Enterprise-grade sikkerhed, du kan stole på

Shield icon

Vores ISO 27001-certificering, TÜV Saarland-godkendelse og omfattende sikkerhedskontroller beskytter dine kunders betalingsdata ved hvert eneste kontaktpunkt – og giver både dig og dine brugere fuld tillid ved hver transaktion.

Brugt af de mest sikkerhedsbevidste teams

Centrale sikkerhedsfunktioner

Data krypteres under overførsel – bankoplysninger gemmes aldrig

Brug af bankens egne login-oplysninger – ingen ekstra credentials kræves

Granulær adgangsstyring for både forhandlere og Trustly-medarbejdere

GDPR-kompatible opbevaringsperioder for transaktionsdata

Shield icon

SSL/TLS-kryptering for al kommunikation

Hosting i EU på egne servere og cloud-tjenester

Disaster Recovery og Business Continuity-planer sikrer serviceoppetid

Ekstern sikkerhedsverificering

Trustly anvender branchens bedste løsninger for at opretholde compliance med følgende standarder og regulativer – og sikrer, at al information hos Trustly er fuldt beskyttet.

Anmod om adgang til dokumentation og certifikater via vores formular.

ISO Icon
Check mark

ISO 27001

Trustly er ISO 27001-certificeret, og vores servere hostes i ISO 27001-certificerede faciliteter.

TUV Approved pament system
Check mark

Databeskyttelse

Trustly er akkrediteret efter TÜV Saarlands "Approved Data Protection"-standard.

TUV Approved pament system
Check mark

Betalingsstandarder

Trustly er akkrediteret efter TÜV Saarlands "Approved Payment System"-standard.

Check mark

Penetrationstests

Udført af eksterne, anerkendte sikkerhedsleverandører.

Qualys
Check mark

SSL/TLS "A"-rating

Transitkryptering via TLS-only scorer "A" på Qualys SSL Labs Test.

GDPR Compliant Icon
Check mark

GDPR-kompatibilitet

Trustly overholder GDPR og behandler privatdata som en kritisk del af sikre betalinger.

Hurtige links

Tekniske foranstaltningerOrganisatoriske sikkerhedskontroller

Tekniske foranstaltninger

Overvågning og forebyggelse af angreb

  • Organisationen anvender værktøjer til overvågning af angreb, såsom netværksbaseret indtrængningsdetektion og -forebyggelse samt webapplikations-firewalls.
  • Organisationen anvender også Layer 7-webapplikations-firewalls.

Anti-malware

  • Anti-malware er installeret på alle endpoints (computere, laptops, smartphones og tablets).
  • App-kodesignering, sandboxing og filkarantæne anvendes på alle smartphones og tablets.
  • EDR/XDR-teknologi bruges som anti-malware på alle computere og laptops.
  • EDR/XDR overvåges 24/7 af et Security Operations Center (SOC).
  • Anti-malware administreres og overvåges centralt af autoriserede medarbejdere.

Dataadgang

  • Organisationen implementerer kontroller, som begrænser adgang til data til betroede servere og applikationer via krypterede kanaler med stærk autentificering.
  • Kritiske tredjepartsapplikationer kan kun tilgås via krypterede forbindelser fra betroede enheder.
  • Der anvendes multi-factor authentication (MFA) til at sikre adgang for medarbejdere til kritiske applikationer.
  • Konsulenter skal anvende en betroet enhed for at få adgang til applikationer.
  • Anti-malware er installeret på alle endpoints (computere, laptops, smartphones og tablets).
  • App-kodesignering, sandboxing og filkarantæne anvendes på alle smartphones og tablets.
  • EDR/XDR-teknologi bruges som anti-malware på alle computere og laptops.
  • EDR/XDR overvåges 24/7 af et Security Operations Center (SOC).
  • Anti-malware administreres og overvåges centralt af autoriserede medarbejdere

Kryptering

  • Indgående HTTPS-forbindelser er beskyttet med minimum TLS 1.2-kryptering.
  • Andre forbindelsestyper som Ipsec, SSH eller SFTP anvender tilsvarende sikkerhedsniveau.
  • Asymmetrisk kryptering anvender RSA (mindst 2048-bit) eller ECC (f.eks. P256).
  • Symmetrisk kryptering anvender AES med minimum 256-bit længde.
  • Alle endpoints er sikret med fuld disk-kryptering.
  • Off-site backups er krypterede.
  • E-mails krypteres under transit via opportunistisk TLS.
  • Specifikke e-maildomæner bruger tvungen TLS-transitkryptering.
  • Merchant API anvender kryptografiske signaturer og TLS for både indgående og udgående trafik.
  • Checkout-tjenesten bruger session-baseret, punkt-til-punkt asymmetrisk kryptering til følsomme brugerdata.
  • Organisationen implementerer kontroller, som begrænser adgang til data til betroede servere og applikationer via krypterede kanaler med stærk autentificering.
  • Kritiske tredjepartsapplikationer kan kun tilgås via krypterede forbindelser fra betroede enheder.
  • Der anvendes multi-factor authentication (MFA) til at sikre adgang for medarbejdere til kritiske applikationer.
  • Konsulenter skal anvende en betroet enhed for at få adgang til applikationer.

Firewalls og adgangskontrollister (ACL)

  • Lokale Layer 3-firewalls anvendes til at understøtte adgangskontrollister.
  • Layer 3-firewalls kontrollerer trafikken mellem internettet og organisationens netværk.
  • Layer 7-firewalls inspicerer og styrer trafikken mellem internettet og organisationens tjenester.
  • Netværks-ACL'er kontrollerer kommunikation mellem netværk, sites og cloud-tjenester.
  • System-ACL'er styrer system- og objektadgang.
  • ACL'er administreres af autoriseret personale og gennemgås regelmæssigt.
  • Indgående HTTPS-forbindelser er beskyttet med minimum TLS 1.2-kryptering.
  • Andre forbindelsestyper som Ipsec, SSH eller SFTP anvender tilsvarende sikkerhedsniveau.
  • Asymmetrisk kryptering anvender RSA (mindst 2048-bit) eller ECC (f.eks. P256).
  • Symmetrisk kryptering anvender AES med minimum 256-bit længde.
  • Alle endpoints er sikret med fuld disk-kryptering.
  • Off-site backups er krypterede.
  • E-mails krypteres under transit via opportunistisk TLS.
  • Specifikke e-maildomæner bruger tvungen TLS-transitkryptering.
  • Merchant API anvender kryptografiske signaturer og TLS for både indgående og udgående trafik.
  • Checkout-tjenesten bruger session-baseret, punkt-til-punkt asymmetrisk kryptering til følsomme brugerdata.

Logisk adgangskontrol

  • Logisk adgangskontrol anvendes på alle systemer og tjenester.
  • Adgang tildeles gennem godkendelse og efter princippet om mindst mulige rettigheder.
  • Adgangstilladelser gennemgås periodisk.

Logning

  • Centraliseret logning anvendes for alle applikationer relateret til betalingsydelser.
  • Logs er kun tilgængelige for autoriserede medarbejdere baseret på need-to-know-princippet.
  • Logstyringssystemet genererer alarmer baseret på definerede kriterier.
  • Lokale Layer 3-firewalls anvendes til at understøtte adgangskontrollister.
  • Layer 3-firewalls kontrollerer trafikken mellem internettet og organisationens netværk.
  • Layer 7-firewalls inspicerer og styrer trafikken mellem internettet og organisationens tjenester.
  • Netværks-ACL'er kontrollerer kommunikation mellem netværk, sites og cloud-tjenester.
  • System-ACL'er styrer system- og objektadgang.
  • ACL'er administreres af autoriseret personale og gennemgås regelmæssigt.

Mobile Device Management (MDM)

  • Organisationen anvender en MDM-løsning for alle endpoints (computere, laptops, smartphones og tablets).
  • MDM kontrollerer adgang via betinget adgang og to-faktor-autentificering.
  • MDM styrer applikationer, kryptering, loginoplysninger og opdateringer.
  • MDM kan bruges til fjernsletning eller låsning af enheder.
  • MDM administreres af autoriserede medarbejdere.
  • Logisk adgangskontrol anvendes på alle systemer og tjenester.
  • Adgang tildeles gennem godkendelse og efter princippet om mindst mulige rettigheder.
  • Adgangstilladelser gennemgås periodisk.

Multi-factor authentication (MFA)

  • Organisationen implementerer MFA på alle interne og eksterne tjenester.
  • MFA-metoder omfatter:
    1. Hardware-tokens
    2. Enhedscertifikater
    3. Brugercertifikater
    4. Software-tokens (TOTP)
    5. SMS-baseret MFA

Regelmæssige softwareopdateringer

  • Sikkerhedsopdateringer installeres automatisk på alle endpoints.

Signering af kildekode

  • Kildekodeændringer signeres kryptografisk af udviklere ved brug af GPG og private nøgler på personlige HSM'er.

Værktøjer til sårbarhedsdetektion

  • Organisationen implementerer et program for sårbarhedsstyring af interne og offentligt eksponerede aktiver.
  • Sårbarhedsvurderinger foretages ugentligt, prioriteret efter alvorlighed.

Organisatoriske sikkerhedskontroller

Acceptable Use Policies (AUP)

Organisationen har publiceret AUP-politikker for interne systemer og tjenester og underretter berørte medarbejdere ved ændringer.

Awareness and training

Organisationen tilbyder obligatorisk træning i informationssikkerhed, privatlivsbeskyttelse, risikostyring, compliance og anti-hvidvask.

Forretningskontinuitetsplaner

Organisationen har planer for krisehåndtering, forretningskontinuitet og disaster recovery.

Ændringsstyring

Ændringsstyring implementeres i henhold til ITIL-processen.

Databehandleraftaler (DPA)

Databehandleraftaler indgås, når der udveksles personoplysninger med tredjeparter.

Incidenthåndtering

Organisationen har et incident management-program for at maksimere tilgængeligheden og minimere forstyrrelser.

Penetrationstest

  • Penetrationstests udføres årligt eller efter større ændringer, gennemført af anerkendte sikkerhedsfirmaer.
  • Rapporter kan deles med tredjeparter efter anmodning.

Passwordpolitik

Minimum 10 tegn, krav om kompleksitet og tvungen 2FA/MFA, hvor det er muligt.

Sikre lokationer

Organisationens tjenester leveres via velkendte cloud-udbydere (AWS, GCP) og co-location datacentre med streng adgangskontrol.

Secure Development Lifecycle (SDL)

Organisationen implementerer SDL-modellen i udvikling af interne tjenester og produkter.

Sikker destruktion

Organisationen anvender sikre procedurer til destruktion af endpoints og produktionsudstyr.

Kodegennemgang og deployment

Ændringer i kildekode underlægges fire-øjne-princippet for arbejdsdeling.

Leverandørvurderinger

Organisationen har en løbende proces for vurdering og evaluering af leverandører til både produktion og drift.

Har du fundet en sikkerhedssårbarhed?

Tak for din indsats for at hjælpe os med at opretholde den højeste sikkerhed.Hvis du har opdaget en sikkerhedssårbarhed, bedes du indberette den via vores politik for ansvarlig indrapportering.

Indberet et problem