SPØRSMÅL: Har Visma et kvalitetssystem som sikrer kvalitet i alle prosesser relatert til utvikling, test og leveranse av skytjenesten?
SVAR: Ja. Visma har et omfattende kvalitetssystem, Visma Cloud Delivery Model (VCDM) som er spesielt tilpasset skytjenester. Kvalitetssystemet er godkjent etter standarden ISO 27001/ISO 9001 og revideres årlig.
Kryptering av data
SPØRSMÅL: Blir dataene kryptert?
SVAR: Ja. Kryptering er en effektiv mekanisme for å hindre at data kan misbrukes hvis de havner i feil besittelse. Dataene vil da være uleselige, og krypteringsnøkler er laget et separat og trygt sted som kun Visma har tilgang til. Det skilles gjerne mellom kryptering i transport (in transit) og kryptering ved lagring (at rest) Videre kan kryptering ved lagring ytterligere spesifiseres for spesielt interesserte. Alle Visma sine skytjenester benytter https: med TLS for sikring av data i transport. Ved lagring (og backup) benyttes forskjellige metoder. Persondata er alltid kryptert også ved lagring.
Sjekkliste for IT-sikkerhet ved kjøp av skytjenester
SPØRSMÅL: Kan vi som kunde teste sikkerheten i Visma sin tjenester?
SVAR: Ja. Visma har et eget Responsible Disclosure Program for de som ønsker å gjøre dette. En noe enklere tilnærming er å bruke tjenester som SSL Labs hvor du enkelt kan få mye informasjon om en Visma tjeneste ved å legge inn adressen til nettstedet. Som eksempel kan du legge inconnect.visma.com, Visma sin egen tjeneste for sikker brukerhåndtering, og få en utfyllende rapport med en “rating” av en del av sikkerhetsperspektivet.
Datasikkerhet i Norge, lover og regler
SPØRSMÅL: Hvordan sikrer leverandøren at tjenesten leveres i henhold til gjeldende lover og regler?
SVAR: Visma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. Som eksempel jurister som jobber med personvern lovgivning, eksperter på finansiell rapportering, skatt og mva, og de som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. Visma deltar aktivt i fora og prosjekter etablert av norske myndigheter i denne sammenheng.
SPØRSMÅL: Hvor prosesseres og lagres dataene?
SVAR: Visma benytter i hovedsak datasentre fra Amazon / AWS og Microsoft /Azure, og for norske kunder sin del kun datasentre innenfor EU/EØS. Her finner du en oppdatert oversikt over dette, hvor du kan søke etter aktuelt produkt.
SPØRSMÅL Hvem har tilgang til mine data?
SVAR: I utgangspunktet er det kun kunde som har tilgang til sine data. Kunden er selv ansvarlig for å tildele brukerrettigheter for å regulere tilgangen til skytjenesten. Visma har tilgang til kundens data i support og konsulent relatert arbeid, hvor kunden gir oss denne tillatelsen for å løse en oppgave, og hvor kunden selv regulerer vår tilgang. Vår utviklingsavdeling har også tilgang til kundens data for å løse nødvendige oppgaver for å levere selve tjenesten. All tilgang utenom selve brukergrensesnittet er underlagt prinsippet om “least privilege principle” og “Privileged Access.
