendelse, i henhold til artikkel 33.
Be om DPA

Vi leverer vanligvis en signert DPA-mal innen 2 arbeidsdager. For pre-kontraktuell gjennomgang kan vi signere gjensidig NDA først — be via samme e-post.

Underleverandører

Opsio benytter følgende underleverandører for å levere tjenestene. Den gjeldende autoritative listen vedlikeholdes internt og leveres som vedlegg til DPA på forespørsel. Hyperscaler-region kan konfigureres per kundekontrakt.

UnderleverandørFormålBehandlingsregion
Amazon Web Services (AWS)Hosting, databehandling, lagring og managed services der kunden har valgt AWSKundens valgte AWS-region (eu-north-1, eu-west-1, us-east-1, ap-south-1 osv.)
Microsoft AzureHosting og managed services der kunden har valgt AzureKundens valgte Azure-region
Google Cloud PlatformHosting og managed services der kunden har valgt GCPKundens valgte GCP-region
Google WorkspaceIntern forretningskommunikasjon og delt dokumenthåndteringEU
Microsoft 365 (Teams)Interne og kunderettede møter, chat og samarbeid under oppdragEU
GitHub / GitLabKildekodelagring for kundeprosjekter (Infrastructure-as-Code, skript)Kundens valgte per oppdrag
OdooInternt ERP, CRM, prosjektoppfølging og faktureringEU
Opsio IndiaLeveransesenter-operasjoner for kunder som har avtalt follow-the-sun-støtte; personelltilgang styres av SCCIndia (Bangalore)

Kunder kan motsette seg nye underleverandører innenfor 30-dagers varsel. Oppdragsspesifikke underleverandører (overvåkingsagenter, SIEM-plattformer m.m.) oppgis i Statement of Work.

Service Level Agreement

SLA-forpliktelser dokumenteres i hovedavtalen for hvert oppdrag. Følgende sammenfatter våre standardvilkår; tilpassede SLA på 99,95 % eller 99,99 % for forretningskritiske arbeidsbelastninger er tilgjengelige.

  • Infrastruktur-tilgjengelighet99,9 %

    Måles månedlig. Service credits ved brudd.

  • Alvor 1-respons15 minutter

    Døgnet rundt. Produksjonspåvirkning, forretningskritisk.

  • Alvor 2-respons1 time

    Døgnet rundt. Redusert ytelse, workaround mulig.

  • Alvor 3-respons4 arbeidstimer

    Norges eller Indias kontortid.

  • Overvåking24/7/365

    Follow-the-sun mellom Oslo og Bangalore.

  • Patch-håndteringMånedlig baseline

    Out-of-cycle hastepatcher innen 48 timer fra CVE-publisering for kritisk alvor.

Be om fullstendige SLA-vilkår

Datasuverenitet

Kundens produksjonsdata behandles i den skyregionen dere velger. For europeiske kunder går vi fra EU/EØS-regioner (AWS eu-north-1 Stockholm, Azure Sweden Central, GCP europe-north1 Finland) med mindre kontraktuelt avtalt annet.

Opsios personell får tilgang til kundemiljøer via navngitte kontoer med MFA og just-in-time-elevering. Støttetjenester utføres fra Sverige (primær) og India (leveransesenter). Personelltilgang utenfor EØS reguleres via Standard Contractual Clauses der det er aktuelt.

Sikkerhetskopier og logger arver kundens valgte region som standard. Cross-region-replikering for disaster recovery er konfigurerbar av kunden.

Sikkerhetspraksis

Hvordan vi beskytter kundemiljøer ende-til-ende.

  • Penetrasjonstesting

    Årlig tredjeparts penetrasjonstest mot Opsios produksjonssystemer. Oppdragsspesifikk penetrasjonstesting tilgjengelig som managed service via OSCP-sertifisert team.

  • Sårbarhetshåndtering

    Kontinuerlig CVE-overvåking med alvorlighetsbasert SLA for patching. Kritiske CVE-er patches innen 48 timer fra ansvarlig avsløring.

  • Identitet & tilgangsstyring

    SSO-påkrevde navngitte kontoer med obligatorisk MFA. Tilgang til kundemiljø er tidsbegrenset og sentralt logget. Delte legitimasjonsopplysninger er forbudt.

  • Kryptering

    Data i transitt: TLS 1.2+ håndheves. Data i hvile: hyperscaler-native kryptering (AWS KMS, Azure Key Vault, GCP KMS) med kundehåndterte nøkler tilgjengelig på forespørsel.

  • Logging & overvåking

    All privilegert tilgang logges, manipulasjonssikkert, og oppbevares i henhold til kundens kontraktuelle krav. SIEM-integrasjon tilgjengelig for kunder som bruker Opsios MDR-tjenester.

  • Hendelsesrespons

    24/7 sikkerhetshendelsesrespons med dokumenterte playbooks. Varsling om personopplysningsbrudd innen 72 timer i henhold til GDPR artikkel 33.

Ansvarlig varsling

Sikkerhetsforskere som identifiserer en sårbarhet i Opsio-driftede systemer oppfordres til å rapportere den via kryptert e-post. Vi forplikter oss til å bekrefte mottak innen én arbeidsdag og gi en utbedringsplan innen fem arbeidsdager. Vi forfølger ikke rettslige skritt mot god-tro-forskning som følger disse retningslinjene.

Rapporter til: security@opsio.se

Innkjøps- & compliance-kontakt

For DPA-forespørsler, sikkerhetsspørreskjemaer, SLA-forhandlinger eller andre ting innkjøp trenger for å lukke en avtale:

compliance@opsio.se