Mine områder
Hjelp

Sikkerhet i Visma.net Payroll og Visma.net ERP - ofte stilte spørsmål med mer

av Stian Estil (Oppdatert ‎18-05-2021 07:19 ( )

Sikkerhet i skytjenester er et svært aktuelt tema. Trusselbildet i vår IT hverdag, både for privatpersoner og bedrifter, er økende, og med stadig nye trusler. I motsetning til lokalt installert programvare, hvor din bedrift selv er ansvarlig for store deler av sikkerheten, så er det for skytjenester leverandøren som er ansvarlig for det meste av sikkerheten, samt det å etterleve lokale og internasjonale krav, lover og forskrifter. Visma tar dette svært alvorlig, og har gjennom flere år bygget opp et svært solid rammeverk for å levere sikre skytjenester. 

 

I denne artikkelen brukes for enkelhets skyld ordet "sikkerhet" som en samlebetegnelse for IT sikkerhet, personvern og det å etterleve lover og forskrifter.

 

Sikkerhet dekker som eksempel følgende områder:

 

  • Alle forhold relatert til selve organisasjonen
    • PC'er, mobiler, nettverk, interne IT systemer, personale,  bygninger
  • Alle forhold relatert til utvikling, testing og drift av skytjenester
    • Utviklingsmetodikk, risikoanalyse, automatisert og manuell testing, tilganger, kryptering, håndtering av oppdateringer og feilretting, sikkerhetskopi, kriseberedskap, overvåking, katastrofe vern, fysisk sikkerhet og tilgangsnivåer for å nevnte noe.
  • Alle forhold relatert til kundens data
    • Persondata og etterlevelse av GDPR
    • Etterlevelse til relevante nasjonale forskrifter og lover
  • Relevante sertifiseringer og sertifikater og rapporter (ISO, GDPR, ISAE 3402 mm)

 

Innføringen av GDPR har satt ytterligere fokus på sikkerhet, og enhver bedrift har et visst ansvar for å sikre at de skytjenester de benytter oppfyller visse krav. Dette gjelder spesielt skytjenester som behandler persondata, som eksempel et lønnssystem.

 

Mange norske bedrifter har ikke spesialkompetanse innen IT - sikkerhet, og det kan derfor være vanskelig å gjøre en reell risikovurdering. Vi opplever at mange kunder ikke stiller noen kritiske spørsmål i det hele tatt, og stoler på at Visma har kontroll på dette. Noen bedrifter, ofte  større norske selskaper og utenlandske konsern, med datterselskaper i Norge, har en helt annen tilnærming. De har ofte dedikerte ressurser som har som oppgave og foreta en risikoanalyse av leverandøren og de aktuelle produkter/tjenester. Dette gjøres ofte via en "Security Assessment", som i praksis er en rekke spørsmål relatert til sikkerhet. En slik evaluering gjøres gjerne i form av en rekke spørsmål, alt fra 50 til 1000. Det finnes også noen standardiserte evalueringssjemaer som eksempel CAIQ. Denne består av ca. 300 spørsmål, og er først og fremst en ja/nei besvarelse, men gir et godt bilde av typiske spørsmål som stilles av profesjonelle ressurser. Visma kan på forespørsel besvare slike skjemaer på vegne av kunder, men da som et betalt forprosjekt. Utover det tilgjengeliggjør vi mest mulig dokumentasjon for at kunden selv kan fylle ut sine evalueringer. 

 

For å kvalitet sikre egne prosesser og prosedyrer relatet til sikkerhet har Visma gjennomført flere  ISO sertifiseringer. I denne sammenheng er ISO 27001 sertifiseringen mest relevant. Både intern IT og Visma sin egen utviklingsprosess, VCDM (Visma Cloud Delivery Model) har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402 rapport årlig for intern IT. En tilsvarende rapport for VCDM er forventet klar i 4 kvartal 2021. 

For mange kunder er dette et kvalitetsstempel som gir den nødvendige trygghet relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.

 

Visma ser en forpliktelse ovenfor våre kunder i forhold til å være transparente med hvordan vi jobber med sikkerhet. Vi har derfor laget Visma Trust Center, som nå i mai har blitt relansert med ny struktur og nytt innhold.  Visma Trust Center besvarer mange av de spørsmålene som våre kunder har. I tillegg til Visma Trust Center har vi en rekke dokumenter som besvarer ofte stilte spørsmål relatert til sikkerhet. Som vedlegg til denne artikkelen finner du som eksempel et sammendrag for Visma.net Payroll, og et eksempel på en "Security Assessment".

 

Den siste tiden er det spesielt 3 spørsmål som har gått igjen flere ganger, og som kort besvares her.

 

1. AWS datasenter - er det trygt?

Spørsmålet har blitt aktualisert fordi vi nå flytter Visma.net Expense til AWS (Amazon) sitt datasenter i Irland, og fordi mange kunder nå flytter fra Visma Lønn/Huldt & Lillevik til vårt skybaserte lønnssystem Visma.net Payroll. Visma har lenge benyttet AWS både til Visma.net Payroll, Visma.net ERP og andre skytjenester, så Expense er en av de siste som blir flyttet.

Visma har foretatt en grundig evaluering og risikoanalyse av AWS. Denne er på forespørsel tilgjengelig for kunder. AWS har også sitt eget "Trust Center" med omfattende dokumentasjon av sikringen av datasentre. Vår opplevelse er at vi med AWS kan tilfredsstille de mest krevende kundene sine krav til sikkerhet. Vi opplever også at evalueringsprosessen av denne delen av sikkerheten er langt enklere, da AWS har et velkjent nivå av sikkerhet.

 

2. AWS datasenter - er det lov med tanke på oppbevaringsplikten?

Spørsmålet om det er lov er knyttet til bokføringsloven krav til oppbevaring av oppbevaringspliktig materiale. Dette gjelder typisk data i et lønnssystem eller økonomisystem. Se utfyllende informasjon i denne artikkelen. Kort oppsummert så er hovedregelen at dataene skal oppbevares i Norge. Selv om Visma bruker datasentre utenfor Norge, så sørger vi for periodisk backup av data hjem til norsk datasenter. Dette er i tillegg til den standard backuptjenesten som leveres av AWS, hvor vi tar backup til ekstra fysisk AWS lokasjon. Visma benytter kun datasentre innenfor EU/EØS.

Noen har oppfattet forskriftene slik at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge, men det stemmer altså ikke, så lenge de også oppbevares i Norge. Mange venter forøverig på at denne utdaterte forskriften snart blir modernisert og tilpasset dagens realiteter, hvor fysisk lokasjon blir noe underordnet, iallefall innefor rammene av EU/EØS.

 

3. AWS datasenter - er det lov med tanke på overføringsgrunnlag av personopplysninger?

(Schrems II)

Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU/EØS. Spesielt USA har vært i fokus. Flere av de største datasentrene i verden er eiet av amerikanske selskaper, og USA har ikke de samme restriksjoner som vi har i Europa.  I forbindelse med en mye omtalt EU dom (Schrems II) har dette ytterligere tilspisset seg. Schrems II berører først og fremst de som skal overføre data til land utenfor EU/EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU/EØS. Stridens kjerne er dog allikevel den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene, siden de også eier datasentrene. Eller at amerikanske myndigheter pålegger de en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU/EØS. Enden på saken er at leverandøren (i vårt tilfelle Visma) må gjøre de nødvendige avtalemessige og tekniske tiltak for å redusere muligheten for at noe slik skal skje. Noen tolket Schrems II dommen dithen at en bedrift ikke kunne benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon. I så fall ville store deler av Europa ganske enkelt stoppet å fungere.

 

Visma sin juridiske avdeling har satt seg svært godt inn disse problemstillingene, og detaljert analyse er tilgjengelig på forespørsel. En mer overordnet forklaring finnes også på Visma Trust Center i avsnittet (Schrems 2 Verdict).

 

Oppsummert så har Visma sikret seg både via avtaleverk med våre underleverandører og med de nødvendige tekniske tilak for at data ikke skal kunne overføres til land utenfor EU/EØS. I praksis er det kun kunden og Visma som har tilgang til disse dataene. Kunden har tilgang via applikasjonen. Visma har tilgang via dedikert personell, med spesielle privilegier. Det er kun Visma som har passord til databasene, og skytjenester med persondata har kryptering både i trasport og lagring. Det er kun Visma som har tilgang til disse krypteringsnøklene.

 

Vil du vite mer om hvordan Visma jobber med sikkerhet så ta en kikk på allerede omtalte Visma Trust Center, og du vil få svar på mange spørsmål. 

 

Har du ytterligere spørsmål så kommenter gjerne på denne artikkelen, eller ta kontakt med meg på stian.j.estil@visma.com

5 Kommentarer
Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"