FAQ

Ofte stillede spørgsmål
om sikkerhed

Her finder du svar på de spørgsmål, vi oftest modtager fra it-afdelinger, sikkerhedsansvarlige og procurement-teams i forbindelse med security reviews og due diligence.

Hosting og infrastruktur

Hvor hostes MyDesk?

MyDesk leveres som en cloudbaseret SaaS-løsning i Microsoft Azure. Data behandles og opbevares inden for EU/EØS, og dokumentationen beskriver Microsoft Ireland Operations som godkendt underdatabehandler for hosting af applikation og databaser.

Er MyDesk en SaaS-løsning?

Ja. MyDesk leveres som en fuldt cloudbaseret SaaS-løsning uden on-premise komponenter som forudsætning for den normale levering.

Hvordan er produktion og test adskilt?

Produktion og test foregår i adskilte miljøer. Hvis produktionsdata undtagelsesvis anvendes i test, beskrives det, at testmiljøet skal være underlagt tilsvarende databeskyttelsesforpligtelser.

Hvad er jeres recovery-mål?

I gennemgået SLA-materiale er RPO og RTO angivet til op til 24 timer. Endelige mål følger den konkrete kundeaftale og serviceopsætning.

Har I en break-glass-procedure?

Ja. MyDesk beskriver en dokumenteret break-glass-procedure ved identitets- eller adgangsnedbrud, så kritisk adgang kan genoprettes kontrolleret ved nødsituationer.

Identitet og adgangsstyring

Understøtter MyDesk Microsoft Entra ID?

Ja. MyDesk understøtter Microsoft Entra ID som central identitets- og adgangsstyring og kan anvende Single Sign-On via Entra ID.

Understøtter MyDesk SSO og MFA?

Ja. Single Sign-On understøttes via Microsoft Entra ID, og MFA kan håndhæves via kundens identitetspolitikker. MyDesk understøtter også passwordless-scenarier, når de er konfigureret i Entra ID.

Hvilke autentificeringsprotokoller anvender MyDesk?

MyDesk beskriver brug af OpenID Connect og OAuth 2.0 som centrale autentificeringsmekanismer. I enkelte kundekrav accepteres også SAML 2.0 som alternativ, hvor det er relevant.

Bruger I delte konti?

Nej. MyDesk beskriver, at der ikke anvendes delte brugerkonti, og at adgang baseres på entydige identiteter, så administrative handlinger kan spores.

Hvordan håndteres adgangsrettigheder?

MyDesk understøtter rollebaseret adgangsstyring og least privilege-princippet. Administrative ændringer og adgangsrettigheder gennemgås periodisk og indgår i auditsporet.

Kan MyDesk håndhæve Conditional Access?

MyDesk understøtter kundens Conditional Access-politikker gennem integration med Microsoft Entra ID, herunder politikker for lokation, device compliance, risiko og MFA.

Databeskyttelse og kryptering

Er data krypteret?

Ja. MyDesk beskriver kryptering af data under transport og i hvile som en del af sikkerhedsdesignet, med TLS i transit og Azure-standarder for kryptering i hvile.

Hvilke personoplysninger behandler MyDesk typisk?

Det afhænger af de aktiverede moduler, men materialet beskriver typisk almindelige brugeroplysninger som navn og e-mailadresse samt data relateret til booking, gæsteregistrering og mødehåndtering.

Indgår MyDesk databehandleraftale?

Ja. MyDesk indgår databehandleraftale med kunder og understøtter GDPR-relaterede krav, herunder artikel 28, 32 og 33.

Compliance og dokumentation

Kan kunder få dokumentation for jeres sikkerhedsarbejde?

Ja. På anmodning kan MyDesk stille relevant dokumentation til rådighed, eksempelvis DPA, NIS2-redegørelse, ISAE 3402-erklæring og relevante redegørelser for incident response og sårbarhedshåndtering.

Har MyDesk en ISAE 3402-erklæring?

Ja. MyDesk henviser til en opdateret ISAE 3402 Type 2-erklæring med årlig revision.

Er MyDesk ISO 27001-certificeret?

Det gennemgåede materiale beskriver efterlevelse af principper og anbefalinger i ISO 27001. Ønskes en specifik certificeringsstatus, bør det oplyses særskilt på siden eller ved forespørgsel.

Kan kunder auditere MyDesk?

Ja. Materialet beskriver mulighed for dokumentation, revisionserklæringer og i visse tilfælde yderligere audit eller inspektion efter aftalegrundlaget.

Sikkerhedshændelser og overvågning

Hvordan håndterer MyDesk sikkerhedshændelser?

MyDesk har en dokumenteret incident response-proces med overvågning, triage, eskalation, afhjælpning, kundekommunikation og afsluttende evaluering. Der er definerede roller for koordinering, teknik, support og ledelse.

Hvornår bliver kunder informeret ved en sikkerhedshændelse?

I NIS2-redegørelsen beskriver MyDesk en early warning-model med varsling senest 24 timer efter kendskab til en hændelse, statusopdatering inden 48 timer og slutrapport typisk inden en måned. Aftalespecifikke tidsfrister kan være skærpede.

Hvordan arbejder MyDesk med sårbarheder?

MyDesk beskriver løbende sårbarhedsovervågning via blandt andet Microsofts sikkerhedsbulletiner, automatiske scanninger i Azure og adviseringer fra leverandører. Kritiske sårbarheder håndteres prioriteret.

Fører I logs over administrative handlinger?

Ja. Administrative handlinger, rettighedsændringer og konfigurationsændringer audit-logges og kan bruges til sporbarhed og opfølgning.

Hvor længe opbevares logs?

MyDesk oplyser, at logdata opbevares i minimum 30 dage i MyDesk-miljøet.

Kan logs eksporteres til kundens SIEM?

Ja. MyDesk beskriver mulighed for eksport af drifts- og sikkerhedslogs til kundens SIEM, herunder Microsoft Sentinel, i relevante leverancer.

Backup og gendannelse

Hvordan håndterer MyDesk backup?

MyDesk beskriver minimum daglig backup og retention på minimum 30 dage. I nyere materiale henvises der også til Azure Backup og Azure SQL point-in-time restore med minimum 35 dages retention.

Integrationer og applikationssikkerhed

Understøtter MyDesk Microsoft Graph?

Ja. MyDesk integrerer med Microsoft 365 og Exchange Online via dokumenterede Microsoft Graph API'er og least-privilege delegated permissions.

Kræver integrationen globale administratorrettigheder?

MyDesk beskriver, at løsningen ikke skal forudsætte globale administratorrettigheder som permanent driftsmodel. I visse onboarding-scenarier kan der dog være behov for en indledende godkendelse i kundens tenant.

Kan MyDesk bruges sammen med Outlook?

Ja. Materialet beskriver adgang via Outlook for web og desktop samt Microsoft 365-integration. I relevante leverancer understøttes også mobil adgang og near real-time synkronisering.

Hvordan sikres kundeadskillelse?

MyDesk beskriver logisk isolation mellem kunder, så data, konfiguration og adgangsrettigheder ikke deles på tværs.

Underdatabehandlere og kundeansvar

Hvem er jeres centrale underdatabehandler?

I det gennemgåede materiale fremgår Microsoft Ireland Operations som godkendt underdatabehandler for hosting af applikation og databaser.

Hvordan varsles ændringer i underdatabehandlere?

Databehandleraftalerne beskriver et varsel på mindst én måned ved planlagte ændringer, så kunden kan gøre indsigelse inden ændringen træder i kraft.

Hvad er kundens eget ansvar?

Kunden har blandt andet ansvar for korrekt brugeradministration, egne identitetspolitikker, korrekte masterdata, lokale processer og den del af infrastrukturen eller tredjepartsøkosystemet, som ligger uden for MyDesk's direkte driftsansvar.

Hvilke kanaler bruges ved security-spørgsmål eller incidents?

MyDesk anvender support@mydesk.io og telefon +45 5191 4488 som security- og incidentkanaler i normal arbejdstid (hverdage 08.00–17.00 dansk tid). Udvidet P1-support kan aftales afhængigt af kundens serviceopsætning.

Har du spørgsmål?

Kontakt vores Security Team direkte – vi svarer hurtigt og præcist på spørgsmål om sikkerhed, compliance og dokumentation.

Kontakt Security Team → Se dokumentation

Ofte stillede spørgsmålom sikkerhed