March 14, 2024
Stian Estil
Sikkerhetskrav til leverandør av skytjenester
Når du har lokalinstallert programvare, er det bedriften din som selv har ansvar for mye av IT-sikkerheten.

Med skytjenester er det derimot leverandøren som er ansvarlig for å etterleve lokale og internasjonale krav, lover og forskrifter. En systemleverandør skal ta dette på alvor og ha et et solid rammeverk for å sikre skytjenestene de leverer til bedriften din.

Ha en strategi og krav for valg av skytjenester

Alle seriøse leverandører av skytjenester bør som et minimum:

  • Ha store team som kun jobber med å avdekke sårbarheter.
  • Følge strenge retningslinjer og ha systemer som fanger opp avvik.
  • Utføre jevnlige sikkerhets- og programvareoppdateringer.
  • Vise full åpenhet om hvordan de jobber med IT-sikkerhet.
  • Hjelpe kundene med å ta gode sikkerhetsmessige valg.

Les mer: Gratis sjekkliste for IT-sikkerhet ved kjøp av skytjenester.

Vanlige spørsmål om datasikkerhet i skyen

For å kunne legge en strategi som gir bedriften din en god oversikt over krav dere må stille, hjelper det å vite hva andre bedrifter ofte lurer på.

Nedenfor har vi samlet noen eksempler på vanlige spørsmål og svar om IT-sikkerhet i skyen med Visma Software som leverandør av skytjenestene.

Sertifisert leveringsmodell 

Spørsmål: Har Visma Software et kvalitetssystem som sikrer kvalitet i alle prosesser relatert til utvikling, test og leveranse av skytjenesten? 

Svar: Ja. Visma Software har et omfattende kvalitetssystem, Visma Cloud Delivery Model (VCDM), som er spesielt tilpasset skytjenester. For å kvalitetssikre egne prosesser og prosedyrer relatert til sikkerhet gjennomføres flere ISO-sertifiseringer. I denne sammenhengen er ISO 27001-sertifiseringen mest relevant. 

Se sertifiseringene her.

Både intern IT og Visma Softwares egen utviklingsprosess, VCDM (Visma Cloud Delivery Model), har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402-rapport årlig for intern IT. For mange kunder er dette et kvalitetsstempel som gir den nødvendige tryggheten relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.

Les mer om Visma Cloud Delivery Model her.

Kryptering av data

Spørsmål: Blir dataene kryptert? 

Svar: Ja. Kryptering er en effektiv mekanisme som hindrer at data kan misbrukes hvis de havner i feil besittelse. Dataene vil da være uleselige, og krypteringsnøkler er lagret et separat og trygt sted som kun Visma har tilgang til. Det skilles gjerne mellom kryptering i transport (in transit) og kryptering ved lagring (at rest). 

Kryptering ved lagring kan også tilpasses spesielt interesserte. Alle Visma Softwares skytjenester benytter https: med TLS for sikring av data i transport. Ved lagring og backup benyttes forskjellige metoder. Persondata er alltid kryptert også ved lagring.

Spørsmål: Kan vi som kunde teste sikkerheten i Vismas tjenester?

Svar: Ja. Visma har et eget Responsible Disclosure Program for de som ønsker å teste. En noe enklere tilnærming er å bruke tjenester som SSL Labs hvor du enkelt kan få mye informasjon om en Visma-tjeneste ved å legge inn adressen til nettstedet. For eksempel kan du legge inconnect.visma.com, Visma sin egen tjeneste for sikker brukerhåndtering, og få en utfyllende rapport med en “rating” av en del av sikkerhetsperspektivet.

Lover og regler for datasikkerhet i Norge

Spørsmål: Hvordan sikrer leverandøren at tjenesten leveres i henhold til gjeldende lover og regler?

Svar: Visma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. For eksempel har vi jurister med personvernlovgivning som spesialfelt, eksperter på finansiell rapportering, skatt og mva, og folk som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. Visma deltar aktivt i fora og prosjekter etablert av norske myndigheter i denne sammenhengen.

Les mer: Datasikkerhet gjør at norske bedrifter velger skytjenester.

Spørsmål: Hvor prosesseres og lagres dataene?

Svar: Visma benytter i hovedsak datasentre fra Amazon / AWS og Microsoft / Azure, og for norske kunders del kun datasentre innenfor EU/EØS. Oppfattelsen av at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge, stemmer altså ikke så lenge det også oppbevares i Norge. 

Mange venter for øvrig på at denne utdaterte forskriften skal bli modernisert og tilpasset dagens realiteter hvor fysisk lokasjon er noe underordnet, i alle fall innenfor rammene til EU og EØS. For mer informasjon om lov tilknyttet bokføringsloven og krav til oppbevaring av oppbevaringspliktig materiale kan du lese mer om dette hos Sticos.

Visma Software har gjort en grundig evaluering og risikoanalyse av AWS som du som kunde kan få tilgang til om du ønsker det. AWS har også sitt eget Trust Centre med omfattende dokumentasjon av sikringen av datasenteret.

Tilgangsstyring: Hvem har tilgang til dataene dine?

Spørsmål: Hvem har tilgang til mine data?

Svar: I utgangspunktet er det kun deg som kunde som har tilgang til dine data. Du er selv ansvarlig for å tildele brukerrettigheter for å regulere tilgangen til skytjenesten. Visma har tilgang til kundens data i support- og konsulentrelatert arbeid, hvor du gir oss denne tillatelsen for å løse en oppgave, og hvor du selv regulerer vår tilgang. 

Vår utviklingsavdeling har også tilgang til kundens data for å løse nødvendige oppgaver for å levere selve tjenesten. All tilgang utenom selve brukergrensesnittet er underlagt prinsippet om “least privilege principle” og “Privileged Access”.

Spørsmål: Hva er loven i forbindelse med overføringsgrunnlag av personopplysninger?

Svar: Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU og EØS, spesielt USA. Flere av de største datasentrene i verden eies av amerikanske selskaper, og USA har ikke de samme restriksjonene som vi har i Europa. I forbindelse med den mye omtalte EU-dommen Schrems II har dette tilspisset seg.

Les mer: Det spøker for norske bedrifters datasikkerhet.

Hva er betydningen av  Schrems II-dommen?

Schrems II berører først og fremst deg som skal overføre data til land utenfor EU og EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU og EØS.

Stridens kjerne er den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene siden de også eier datasentrene, eller at amerikanske myndigheter pålegger dem en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU og EØS. Uansett må leverandøren gjøre de nødvendige avtalemessige og tekniske tiltakene for å redusere muligheten for at noe slikt skal skje.

Det stemmer ikke at Schrems II-dommen innebærer at bedrifter ikke kan benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon. I så fall ville store deler av Europa ganske enkelt sluttet å fungere.

Visma Softwares juridiske avdeling har satt seg godt inn i disse problemstillingene, og du kan få en detaljert analyse hvis du ønsker det.

Visma Trust Centre

I Visma ønsker vi å være transparente overfor kundene våre om hvordan vi jobber med sikkerhet. Vi anser det som en forpliktelse. Derfor har vi laget Visma Trust Centre som besvarer mange av spørsmålene kunder har. 

Her kan du utforske Trust Centre.

Er det fortsatt ting du lurer på, kan du kontakte meg på stian.j.estil@visma.com