Krav og regler til leverandør av IT-sikkerhet i skyen

Når du har lokalinstallert programvare er det bedriften din som selv har ansvar for store deler av sikkerheten. Med skytjenester er det derimot leverandøren som er ansvarlig for å etterleve lokale og internasjonale krav, lover og forskrifter.

En leverandør skal ta dette svært alvorlig, og skal ha et et solid rammeverk for å levere sikre skytjenester.

Husk at alle seriøse leverandører av skytjenester bør som et minimum:

Ha store team som kun jobber med å avdekke sårbarheter.
Følge strenge retningslinjer og ha systemer som fanger opp avvik.
Utføre jevnlige sikkerhets- og programvareoppdateringer.
Vise full åpenhet om hvordan de jobber med it-sikkerhet.
Hjelpe kundene med å ta gode sikkerhetsmessige valg.

Sjekkliste for IT-sikkerhet ved kjøp av skytjenester?

Last ned gratis guide her

De tre vanligste spørsmålene om vårt datasenter

1. Er det trygt?

Ja, det er det. Vi har flyttet, og skal flytte mange løsninger til AWS (Amazon Web Services). Visma har gjort en grundig evaluering og risikoanalyse av AWS som du som kunde kan få tilgang til, om du ønsker det. AWS har også sitt eget Trust Centre med omfattende dokumentasjon av sikringen av datasenteret.

2. Hva er loven med tanke på oppbevaringsplikten?

Kort oppsummert er hovedregelen at dataene skal oppbevares i Norge. Visma bruker datasentre utenfor Norge, men vi har periodisk backup av data hjem til norsk datasenter. Dette kommer i tillegg til den standard backup-tjenesten som leveres av AWS, hvor vi tar backup til en ekstra fysisk AWS-lokasjon. Visma bruker kun datasentre innenfor EU og EØS.

Oppfattelsen av at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge stemmer altså ikke, så lenge det også oppbevares i Norge. Mange venter for øvrig på at denne utdaterte forskriften snart blir modernisert og tilpasset dagens realiteter, hvor fysisk lokasjon blir noe underordnet, i alle fall innenfor rammene til EU og EØS.

For mer informasjon om lov tilknyttet bokføringsloven og krav til oppbevaring av oppbevaringspliktig materiale kan du lese mer om dette hos Sticos.

3. Hva er loven i forbindelse med overføringsgrunnlag av personopplysninger?

Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU og EØS, spesielt USA. Flere av de største datasentrene i verden eies av amerikanske selskaper, og USA har ikke de samme restriksjonene som vi har i Europa. I forbindelse med den mye omtalte EU-dommen, Schrems II, har dette tilspisset seg.

Lær mer om IT-sikkerhet på visma.no

Produktsjef for skyløsninger: Stian Estil i Visma Software

Hva er betydningen av Schrems II-dommen?

Schrems II berører først og fremst deg som skal overføre data til land utenfor EU og EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU og EØS.

Stridens kjerne er den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene, siden de også eier datasentrene, eller at amerikanske myndigheter pålegger de en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU og EØS. Uansett må leverandøren gjøre de nødvendige avtalemessige og tekniske tiltak for å redusere muligheten for at noe slikt skal skje.

Tolkningen om at Schrems II-dommen betyr at en bedrift ikke kunne benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon er feil. I så fall ville store deler av Europa ganske enkelt stoppet å fungere.

Visma sin juridiske avdeling har satt seg godt inn disse problemstillingene, og du kan få en detaljert analyse hvis du ønsker.
Er det fortsatt ting du lurer på, så kan du kontakte meg på e-post adresse stian.j.estil@visma.com

Hva kan Visma bidra med for deg?

For å kvalitetssikre egne prosesser og prosedyrer relatert til sikkerhet, har Visma gjennomført flere ISO-sertifiseringer. I denne sammenheng er ISO 27001 sertifiseringen mest relevant. Både intern IT og Visma sin egen utviklingsprosess, VCDM (Visma Cloud Delivery Model) har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402 rapport årlig for intern IT. For mange kunder er dette et kvalitetsstempel som gir den nødvendige trygghet relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.

Her finner du ofte stilte spørsmål og svar om Visma som leverandør av IT-sikkerhet.

Visma kan på forespørsel besvare standardiserte evalueringsskjemaer på vegne av deg som kunde, men da som et eget betalt prosjekt i forkant. Utover det tilgjengeliggjør vi mest mulig dokumentasjon for at du selv kan fylle ut dine evalueringer.

Vil du vite mer om IT-sikkerhet i bedriften, det generelle trusselbildet og hvilket ansvar du har?

Se gratis webinar her

Visma Trust Centre er også et verktøy du kan bruke

Visma ser en forpliktelse overfor våre kunder om å være transparente på hvordan vi jobber med sikkerhet. Vi har derfor laget Visma Trust Centre som besvarer mange av de spørsmålene som kundene har.

Her kan du utforske Trust Centre.

Hva med et risikovurdering eksempel?

Mange norske bedrifter har ikke spesialkompetanse innen IT-sikkerhet, og det kan derfor være vanskelig å gjøre en reell risikovurdering. Flere av Vismas kunder stiller få kritiske spørsmål knyttet til IT-sikkerhet og stoler på at leverandøren har kontroll på dette.

Større norske selskaper og utenlandske konsern med datterselskaper i Norge, har derimot en helt annen tilnærming. De har ofte dedikerte ressurser som har som oppgave og foreta en risikoanalyse av leverandøren og de aktuelle produkter og tjenester.

Dette gjøres ofte via en Security Assessment som gjøres i form av en rekke spørsmål. Det finnes også noen standardiserte evalueringsskjemaer som eksempel CAIQ. Denne består av omkring 300 spørsmål og er basert på ja eller nei-besvarelse. Allikevel gir den et godt bilde av typiske spørsmål som stilles av profesjonelle ressurser.

Hva er relatert til IT-sikkerhet?

Det kan være forvirrende å få et godt grep om hva IT-sikkerhet faktisk berører i hverdagen din.

Få en rask innføring om IT-sikkerhet på under to minutter her.

Dette er bare noen konkrete eksempler på alt forbundet til IT-sikkerhet:

Organisasjonen din
PCer
Mobiler
Nettverk
Interne IT-systemer
Personale
Bygninger
Utvikling, testing og drift av skytjenester
Utviklingsmetodikk
Risikoanalyse
Automatisert og manuell testing
Tilganger
Kryptering
Håndtering av oppdateringer og feilretting
Sikkerhetskopi
Kriseberedskap
Overvåking
Katastrofevern
Fysisk sikkerhet
Tilgangsnivåer
Kundens data
Persondata
Etterlevelse av GDPR
Relevante nasjonale forskrifter og lover
Relevante sertifiseringer og sertifikater
Rapporter som for eksempel ISO, GDPR, ISAE 3402
GDPR (General Data Protection Regulation)

Les mer: Bedrifter velger skyen på grunn av IT-sikkerhet.

Hvis du har flere spørsmål som du ikke finner svaret på i denne artikkelen, kan du sende meg en e-post til stian.j.estil@visma.com

Populære temaer

Mest populære

Lønn og HR
publisert 1. februar 2023
Dette gir deg rett til velferdspermisjon
Usikker på når du kan få fri? Få med deg i hvilke tilfeller du har lovfestet krav på permisjon.
Lønn og HR
publisert 3. januar 2023
Bilgodtgjørelse (kjøregodtgjørelse): Satsene for 2023
Hvordan beregnes bilgodtgjørelse (kjøregodtgjørelse) riktig i 2023?
Lover og regler
publisert 27. september 2023
Regler for halv skatt i lønn før jul
Som arbeidsgiver kan du velge om det skal beregnes halv skatt i lønn for november eller desember.

Krav og regler til leverandør av IT-sikkerhet i skyen

De tre vanligste spørsmålene om vårt datasenter

Hva er betydningen av Schrems II-dommen?

Hva kan Visma bidra med for deg?

Visma Trust Centre er også et verktøy du kan bruke

Hva med et risikovurdering eksempel?

Hva er relatert til IT-sikkerhet?

Populære temaer

Mest populære

Dette gir deg rett til velferdspermisjon

Bilgodtgjørelse (kjøregodtgjørelse): Satsene for 2023

Regler for halv skatt i lønn før jul

Hold deg oppdatert