Søk
Mine områder
Hjelp

Sikkerhet i Visma.net Payroll og Visma.net ERP - ofte stilte spørsmål med mer

‎14-05-2021 13:25
av Stian Estil (Oppdatert ‎18-05-2021 07:19 ( )

Sikkerhet i skytjenester er et svært aktuelt tema. Trusselbildet i vår IT hverdag, både for privatpersoner og bedrifter, er økende, og med stadig nye trusler. I motsetning til lokalt installert programvare, hvor din bedrift selv er ansvarlig for store deler av sikkerheten, så er det for skytjenester leverandøren som er ansvarlig for det meste av sikkerheten, samt det å etterleve lokale og internasjonale krav, lover og forskrifter. Visma tar dette svært alvorlig, og har gjennom flere år bygget opp et svært solid rammeverk for å levere sikre skytjenester. 

 

I denne artikkelen brukes for enkelhets skyld ordet "sikkerhet" som en samlebetegnelse for IT sikkerhet, personvern og det å etterleve lover og forskrifter.

 

Sikkerhet dekker som eksempel følgende områder:

 

  • Alle forhold relatert til selve organisasjonen
    • PC'er, mobiler, nettverk, interne IT systemer, personale,  bygninger
  • Alle forhold relatert til utvikling, testing og drift av skytjenester
    • Utviklingsmetodikk, risikoanalyse, automatisert og manuell testing, tilganger, kryptering, håndtering av oppdateringer og feilretting, sikkerhetskopi, kriseberedskap, overvåking, katastrofe vern, fysisk sikkerhet og tilgangsnivåer for å nevnte noe.
  • Alle forhold relatert til kundens data
    • Persondata og etterlevelse av GDPR
    • Etterlevelse til relevante nasjonale forskrifter og lover
  • Relevante sertifiseringer og sertifikater og rapporter (ISO, GDPR, ISAE 3402 mm)

 

Innføringen av GDPR har satt ytterligere fokus på sikkerhet, og enhver bedrift har et visst ansvar for å sikre at de skytjenester de benytter oppfyller visse krav. Dette gjelder spesielt skytjenester som behandler persondata, som eksempel et lønnssystem.

 

Mange norske bedrifter har ikke spesialkompetanse innen IT - sikkerhet, og det kan derfor være vanskelig å gjøre en reell risikovurdering. Vi opplever at mange kunder ikke stiller noen kritiske spørsmål i det hele tatt, og stoler på at Visma har kontroll på dette. Noen bedrifter, ofte  større norske selskaper og utenlandske konsern, med datterselskaper i Norge, har en helt annen tilnærming. De har ofte dedikerte ressurser som har som oppgave og foreta en risikoanalyse av leverandøren og de aktuelle produkter/tjenester. Dette gjøres ofte via en "Security Assessment", som i praksis er en rekke spørsmål relatert til sikkerhet. En slik evaluering gjøres gjerne i form av en rekke spørsmål, alt fra 50 til 1000. Det finnes også noen standardiserte evalueringssjemaer som eksempel CAIQ. Denne består av ca. 300 spørsmål, og er først og fremst en ja/nei besvarelse, men gir et godt bilde av typiske spørsmål som stilles av profesjonelle ressurser. Visma kan på forespørsel besvare slike skjemaer på vegne av kunder, men da som et betalt forprosjekt. Utover det tilgjengeliggjør vi mest mulig dokumentasjon for at kunden selv kan fylle ut sine evalueringer. 

 

For å kvalitet sikre egne prosesser og prosedyrer relatet til sikkerhet har Visma gjennomført flere  ISO sertifiseringer. I denne sammenheng er ISO 27001 sertifiseringen mest relevant. Både intern IT og Visma sin egen utviklingsprosess, VCDM (Visma Cloud Delivery Model) har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402 rapport årlig for intern IT. En tilsvarende rapport for VCDM er forventet klar i 4 kvartal 2021. 

For mange kunder er dette et kvalitetsstempel som gir den nødvendige trygghet relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.

 

Visma ser en forpliktelse ovenfor våre kunder i forhold til å være transparente med hvordan vi jobber med sikkerhet. Vi har derfor laget Visma Trust Center, som nå i mai har blitt relansert med ny struktur og nytt innhold.  Visma Trust Center besvarer mange av de spørsmålene som våre kunder har. I tillegg til Visma Trust Center har vi en rekke dokumenter som besvarer ofte stilte spørsmål relatert til sikkerhet. Som vedlegg til denne artikkelen finner du som eksempel et sammendrag for Visma.net Payroll, og et eksempel på en "Security Assessment".

 

Den siste tiden er det spesielt 3 spørsmål som har gått igjen flere ganger, og som kort besvares her.

 

1. AWS datasenter - er det trygt?

Spørsmålet har blitt aktualisert fordi vi nå flytter Visma.net Expense til AWS (Amazon) sitt datasenter i Irland, og fordi mange kunder nå flytter fra Visma Lønn/Huldt & Lillevik til vårt skybaserte lønnssystem Visma.net Payroll. Visma har lenge benyttet AWS både til Visma.net Payroll, Visma.net ERP og andre skytjenester, så Expense er en av de siste som blir flyttet.

Visma har foretatt en grundig evaluering og risikoanalyse av AWS. Denne er på forespørsel tilgjengelig for kunder. AWS har også sitt eget "Trust Center" med omfattende dokumentasjon av sikringen av datasentre. Vår opplevelse er at vi med AWS kan tilfredsstille de mest krevende kundene sine krav til sikkerhet. Vi opplever også at evalueringsprosessen av denne delen av sikkerheten er langt enklere, da AWS har et velkjent nivå av sikkerhet.

 

2. AWS datasenter - er det lov med tanke på oppbevaringsplikten?

Spørsmålet om det er lov er knyttet til bokføringsloven krav til oppbevaring av oppbevaringspliktig materiale. Dette gjelder typisk data i et lønnssystem eller økonomisystem. Se utfyllende informasjon i denne artikkelen. Kort oppsummert så er hovedregelen at dataene skal oppbevares i Norge. Selv om Visma bruker datasentre utenfor Norge, så sørger vi for periodisk backup av data hjem til norsk datasenter. Dette er i tillegg til den standard backuptjenesten som leveres av AWS, hvor vi tar backup til ekstra fysisk AWS lokasjon. Visma benytter kun datasentre innenfor EU/EØS.

Noen har oppfattet forskriftene slik at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge, men det stemmer altså ikke, så lenge de også oppbevares i Norge. Mange venter forøverig på at denne utdaterte forskriften snart blir modernisert og tilpasset dagens realiteter, hvor fysisk lokasjon blir noe underordnet, iallefall innefor rammene av EU/EØS.

 

3. AWS datasenter - er det lov med tanke på overføringsgrunnlag av personopplysninger?

(Schrems II)

Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU/EØS. Spesielt USA har vært i fokus. Flere av de største datasentrene i verden er eiet av amerikanske selskaper, og USA har ikke de samme restriksjoner som vi har i Europa.  I forbindelse med en mye omtalt EU dom (Schrems II) har dette ytterligere tilspisset seg. Schrems II berører først og fremst de som skal overføre data til land utenfor EU/EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU/EØS. Stridens kjerne er dog allikevel den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene, siden de også eier datasentrene. Eller at amerikanske myndigheter pålegger de en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU/EØS. Enden på saken er at leverandøren (i vårt tilfelle Visma) må gjøre de nødvendige avtalemessige og tekniske tiltak for å redusere muligheten for at noe slik skal skje. Noen tolket Schrems II dommen dithen at en bedrift ikke kunne benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon. I så fall ville store deler av Europa ganske enkelt stoppet å fungere.

 

Visma sin juridiske avdeling har satt seg svært godt inn disse problemstillingene, og detaljert analyse er tilgjengelig på forespørsel. En mer overordnet forklaring finnes også på Visma Trust Center i avsnittet (Schrems 2 Verdict).

 

Oppsummert så har Visma sikret seg både via avtaleverk med våre underleverandører og med de nødvendige tekniske tilak for at data ikke skal kunne overføres til land utenfor EU/EØS. I praksis er det kun kunden og Visma som har tilgang til disse dataene. Kunden har tilgang via applikasjonen. Visma har tilgang via dedikert personell, med spesielle privilegier. Det er kun Visma som har passord til databasene, og skytjenester med persondata har kryptering både i trasport og lagring. Det er kun Visma som har tilgang til disse krypteringsnøklene.

 

Vil du vite mer om hvordan Visma jobber med sikkerhet så ta en kikk på allerede omtalte Visma Trust Center, og du vil få svar på mange spørsmål. 

 

Har du ytterligere spørsmål så kommenter gjerne på denne artikkelen, eller ta kontakt med meg på stian.j.estil@visma.com

Forhåndsvis fil
149 KB
Forhåndsvis fil
167 KB
Kategorier:
5 Kommentarer
Stian Estil
VISMA
VISMA
‎22-05-2021 09:26
av Stian Estil

En annen aktør som etter nøye vurderinger har valgt AWS som sitt datasenter er det Norske Oljefondet. Leg mer i denne artikkelen fra Digital Norge.

Anonymous
Ikke relevant
‎04-11-2021 09:30
av Anonymous

Hei Stian.

 

Ette henvendelse til vår partner som har vært i kontakt med dere/Visma utarbeides det ikke en ISAE 3402 som dekker Visma.net. Stemmer det?

0 Liker
Stian Estil
VISMA
VISMA
‎04-11-2021 10:16
av Stian Estil

Hei, det stemmer ikke. Det kommer jo litt an på når de spurte for det stemte i fjor:-), men vi har i hele 2021 jobbet med dette sammen med konsulentselskapet Deloitte (som uavhengig 3part). Denne rapporten er klar nå i november. Det er en ISAE 3402 SOC 1, type 1. Nå når den er klar starter vi arbeidet med en tilsvarende rapport, men type 2. Forskjellen på type 1 og type 2, er at type 1 er en "snapshot" i tid, mens type 2 er over en lengre perioder (typisk 12 mnd). Fra før har vi ISAE 3402 SOC 1, type 2 for intern IT, samt tilsvarende rapport for datasenter (AWS). For datasenter så finnes det også en rekke andre rapporter, feks ISAE 3402 SOC 2. 

Anonymous
Ikke relevant
‎04-11-2021 10:27
av Anonymous

Hei,

 

Veldig bra. Det ble spurt i går- videresender mailen.

 

Antar alle kunder vil få tilgang til denne "vederlagsfritt"?

0 Liker
Stian Estil
VISMA
VISMA
‎05-11-2021 08:57
av Stian Estil

Ja, kunder vil få tilgang kostnadsfritt. Hvis våre kunder selv skulle laget slike rapporter via 3part ville det kostet en kunde flere hundre tusen kroner og ofte mer (hvert år), samtidig som vi måtte bruke vesentlig med ressurser på vår side, som vi også måtte tatt betalt for på en eller annen måte. Med over 1 million kunder så blir det "NoGo". Så derfor vi gjør vi dette. Samtidig tillater vi heller ikke at kunder gjennomfører denne type revisjoner selv på standardiserte SaaS produkter, enkelt fordi vi ikke har avsatt ressurser til å gjøre det på kundenivå, og fordi leveransen er lik for alle kunder.

Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"

Nyttige sider

Informasjon om cookies

Ofte stilte spørsmål

Personvernerklæring

Retningslinjer for Visma Community

Vilkår og betingelser

Våre løsninger

ISO-sertifiseringer

Kontakt oss

Om Visma

Våre produkter og løsninger

Følg oss

Facebook

LinkedIn

Twitter

Visma-bloggen

Youtube

Visma

Karenlyst allé 56

0277 Oslo, Norge

Email: kundesenteret@visma.com

Copyright © 2022 Visma.com. All rights reserved.

Choose your region:
Choose your Region
Go