Informasjonssikkerhet for Veilederen

Systematisk kvalitetsarbeid

For å sikre en strukturert håndtering av sikkerhetsspørsmål gjennomføres følgende tiltak:

• Ledelsen og eksperter samles regelmessig i møter med Visma Security for å jobbe strategisk med sikkerhet.
• Veilederen er en del av Visma Application Security Program (VASP) på gull nivå, som er Vismas nest høyeste sikkerhetsnivå. Programmet inneholder prosedyrer og sjekklister som regelmessig gjennomgås. I tillegg testes og kvalitetssikres applikasjonen regelmessig av eksperter innen området. For mer informasjon om Visma Application Security Program, les her
• En dedikert intern gruppe er ansvarlig for IT-sikkerhet og GDPR, noe som inkluderer å utrede hendelser og proaktivt gjennomgå virksomheten for stadige forbedringer.
• Tydelige roller og ansvarsområder er definert for personvern og informasjonssikkerhet.
• Visma Smartskill AS stiller krav til våre leverandører gjennom avtaler som regulerer taushetsplikt, hendelseshåndtering og opplæring.
• Det finnes etablerte rutiner for risikoanalyse, hendelsesrapportering og sikker håndtering av IT-utstyr.
• Vi har regler for fjernarbeid, og gir løpende opplæring til ansatte i sikkerhet og GDPR.
• Rutiner for sletting og taushetserklæringer er på plass for både ansatte og konsulenter.

Underleverandører

Visma Smartskill AS benytter underleverandører for drift og deler av utviklingen. Vi inngår nødvendige databehandleravtaler og taushetserklæringer med disse partene. En oppdatert fortegnelse over underleverandører er tilgjengelig via Visma Trust Centre.

Driftsmiljø

Vår leveranse bygger på en skybasert løsning fra Azure Public Cloud med hosting innenfor EU/EØS.

• Pålogging: Veilederen bruker Visma Connect som OAuth SSO.
• Skytjenester: Veilederen driftes i skyen. Her skjer både kodeeksekvering og datalagring innenfor EU/EØS, med sikkerhetskopier som sikkerhetstiltak.
• Sikkerhetskopiering: Gjenoppretting på tidspunktet for de siste 21 dagene (kan gjenopprette databasen fra et gitt tidspunkt innenfor en 10-minuttersperiode i løpet av de siste 21 dagene). Ukentlige sikkerhetskopier lagres i 5 uker. Månedlige sikkerhetskopier lagres i 11 måneder. Årlige sikkerhetskopier lagres i 2 år.

Produktsikkerhet

Uavhengig av driftsmiljø gjelder strenge sikkerhetsprinsipper for våre produkter:

• All kommunikasjon beskyttes med moderne krypteringsalgoritmer (HTTPS/TLS).
• Vi anvender rollebasert tilgangskontroll og tilbyr mulighet for tofaktorautentisering (2FA).
• Utviklingen følger Visma Application Security Program (VASP), og vi gjennomfører gjentatte penetrasjonstester.
• Kun autorisert personell med behov for tilgang i sine arbeidsoppgaver (f.eks. support og teknisk drift) har tilgang til kundedata.

Databehandling

Veilederen behandler ikke personopplysninger av særlige kategorier, eller som regnes som sensitive sett fra et integritets- eller sikkerhetsperspektiv.

Veilederen behandler en begrenset mengde informasjon og ingen informasjon av spesiell kategori (sensitiv karakter). Informasjon som behandles i løsningen er primært kursbevis og statistikk. Databehandleravtalen vi bruker er basert på en mal fra Visma.

Visma Smartskill AS følger reglene i personopplysningsloven/GDPR og Vismas interne rutiner for behandling av personopplysninger. Dette innebærer blant annet at alle ansatte har taushetsplikt når det gjelder personopplysninger som vi behandler på vegne av våre kunder. Alle ansatte gjennomgår også årlig opplæring i regelverket rundt behandling av personopplysninger. Personer med tilgang til personopplysninger er begrenset i antall og er autorisert personell i Visma Smartskill AS. Individets tilgang innvilges i henhold til prinsippet "Need to know".

Veilederen er en skytjeneste i Microsoft Azure Public Cloud. Applikasjonen er en del av Visma Application Security Program (VASP). Dette innebærer blant annet at løsningen regelmessig testes for angrep og inntrenging.

Ekte (uopprettelig) anonymisering ved oppsigelse av avtalen

Ved oppsigelse av avtalen for bruk av Veilederen anonymiseres personopplysninger relatert til kundens sluttbrukere og ansatte i løsningen innen 6 måneder etter at oppsigelsestiden har utløpt. Ekte (uopprettelig) anonymisering innebærer at personopplysninger behandles på en måte som gjør det teknisk umulig å identifisere personen som opplysningene opprinnelig gjaldt.

Pålogging og kontohåndtering

Visma Smartskill AS tilbyr rolleadministrasjon i sin løsning slik at kun utvalgte personer kan se, legge til, endre og slette data. Det er enkelt og intuitivt å håndtere rolletilgang og se hvem som har tilgang til hva.

Sikkerheten rundt pålogging inkluderer:

• Kontolåsning ved gjentatte mislykkede påloggingsforsøk.
• Mulighet for kunder til å skreddersy passordregler (lengde, spesialtegn) og tvinge bruk av 2FA via app.
• Sikker passordgjenoppretting via tidsbegrensede lenker som sendes via e-post.

Dataportabilitet

Data i Visma Smartskill AS sine løsninger tilhører kunden og kan eksporteres eller overføres til en annen behandlingsansvarlig.

Support og hendelseshåndtering

Vår supportorganisasjon arbeider på to nivåer (mer detaljer nedenfor):

1. Nivå 1: Supportspesialister som diagnostiserer, utbedrer eller eskalerer saker.
2. Nivå 2: Utviklere som håndterer mer komplekse problemer og endelige tiltak.

For å sikre kvalitet måles løpende parametere som responstider, utbedringstider og fornøydhet. Tjenestene har en garantert driftstilgjengelighet på 99,5 % i infrastrukturen, med en gjennomsnittlig tilgjengelighet for sluttbrukere på ca. 99 %.

Visma Smartskill AS bruker ressurser sentralt i morselskapet Visma for hendelseshåndtering. Nedenfor følger en mer detaljert beskrivelse av Vismas hendelseshåndtering:

Nivå 1. Mottatt melding:

Når Visma mottar en melding om en potensiell personvern- eller sikkerhetshendelse, kontaktes vårt sikkerhetsteam umiddelbart, og en hendelseskoordinator utnevnes. Hendelser kan rapporteres direkte fra våre kunder eller fra våre ansatte i Visma. For å sikre at vi handler raskt, får ansatte opplæring i hvordan man gjenkjenner en hendelse og hvordan man rapporterer den. Vi har en lav terskel for å initiere vår prosedyre for hendelseshåndtering. Hvis en kunde trenger å sende inn en rapport, kontaktes kundekontakten din, eller så sendes rapporten direkte til security@visma.com. Sikkerhetsteamet er tilgjengelig døgnet rundt.

Nivå 2. Vurder og løs hendelsen:

Et dedikert Incident Response Team etableres for å finne årsaken og løse hendelsen. Vårt team av cybersikkerhetseksperter har dyp teknisk ekspertise innen ulike områder og deltar i problemløsning ved behov, i tillegg til ekspertene på produktet som berøres av hendelsen. Sikkerhetsekspertene i vårt sikkerhetsteam håndterer den daglige sikkerhetsvirksomheten, inkludert eksperter på hendelseshåndtering. Teamet håndterer også våre sikkerhetssystemer og rammeverk, og gir opplæring og veiledning til våre produktteam i sikkerhetsrelaterte spørsmål. Visma Group Legal, inkludert den lokale personvernombudet (DPM), inngår alltid i teamet for personvernhendelseshåndtering for å sikre at risikoer vurderes og at korrekt kommunikasjon skjer. Interne og eksterne interessenter holdes informert gjennom hele denne prosessen.