Informasjonssikkerhet og databeskyttelse har ekstremt høy prioritet hos Visma. Vår virksomhet er basert på at våre kunder skal kunne stole på oss. Vi gjør alt vi kan for å sikre at systemene våre kunder bruker fungerer pålitelig og sikkert.
Vi har investert stort i sikkerheten til Visma Sign helt siden tjenesten ble startet. Informasjonssikkerhet, som også inkluderer lagring av dokumenter i kryptert format på våre servere og bruk av sterke autentiseringskoder for selve signaturene, har vært et av utgangspunktene for tjenesten.
Mange av våre kunder bruker Visma Sign for å beskytte sin egen organisasjon, ved for eksempel å bruke nettskjemaer for kundens KYC-prosesser, eller for å identifisere personer som sender dem forespørsler om data under GDPR.
Les mer om de ulike delområdene for sikkerhet nedenfor:
Visma Application Security Program
Lovlighet og GDPR
Fysisk sikkerhet
Skytjenestesikkerhet
Systemsikkerhet
Sikre tilkoblinger
Datasikkerhet for dokumenter
Kontinuitet
Personalets pålitelighet
Trygge partnere
Identifikasjon av brukere
Sletting av data
Problemløsning
Visma Sign er en del av Visma Application Security Program. Dette er et oppfølgings- og evalueringsprogram som er spesielt beregnet på skytjenester og hvor informasjonssikkerhet analyseres fra flere ulike perspektiver. Hvert program har sitt eget målnivå i VASP, og gjeldende informasjonssikkerhet estimeres i sanntid. Programmet er utviklet basert på beste praksis og bruker vanlige informasjonssikkerhetsprogrammer.
Visma Sign er basert på PAdES-standarden i henhold til eIDAS-forordningen og den norske loven om elektroniske signaturer.
Les mer om: Elektronisk signering i norsk lov
Visma Sign følger EUs generelle databeskyttelsesforordning GDPR.
Visma Sign kjøper datasentertjenesten fra tjenesteleverandører. Dokumentene som er lagret i Visma Sign befinner seg fysisk i Finland.
Vi har et omfattende samarbeid med leverandørene av datasentertjenesten for å sikre at dataene som er lagret i Visma Sign er sikre, til tross for mulige eksepsjonelle forhold.
Skyleverandøren for Visma Signs er vår partner, og vi følger bransjestandarder når det gjelder sikkerhetsovervåking og prosesser.
Alle nye dokumenter og data som lastes opp i Visma Sign er krypterte under overføring og lagring.
Visma Signs produktutvikling jobber kontinuerlig med å utvikle programvaren. Vi har automatisert informasjonssikkerhetskontrollene for å sikre at det ikke er noen informasjonssikkerhetshull i nye versjoner.
Vismas eget sikkerhetsteam gjennomfører også årlige sikkerhetsrevisjoner av Visma Sign. De skanner tjenesten med ulike verktøy og utfører en manuell sjekk av informasjonssikkerheten. Alle observasjoner rapporteres til produktutvikling, og problemer blir løst umiddelbart.
Kommunikasjon mellom servere er alltid kryptert. Med andre ord er data alltid beskyttet under overføring. Med noen mikrotjenester bruker vi også en VPN-tunnel.
Data sendes og mottas over nettverk kun via krypterte tilkoblinger, for eksempel ved bruk av HTTPS- eller SSH-protokoller eller andre krypterte protokoller. Dette gjelder både Visma Signs interne kommunikasjon mellom servere og data som flyter inn og ut av Visma Sign, ved bruk via Visma Sign brukergrensesnitt og REST API grensesnitt.
Organisasjonens administrator kan definere hva individuelle brukere kan se i systemet. For vanlige brukere vises kun innholdet i arkivmappene de har tilgangsrettigheter til.
Innholdet i enkeltdokumenter krypteres ved hjelp av flere forskjellige krypteringsmetoder.
Vi har forberedt oss på mange ulike typer problemer og sikret tjenestekontinuitet ved problemer ved bruk av ulike tekniske løsninger. Vi jobber også tett med våre datasentertjenesteleverandører for å kunne minimere effektene av alle slags problematiske situasjoner for tjenestens brukere.
Visma Sign har automatiske alarmer som varsler produksjonsteamet dersom det er problemer med tjenesten eller om tjenesten ikke kan kontaktes. Teamet reagerer på disse problemene så raskt som mulig.
Visma utfører passende bakgrunnssjekker av alle ansatte i henhold til deres stillingsbeskrivelse.
Alle arbeidskontrakter inneholder taushetspliktklausuler. Alle nyansatte får opplæring før de får tilgang til produksjonsmiljøene. Alle Vismas ansatte og konsulenter gjennomgår årlig opplæring i informasjonssikkerhet og personvern.
Vi trenger naturligvis samarbeidspartnere for å kunne produsere alle tjenester som trengs for våre kunder. Vi ansetter en rekke pålitelige innenlandske og utenlandske underleverandører og partnere. Underleverandørene inkluderer leverandører av datasentertjenester.
Vismas underleverandører går gjennom Vismas egen Vendor Management prosess, hvor blant annet den aktuelle virksomhetens evne til å oppfylle sine forpliktelser når det gjelder informasjonssikkerhet og databeskyttelse gjennomgås.
Innlogging på Visma Sign skjer alltid med sterk autentisering. Sterk autentisering, eller tofaktorautentisering, er en juridisk bindende måte å signere alle typer dokumenter på.
Ved sterk autentisering brukes for eksempel nettbankkoder som bankene gir, eller et mobilsertifikat som ligger i telefonens SIM-kort. Sterk autentisering kan også gjøres med identitetskort med borgersertifikat. I Visma Signs digitale arkiv kan administrator definere mappestrukturer og brukertillatelser etter behov.
Audit trail
Med Visma Sign kan alle dokumenter og signaturer spores. Ved hjelp av kontrollloggen, kan det bevises over enhver tvil at et dokument er ekte og intakt.
I revisjonssporet ser avsenderen av invitasjonen den sentrale informasjonen om dokumentet; IP-adressene til underskriverne, samt tidsstemplene for signeringshendelser. I Visma Sign er signaturene knyttet til dokumentet, der hver side i dokumentet er stemplet med informasjonen fra revisjonssporet og dokumentets unike kode. Denne koden gjør det mulig å verifisere dokumentet i etterkant.
Les mer: Sikkerheten ved e-signaturer – det digitale fotavtrykket lyver ikke
Visma Sign overholder gjeldende databeskyttelseslovgivning i sin virksomhet. Når en kunde slutter å bruke tjenesten, kan han hente opp avtalene som er lagret i tjenesten og lagre dem på sin egen enhet. Dataene som er lagret i Visma Sign slettes fra tjenesten i henhold til Visma Signs vilkår for bruk.
Vi følger Vismas praksis for sletting av data – Vismas retningslinjer for sletting av data.
Visma har en driftsmodell på organisasjonsnivå for håndtering av ulike typer informasjonssikkerhetshendelser. Visma Product Security Team hjelper Visma Signs informasjonssikkerhetsteam med å løse eventuelle brudd på informasjonssikkerhet eller databeskyttelse.