CSI satsar starkt på att upprätthålla och utveckla tillförlitligheten och datasäkerheten i sina programvaror, eftersom datasäkerhet spelar en kritisk roll för hela CSI:s kundkrets. CSI:s säkerhetspraxis omfattar bland annat rollbaserad åtkomsthantering, datakryptering, kontinuerlig utveckling och beredskap för undantagssituationer.

• CSI:s tjänster produceras i regel i Finland, och medarbetare får behandla kunduppgifter endast inom EU‑området.
• För OnPremise‑kunder ligger CSI‑databasen i kundens eget privata nätverk. Kunder som använder programvaran som molntjänst kan välja Finland eller Sverige som databasens lagringsplats. SQL‑anslutningarna för molntjänstkunder är SSL‑krypterade, och i Azure‑molntjänsten används Transparent Data Encryption (TDE). VPN‑anslutningar är krypterade, och integrationer till tredje parts system använder HTTPS‑protokoll.
• CSI‑teamet är utbildat att beakta säkerhet från design till driftsättning. CSI‑medarbetares åtkomst till data baseras på arbetsuppgifter, och de har rätt att behandla kunduppgifter endast för att utföra uppgifter enligt tjänsteavtalet och endast i den omfattning som är nödvändig. Alla medarbetare har undertecknat ett sekretessavtal. Distansanslutningar till en användares dator eller kundens databas registreras kundens uppgifter.
• Om en kopia av kundens databas behövs för att leverera tjänster, lagras den på en separat server och raderas så snart den inte längre behövs. Även data för molntjänstkunder som sagt upp sitt avtal raderas från molntjänsten efter att kunden fått en historikkopia av databasen vid avtalets slut.
• CSI tillämpar DevSecOps‑praxis för att säkerställa att säkerhet är inbyggd i hela utvecklingslivscykeln. Programvarans utvecklingsprocess inkluderar kodgranskningar utförda av både utvecklare och programvarutestare. De komponenter som används i utvecklingen köps in från pålitliga leverantörer.
• Systemen övervakas kontinuerligt med automatiska dagliga sårbarhetsskanningar och larm. Säkerheten utvecklas löpande i samarbete med kunder samt baserat på observationer från egna övervakningssystem och medarbetare. En extern säkerhetsbedömning och penetrationstest genomförs årligen på kärnsystemen för att validera kontroller och identifiera förbättringsområden.
• För hantering av säkerhetsavvikelser finns en Incident Response Playbook som täcker anvisningar för upptäckt, dokumentation, analys, klassificering och eskalering av incidenter.