Sikkerhedsprocedure

Khan Academy har forpligtet sig til at skabe et sikkert onlinemiljø for dig. Vi tager privatlivets fred og sikkerhed alvorligt, og vi vil derfor gerne sikre os, at du ved, hvordan vi sikrer og beskytter de oplysninger, du deler med os.  Nedenfor er en oversigt over vores sikkerhedsprocedurer.  Hvis du har spørgsmål, bedes du kontakte os på privacy@khanacademy.org, og vi vil med glæde besvare dem.

Khan Academy tester og evaluerer regelmæssigt sit sikkerhedsprogram og gennemfører SOC2 Type 2 sikkerhedsrevisioner årligt.Vi opdaterer vores program og disse sikkerhedspraksis som svar på disse evalueringer, samt skiftende tendenser i branchen med henblik på at forbedre den beskyttelse, de giver.  

 

Hvilke oplysninger indsamler Khan Akademy?

Khan Academy indsamler kontakt- og profiloplysninger, konto- og godkendelsesoplysninger, placeringsoplysninger, oplysninger om browser eller enhed, donor og ansøger oplysninger samt andre ikke-personlige oplysninger, der kan knyttes til konti. For flere detaljer om disse kategorier og eksempler på, hvad de omfatter, se vores privatlivspolitik på https://www.khanacademy.org/about/privacy-policy#what-information-do-we-collect

Som nærmere beskrevet i vores privatlivspolitik, sælger vi ikke dine oplysninger til tredjeparter eller viser reklamer på Khan Academy, som vi yderligere bekræfter ved at underskrive af Student Privacy Pledge (https://studentprivacypledge. rg/faqs/). Vores mission er undervisning, ikke profit.

 

Data og Server Hosting

Khan Academy hjemmeside og mobil applikation er hostet i USA på Google AppEngine som en del af Google Cloud Platform (GCP). Vi har valgt denne udbyder på baggrund af deres bedste praksis sikkerhedsstandarder, og vi afhænger af dem for server og datacenter sikkerhed og stabilitet. Alle data på GCP krypteres i overensstemmelse med Googles sikkerhedspraksis, som du kan læse om på: https://cloud. oogle.com/security/. 

Vi tilføjer et ekstra lag af kryptering til al personlige data, der er lagret på GCP, så dataene kun kan ses af personale med tilladelse.   Adgang til Khan Academy servere på AppEngine er begrænset til specifikt personale for nødvendig fejlfinding. Sikkerhedsrelaterede logfiler er på samme måde begrænset til det personale ved brug i forbindelse med respons til hændelser.

Ud over vores brug af GCP bruger vi Fastlys indholdsleveringsnetværk, som yderligere bidrager til Khan Academys præstationer og pålidelighed.

 

Data i Transit

Khan Academy understøtter og fremmer brugen af de nyeste kryptografiske protokoller for al netværkstrafik, herunder TLS 1.3, AES256 kryptering og SHA256 signaturer. 

 

Hændelses Respons

I tilfælde af en hændelse vedrørende datasikkerhed (eller ved undersøgelse af en eventuel hændelse) anvender vi vores beredskabsplan for hændelser, som omfatter processer for indledende detektion og rapportering, kommunikation med berørte parter, isolering, løsning og indsamling af erfaringer.  Denne beredskabsplan gennemføres mindst en gang om året for at sikre, at vi er klar til at håndtere det uventede.

 

Software til kontrol af sårbarheder

Khan Academy bruger en række redskaber, praksis og procedurer til at overvåge og beskytte vores data og systemer. Vores sikkerhedsteam gennemgår branchens bulletiner for at hjælpe med at vurdere virkningen af nye teknologier og sårbarheder på vores produktionssystemer. Vi opretholder også et fortroligt sårbarhedsprogram, hvor sikkerhedseksperter undersøger, prioriterer, behandler og rapporterer hændelser efter deres alvor.

 

Software Development Lifecycle (SDLC)

Khan Academy bruger bedste industri-praksis i udviklingen af vores produkt, som omfatter manuel kode gennemgang, ingeniør test, test for kvalitetskontrol og automatiseret test for hver kode ændring, der bliver en del af vores service. Vi følger NIST, OWASP og lignende globalt anerkendt bedste sikkerhedspraksis og anbefalinger i løbet af vores produktudvikling. Adgang til produktionshemmeligheder er begrænset til særligt personale.

 

Personale Praksis

Der bliver foretaget baggrundstjek på alle medarbejdere af Khan Academy forud for deres ansættelse hos os (underlagt gældende lovgivning). Vi gennemfører sikkerheds- og privatlivstræning med hver medarbejder ved ansættelsen og hvert år derefter.  Bærbare computere udstedet af virksomheden bliver forvaltet af vores it-personale med detektering og rapporteringsmuligheder på enheden.

 

Kontrol af Data Access

Khan Academys medarbejdere har lejlighedsvis brug for at få adgang til brugerdata for at udføre opgaver. For eksempel kan support medarbejdere have brug for adgang til profiloplysninger for at kunne hjælpe med en bestemt anmodning. Adgang til brugerdata gives kun efter princippet om mindst mulige rettigheder. Medarbejdere får kun adgang, hvis det er nødvendigt, og adgangen bliver registreret og gennemgået hvert kvartal. Alle medarbejdere skal bruge multi-faktor godkendelse for at få adgang til Khan Academy ressourcer. Derudover beskriver vi vores praksis for at beskytte dine data i en skriftlig sikkerhedspolitik, som alle medarbejdere bekræfter.

 

Tredjeparter

For at kunne levere vores service til dig samarbejder vi med flere leverandører, herunder til server- og datahosting, kundeservice samt interne produktivitets- og kommunikationsredskaber. Vi samarbejder også med organisationer, som vi tror har den bedste interesse i at tjene vores mål om at give dig undervisning i verdensklasse. Vi har aftaler med disse tredjeparter om at følge vores datasikkerhedsstandarder for at beskytte dine data. Vores kritiske leverandører gennemgår screening og vurdering af vores sikkerhedspersonale, før vi betror dem dine data, og hver leverandør bliver derefter gennemgået årligt.

 

Vurdering og afprøvning

Khan Academy udfører løbende sikkerhedstjek og får hvert år foretaget en ekstern test af systemernes modstandsdygtighed samt en uafhængig revision efter SOC2 Type2-standarden.