Informationssäkerhet och dataskydd har extremt hög prioritet hos Visma. Vår affärsverksamhet grundar sig på att våra kunder kan lita på oss. Vi gör allt vi kan för att systemen som våra kunder använder ska fungera tillförlitligt och säkert.
Vi har satsat kraftigt på Visma Sign-tjänstens säkerhet ända sedan tjänsten startades. Informationssäkerheten, där också lagringen av dokument i krypterat format på våra servrar och användningen av starka autentiseringskoder för själva signaturerna ingår, har varit en av utgångspunkterna för tjänsten.
Många av våra kunder använder Visma Sign för att skydda sin egen organisation genom att till exempel använda Forms blanketter för kundernas KYC-processer eller exempelvis för att identifiera personer som skickar dem begäranden om uppgifter enligt GDPR.
Läs mer om de olika delområden för säkerhet nedan:
Visma Application Security Program
Lagenlighet och GDPR
Fysisk säkerhet
Molntjänstens säkerhet
Systemets säkerther
Säkra förbindelser
Dokumentens datasäkerhet
Kontinuitet
Personalens tillförlitlighet
Trygga partners
Identifiering av användare
Radering av data
Problemlösning
Visma Sign ingår i Visma Application Security Program. Detta är ett uppföljnings- och utvärderingsprogram som är speciellt avsedd för molntjänster och där informationssäkerheten analyseras ur flera olika perspektiv. Varje program har en egen målnivå i VASP och den aktuella informationssäkerheten uppskattas i realtid.
Programmet har designats utifrån bästa praxis och med hjälp av vanliga informationssäkerhetsprogram.
Visma Sign-tjänsten grundar sig på enligt PAdES-standarden enligt eIDAS-förordningen och den svenska lagen om elektroniska signaturer.
Läs mer om: Elektronisk signering i den svenska lagen
Visma Sign följer EU:s allmänna dataskyddsförordning GDPR.
Visma Sign köper datacentertjänsten av serviceleverantörer. Dokumenten som lagras i Visma Sign är fysiskt placerade i Finland.
Vi har ett omfattande samarbete med leverantörerna av datacenter-tjänsten för att säkerställa att data som sparats i Visma Sign är säker trots eventuella undantagsförhållanden.
Molnleverantören för Visma Signs är vår partner och vi följer branschnormerna i fråga om säkerhetsövervakningen och processerna.
Alla nya dokument och data som laddas upp i Visma Sign är krypterade under överföringen och lagringen.
Visma Signs produktutveckling arbetar ständigt med att utveckla programvaran. Vi har
automatiserat informationssäkerhetskontrollerna för att säkerställa att det inte finns några luckor i informationssäkerheten i nya versioner.
Vismas eget säkerhetsteam gör även årliga säkerhetsauditeringar av Visma Sign. De skannar tjänsten med olika verktyg och utför en manuell kontroll av informationssäkerheten.
Alla iakttagelser rapporteras till produktutvecklingen och problem åtgärdas omedelbart.
Kommunikationen mellan servrar är alltid krypterad, med andra ord är data alltid skyddade vid överföring. Med vissa mikrotjänster använder vi dessutom en VPN-tunnel.
Data skickas och mottas över nätverk enbart via krypterade förbindelser, till exempel med HTTPS- eller SSH-protokoll eller andra krypterade protokoll. Detta gäller både Visma Signs interna kommunikation mellan servrar och data som flödar in i och ut ur Visma Sign, när de används via Visma Signs användargränssnitt och REST API-gränssnittet.
Organisationens administratör kan definiera vad enskilda användare kan se i systemet. För vanliga användare visas endast innehållet i de arkivmappar som de har åtkomstbehörighet till.
Innehållet i enskilda dokument krypteras med flera olika krypteringsmetoder.
Vi har förberett oss på många olika typer av problem och säkerställt tjänstens kontinuitet vid problem med hjälp av olika tekniska lösningar. Vi har dessutom ett nära samarbete med våra leverantörer av datacentertjänster för att kunna minimera effekterna av alla slags problematiska situationer på tjänstens användare.
Visma Sign har automatiska larm som varnar produktionsteamet om det förekommer problem i tjänsten eller om tjänsten inte kan kontaktas. Teamet reagerar på dessa problem som fort som möjligt.
Visma utför lämpliga bakgrundskontroller av alla anställda enligt deras uppgiftsbeskrivning.
Alla anställningsavtal innehåller sekretessvillkor. Alla nya anställda utbildas innan de får tillträde till produktionsmiljöerna. Vismas alla anställda och konsulter avlägger årliga utbildningar om informationssäkerhet och integritetsskydd.
Vi behöver naturligtvis partner för att kunna producera alla tjänster som behövs för våra kunder. Vi anlitar ett flertal tillförlitliga, inhemska och utländska underleverantörer och samarbetspartner. Bland underleverantörerna finns bland annat leverantörerna av datacentertjänsten.
Vismas underleverantörer genomgår Vismas egen Vendor Management-process där man bland annat granskar det ifrågavarande företagets förmåga att fullgöra sina skyldigheter vad gäller informationssäkerhet och dataskydd.
Inloggning i Visma Sign sker alltid med stark autentisering. Stark autentisering eller tvåfaktorsautentisering är ett juridiskt bindande sätt att signera alla slags dokument.
Vid stark autentisering används till exempel webbankskoder som bankerna beviljar eller ett mobilcertifikat som finns i telefonens SIM-kort. Stark autentisering kan även göras med ett identitetskort med medborgarcertifikat. I Visma Signs digitala arkiv kan administratören definiera mappstrukturer och användarbehörigheter enligt behoven.
Audit trail
I Visma Sign kan alla dokument och underskrifter spåras. Med hjälp av kontrolloggen kan det i efterhand obestridligen bevisas att ett dokumentet är äkta och intakt.
I audit trail ser avsändaren av inbjudan de centrala uppgifterna om dokumentet; signerarnas IP-adresser samt tidsstämplarna för signeringshändelser. I Visma Sign kopplas signaturerna till dokumentet och varje sida i dokumentet stämplas med uppgifterna från audit trail och dokumentets unika kod. Denna kod gör det möjligt att verifiera dokumentet i efterhand.
Lue mer:Säkerheten av digitala signaturer – det digitala fotspåret ljuger inte
Visma Sign följer den gällande dataskyddslagstiftningen i sin verksamhet. När en kund slutar använda tjänsten kan hen hämta avtalen som sparats i tjänsten och spara dem på sin egen enhet. Uppgifterna som lagrats i Visma Sign raderas från tjänsten enligt Visma Signs servicevillkor.
Vi följer Vismas praxis för radering av uppgifter – Visma data deletion policy.
Visma har en verksamhetsmodell på organisationsnivå för hantering av olika slags informationssäkerhetsincidenter. Visma Product Security Team hjälper Visma Signs informationssäkerhetsteam att lösa eventuella överträdelser av informationssäkerheten eller dataskyddet.