Hur Visma skyddar din information

Visma Spcs har erbjudit internetlösningar sedan 2007 och har under åren byggt upp processer, metoder och tekniker för att kunna möta våra kunders behov av säkerhet, sekretess och tillgänglighet.

Hotbilden förändras ständigt och säkerhetstänkandet är därför en naturlig del i vår utvecklingsprocess och vi strävar alltid efter att bli ännu bättre.

Av många skäl kan vi inte i detalj avslöja allt om vårt säkerhetsarbete, men här är några exempel på hur vi jobbar för att du som kund ska kunna känna dig trygg. 

Hur ser vi till att våra medarbetare hanterar din kundinformation på ett säkert sätt?

  • All vår personal omfattas av sekretessavtal.
  • Vår personal har tillgång till endast de system och funktioner som deras arbetsuppgifter kräver.
  • Åtkomst till din lagrade information är begränsad till ett fåtal personer inom drift och teknisk support. Övrig supportpersonal kan bara se din information när du aktivt godkänt det, exempelvis via en supportinloggning.
  • Vi följer lagen om lagring av räkenskapsinformation

Hur ser vi till att dina tjänster är igång och fungerar?

  • Säkerhetskopiering sker flera gånger dagligen och kopior lagras geografiskt skilt från driftmiljön.
  • Redundanta (minst två av varandra oberoende) anslutningar till datahall. Vid ett avbrott växlas anslutningen automatiskt till en fungerande, oftast utan att tjänsten påverkas.
  • Redundanta (minst två av varandra oberoende) nätverks- och serverutrustningar. Vid ett fel växlas anslutningen automatiskt till en fungerande utrustning, oftast utan att tjänsten påverkas.

Hur skyddar och övervakar vi datatrafiken?

  • Automatiska system för att upptäcka, motverka och förebygga intrång och missbruk.
  • Anycastnätverk för DNS-tjänster.

Hur skyddar vi din information mot nätattacker?

  • Vi genomför säkerhetsgranskningar och penetrationstester med både interna och externa experter.
  • Lösenord lagras aldrig i klartext utan är alltid hashade och saltade. Det betyder att inte ens vi kan ta reda på ditt lösenord. Förlorar du ditt lösenord, måste du generera ett nytt.
  • Tjänsterna kommunicerar via en krypterad anslutning.
  • Tjänsterna är testade för att klara vanligt förekommande attacker som till exempel SQLi, XSS, CSRF, session hijacking med flera.

Hur skyddar vi informationen fysiskt?

  • Låst och larmad datahall enligt skyddsklass 2.
  • Videoövervakning och spårbarhet vid tillträde till lokalerna.
  • Redundant klimatanläggning med miljöövervakning av gas, fukt, värme, vatten.
  • Brandlarm med automatisk släckutrustning.
  • Avbrottsfri strömförsörjning som regelbundet provkörs med fingerade elavbrott.
  • Vissa av våra tjänster använder Microsoft Azure och dess datacenter i norra Europa för lagring av information. Dessa datacenter körs dygnet runt och säkerställer på olika sätt driften genom att skydda mot strömavbrott, fysiskt intrång och avbrott i nätverket. De här datacentren följer gällande branschstandarder avseende fysisk säkerhet och tillförlitlighet, exempelvis ISO/IEC 27001:2005.
    Informationen överförs och sparas i Sverige för att följa lagen om lagring av räkenskapsinformation.

  • Vissa av våra tjänster levereras via ett nätverk med globala datacenter som körs dygnet runt och som på olika sätt säkerställer driften genom att skydda mot strömavbrott, fysiskt intrång och avbrott i nätverket. De här datacentren följer gällande branschstandarder avseende fysisk säkerhet och tillförlitlighet, exempelvis ISO/IEC 27001:2005.

Vilka garantier och villkor lämnar vi?

Ordlista

Redundans
En metod för att öka tillförlitligheten genom att låta två eller flera instanser (exempelvis nätverk eller hårdvara) arbeta parallellt med samma uppgifter och spegla varandra. Om en av dem havererar så tar den andra över.

Anycastnätverk
En branschstandard för att adressera namnmatchningstrafik (DNS) över internet så att man ger servrar högsta möjliga tillgänglighet över hela världen och som dessutom motverkar nätattacker.

Penetrationstester
Ett sätt att försöka hitta och forcera det egna systemets säkerhetshål.

Hashning
En hashfunktion är en algoritm eller matematisk funktion som gör om exempelvis ett lösenord till ett slags fingeravtryck som inte kan dekrypteras.

Saltning
En metod för att försvåra hackning med hjälp av ordlistor genom att lägga till information före eller efter det hashade lösenordet.

SQLi
SQL injection är ett sätt att utnyttja säkerhetsproblem i applikationer som arbetar mot en databas. Det går ut på att man ställer en databasfråga direkt mot databasen för att på detta sätt kringgå inloggningssystem och manipulera data.

XSS
Cross-site scripting. En metod som handlar om att bädda in kod i en sajts indata och på så sätt ändra sidans funktionalitet eller utseende.

CSRF
Cross-Site Request Forgery. Går ut på att en angripare kan få din webbapplikation att utföra funktioner som om det var en inloggad användare som startade funktionen.

Session hijacking
En metod som bygger på att en angripare stjäl en inloggad användares öppna förbindelse med en applikation och på så sätt kan utföra kommandon i dennes ställe.

 

Läs mer: https://www.visma.com/trust-centre/