En leverandør skal ta dette svært alvorlig, og skal ha et et solid rammeverk for å levere sikre skytjenester.
Husk at alle seriøse leverandører av skytjenester bør som et minimum:
- Ha store team som kun jobber med å avdekke sårbarheter.
- Følge strenge retningslinjer og ha systemer som fanger opp avvik.
- Utføre jevnlige sikkerhets- og programvareoppdateringer.
- Vise full åpenhet om hvordan de jobber med it-sikkerhet.
- Hjelpe kundene med å ta gode sikkerhetsmessige valg.
Sjekkliste for IT-sikkerhet ved kjøp av skytjenester?
De tre vanligste spørsmålene om vårt datasenter
1. Er det trygt?
Ja, det er det. Vi har flyttet, og skal flytte mange løsninger til AWS (Amazon Web Services). Visma har gjort en grundig evaluering og risikoanalyse av AWS som du som kunde kan få tilgang til, om du ønsker det. AWS har også sitt eget Trust Centre med omfattende dokumentasjon av sikringen av datasenteret.
2. Hva er loven med tanke på oppbevaringsplikten?
Kort oppsummert er hovedregelen at dataene skal oppbevares i Norge. Visma bruker datasentre utenfor Norge, men vi har periodisk backup av data hjem til norsk datasenter. Dette kommer i tillegg til den standard backup-tjenesten som leveres av AWS, hvor vi tar backup til en ekstra fysisk AWS-lokasjon. Visma bruker kun datasentre innenfor EU og EØS.
Oppfattelsen av at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge stemmer altså ikke, så lenge det også oppbevares i Norge. Mange venter for øvrig på at denne utdaterte forskriften snart blir modernisert og tilpasset dagens realiteter, hvor fysisk lokasjon blir noe underordnet, i alle fall innenfor rammene til EU og EØS.
For mer informasjon om lov tilknyttet bokføringsloven og krav til oppbevaring av oppbevaringspliktig materiale kan du lese mer om dette hos Sticos.
3. Hva er loven i forbindelse med overføringsgrunnlag av personopplysninger?
Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU og EØS, spesielt USA. Flere av de største datasentrene i verden eies av amerikanske selskaper, og USA har ikke de samme restriksjonene som vi har i Europa. I forbindelse med den mye omtalte EU-dommen, Schrems II, har dette tilspisset seg.

Hva er betydningen av Schrems II-dommen?
Schrems II berører først og fremst deg som skal overføre data til land utenfor EU og EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU og EØS.
Stridens kjerne er den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene, siden de også eier datasentrene, eller at amerikanske myndigheter pålegger de en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU og EØS. Uansett må leverandøren gjøre de nødvendige avtalemessige og tekniske tiltak for å redusere muligheten for at noe slikt skal skje.
Tolkningen om at Schrems II-dommen betyr at en bedrift ikke kunne benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon er feil. I så fall ville store deler av Europa ganske enkelt stoppet å fungere.
Visma sin juridiske avdeling har satt seg godt inn disse problemstillingene, og du kan få en detaljert analyse hvis du ønsker.
Er det fortsatt ting du lurer på, så kan du kontakte meg på e-post adresse stian.j.estil@visma.com
Hva kan Visma bidra med for deg?
For å kvalitetssikre egne prosesser og prosedyrer relatert til sikkerhet, har Visma gjennomført flere ISO-sertifiseringer. I denne sammenheng er ISO 27001 sertifiseringen mest relevant. Både intern IT og Visma sin egen utviklingsprosess, VCDM (Visma Cloud Delivery Model) har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402 rapport årlig for intern IT. For mange kunder er dette et kvalitetsstempel som gir den nødvendige trygghet relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.
Her finner du ofte stilte spørsmål og svar om Visma som leverandør av IT-sikkerhet.
Visma kan på forespørsel besvare standardiserte evalueringsskjemaer på vegne av deg som kunde, men da som et eget betalt prosjekt i forkant. Utover det tilgjengeliggjør vi mest mulig dokumentasjon for at du selv kan fylle ut dine evalueringer.
Vil du vite mer om IT-sikkerhet i bedriften, det generelle trusselbildet og hvilket ansvar du har?
Visma Trust Centre er også et verktøy du kan bruke
Visma ser en forpliktelse overfor våre kunder om å være transparente på hvordan vi jobber med sikkerhet. Vi har derfor laget Visma Trust Centre som besvarer mange av de spørsmålene som kundene har.
Her kan du utforske Trust Centre.
Hva med et risikovurdering eksempel?
Mange norske bedrifter har ikke spesialkompetanse innen IT-sikkerhet, og det kan derfor være vanskelig å gjøre en reell risikovurdering. Flere av Vismas kunder stiller få kritiske spørsmål knyttet til IT-sikkerhet og stoler på at leverandøren har kontroll på dette.
Større norske selskaper og utenlandske konsern med datterselskaper i Norge, har derimot en helt annen tilnærming. De har ofte dedikerte ressurser som har som oppgave og foreta en risikoanalyse av leverandøren og de aktuelle produkter og tjenester.
Dette gjøres ofte via en Security Assessment som gjøres i form av en rekke spørsmål. Det finnes også noen standardiserte evalueringsskjemaer som eksempel CAIQ. Denne består av omkring 300 spørsmål og er basert på ja eller nei-besvarelse. Allikevel gir den et godt bilde av typiske spørsmål som stilles av profesjonelle ressurser.
Hva er relatert til IT-sikkerhet?
Det kan være forvirrende å få et godt grep om hva IT-sikkerhet faktisk berører i hverdagen din.
Få en rask innføring om IT-sikkerhet på under to minutter her.
Dette er bare noen konkrete eksempler på alt forbundet til IT-sikkerhet:
- Organisasjonen din
- PCer
- Mobiler
- Nettverk
- Interne IT-systemer
- Personale
- Bygninger
- Utvikling, testing og drift av skytjenester
- Utviklingsmetodikk
- Risikoanalyse
- Automatisert og manuell testing
- Tilganger
- Kryptering
- Håndtering av oppdateringer og feilretting
- Sikkerhetskopi
- Kriseberedskap
- Overvåking
- Katastrofevern
- Fysisk sikkerhet
- Tilgangsnivåer
- Kundens data
- Persondata
- Etterlevelse av GDPR
- Relevante nasjonale forskrifter og lover
- Relevante sertifiseringer og sertifikater
- Rapporter som for eksempel ISO, GDPR, ISAE 3402
- GDPR (General Data Protection Regulation)
Les mer: Bedrifter velger skyen på grunn av IT-sikkerhet.
Hvis du har flere spørsmål som du ikke finner svaret på i denne artikkelen, kan du sende meg en e-post til stian.j.estil@visma.com