SSL-certifikatpolicy

Syfte: Syftet med denna policy är att säkerställa att all information som överförs mellan våra system och användare skyddas genom kryptering, för att upprätthålla högsta nivå av datasäkerhet och integritet. Denna policy beskriver riktlinjerna för användning, hantering och underhåll av SSL-certifikat (Secure Sockets Layer) inom vår organisation.

Tillämpning: Denna policy gäller för alla system, servrar, webbplatser, och applikationer som hanterar känslig data och som kräver säker anslutning via SSL/TLS-certifikat.


1. Användning av SSL-certifikat:

  • SSL-certifikat ska användas på alla webbplatser och applikationer som hanterar känsliga data, inklusive men inte begränsat till inloggningsuppgifter, betalningsinformation, och personliga uppgifter.
  • Alla certifikat ska använda minst TLS 1.2 eller högre för att säkerställa modern och säker kryptering.

2. Certifikathantering

  • Endast certifikat utfärdade av pålitliga och erkända certifikatutfärdare (Certificate Authorities, CA) ska användas.
  • Certifikat ska förnyas innan deras utgångsdatum, och automatiserade varningar ska aktiveras för att säkerställa att certifikatförnyelser sker i god tid.
  • Alla certifikat ska ha en giltighetstid på max två år enligt rekommendationer från branschstandarder.

3. Certifikatförnyelse och uppdatering:

  • Certifikat ska övervakas aktivt för att identifiera eventuella sårbarheter, och de ska uppdateras i enlighet med de senaste säkerhetsstandarderna.
  • Certifikat som närmar sig utgångsdatum eller har återkallats ska ersättas omedelbart för att undvika säkerhetsrisker.

4. Privata nycklar:

  • Privata nycklar som används i samband med SSL-certifikat ska lagras säkert och ska aldrig delas eller skickas via osäkra kanaler.
  • Nycklar ska skyddas med stark kryptering och begränsad åtkomst.
  • Vid misstänkt kompromettering av en privat nyckel ska certifikatet omedelbart återkallas och ersättas med ett nytt.

5. Säkerhetsgranskning:

  • Regelbundna säkerhetsrevisioner ska genomföras för att säkerställa att SSL-certifikaten uppfyller gällande säkerhetskrav.
  • Eventuella sårbarheter eller osäkra konfigurationer ska åtgärdas omedelbart.

6. Återkallande av certifikat:

Om ett certifikat komprometteras eller om systemkonfigurationen ändras på ett sätt som gör det olämpligt att använda certifikatet, ska det återkallas omedelbart.

Efterlevnad: Alla anställda, leverantörer och externa parter som hanterar SSL-certifikat eller har åtkomst till system som använder SSL måste följa denna policy. Brott mot denna policy kan leda till disciplinära åtgärder och i vissa fall juridiska åtgärder.

Ansvar: IT-avdelningen ansvarar för att säkerställa att alla SSL-certifikat är giltiga, säkert hanterade och regelbundet uppdaterade i enlighet med denna policy.

Granskning och uppdatering: Denna policy ska granskas årligen eller vid behov för att säkerställa att den följer aktuella säkerhetsstandarder och branschpraxis.

Be om offert