Rule er en programvaretjeneste for kommunikasjon som leveres via "skyen", dvs. via internett uten behov for installasjon. Tjenesten er designet for å være sikker, håndtere eventuelle feil godt og ha høy tilgjengelighet/oppetid.

1. Rule lagrer og behandler data for sine kunder, men eier ikke dataen - kunden eier dataen.
2. Kundens data behandles og lagres alltid innenfor EU, hovedsakelig i Stockholm og Dublin.
3. Merk at du som kunde kan få tilgang til dataen din utenfor EU hvis du for eksempel logger deg inn i Rule under en jobbreise i USA.

Tjenesten er tilpasset gjeldende lover og regler, f.eks. personvernforordningen - GDPR.

Alt personell har fått spesiell opplæring om GDPR, f.eks. at det er forbudt å lagre data utenfor EU. Alle har signert avtale om å følge relevant lovgivning, samt selskapets interne krav til sikkerhet og konfidensialitet.

Data lagres med redundans; lokalt - dvs. flere kopier innenfor samme datasenter og, geo-redundans dvs. ytterligere speiling i et annet datasenter med tilstrekkelig fysisk avstand. Dette for å forebygge, ikke bare vanlige feil, men også katastrofer som jordskjelv, brann, terrorangrep.

1. Daglige sikkerhetskopier gjøres av hele databasen.
2. Datakommunikasjon mellom kunde og Rule skjer via https, dvs. kryptert med SSL/TLS.
3. Alle data er kryptert med egen nøkkel som lagres hos oss.
4. Det er spesiell beskyttelse på plass for vanlige angrepsforsøk som SQL-injeksjon, XSS, CSRF, DoS m.fl.
5. Tjenesten har historisk en oppetid på over 99,9%.
6. Tilgang til tjenesten gis til kundens utvalgte brukere, basert på rettighetsnivå. Innlogging gjøres med e-post og passord. Passord lagres aldri i klartekst, men kryptert med 256 bit AES, som anbefalt av NIST (National Institute of Standards and Technology, USA).
7. Tjenesten driftes fra Amazons datasenter, innenfor EU, som følger strenge krav og har et stort antall sertifiseringer som f.eks. EU Data Protection Directive, ISO 27001/17/18, Standard Contractual Clauses (SCC), PCI DSS m.fl.
8. Amazon follows CISPE Data Protection Code of Conduct (CISPE Code) which is supported by the European Data Protection Board and approved by CNIL in accordance with the stricter Schrems II requirements.

More information about the operating environment and regulatory compliance can be found here: https://aws.amazon.com/compliance/