Tietoturva ja tietosuoja ovat Visman tärkeimpiä prioriteetteja. Liiketoimintamme perustuu siihen, että asiakkaamme voivat luottaa meihin. Varmistamme kaikin mahdollisin keinoin, että asiakkaidemme käyttämät järjestelmät toimivat luotettavasti ja turvallisesti.
Visma Sign-palvelun turvallisuuteen on panostettu vahvasti palvelun syntyhetkistä lähtien. Tietoturva on ollut yksi palvelun lähtökohdista mukaan lukien dokumenttien säilyttäminen salattuna palvelimillamme sekä itse allekirjoittamiseen käytettävien vahvojen tunnisteiden käyttö.
Monet asiakkaamme käyttävät Visma Signia oman organisaationsa suojaamiseen käyttämällä esimerkiksi Formsin lomakkeita asiakkaiden KYC-prosesseihin tai vaikka tunnistaakseen heille lähetettävien GDPR:n mukaisten tietopyyntöjen lähettävät henkilöt.
Visma Application Security Program
Lainvoimaisuus
Fyysinen turvallisuus
Pilvipalvelun turvallisuus
Järjestelmän turvallisuus
Turvalliset yhteydet
Asiakirjojen tietoturva
Toiminnan jatkuvuus
Henkilöstön luotettavuus
Turvalliset kumppanit
Käyttäjien tunnistaminen
Tietojen poisto
Ongelmien ratkaisu
Visma Sign on mukana Visma Application Security Programissa. Se on erityisesti pilvipalveluille suunniteltu tietoturvan seuranta- ja arviointiohjelma, jossa tietoturvaa analysoidaan monesta eri näkökulmasta. Jokaisella tuotteella on VASP:ssa oma tavoitetaso ja reaaliaikainen arvio tämän hetken tietoturvan tasosta.
Ohjelma on suunniteltu käyttäen alan parhaita käytäntöjä ja yleisiä tietoturvaohjelmia.
Visma Sign -palvelu perustuu eIDAS PAdES standardeihin ja Suomen lakiin sähköisestä allekirjoituksesta. Täten Visma Signilla allekirjoittaa lainvoimaisesti Aes ja SeS -tasolla jokaisessa EU-maassa.
Lue lisää: Sähköisen allekirjoituksen lainvoimaisuus Suomessa
Visma Sign noudattaa myös EU:n yleistä tietosuoja-asetusta (GDPR).
Visma Sign ostaa konesalipalvelun palveluntarjoajilta. Visma Signiin tallennetut dokumentit sijaitsevat fyysisesti Suomessa.
Teemme paljon yhteistyötä konesalipalveluntarjoajien kanssa, jotta Visma Signiin tallennettu tieto pysyy turvassa mahdollisista poikkeusoloista huolimatta.
Visma Signin pilvipalvelualustaa isännöi kumppanimme, ja noudatamme turvavalvonnan ja prosessien osalta alan parhaita käytäntöjä.
Kaikki Visma Signiin ladatut uudet asiakirjat ja tiedot ovat salattuja siirtojen ja säilytyksen aikana.
Visma Signin tuotekehitys työskentelee jatkuvasti ohjelmiston kehityksen parissa. Olemme automatisoineet tietoturvatarkistukset varmistaaksemme, että uusissa julkaisuissa ei ole tietoturva-aukkoja.
Visman oma turvallisuustiimi tekee Visma Signiin myös vuosittaisia turvallisuusauditointeja. He skannaavat palvelumme eri työkaluilla ja suorittavat manuaalisen tietoturvatarkastuksen. Kaikista havainnoista ilmoitetaan tuotekehitykselle ja ongelmat ratkaistaan välittömästi.
Viestintä eri palvelinten välillä on aina salattu, eli tiedot ovat turvassa aina niiden liikkuessa. Tiettyjen mikropalveluiden kanssa käytämme lisäksi VPN tunnelia.
Tiedot lähetetään ja vastaanotetaan verkkojen kautta yksinomaan suojattujen yhteyksien kautta, esimerkiksi HTTPS-, SSH- tai muita suojattuja protokollia käyttäen. Tämä koskee sekä palvelinten välistä viestintää Visma Signin sisällä että Visma Signiin sisään- tai ulosvirtaavaa dataa, kun sitä käytetään Visma Signin käyttöliittymän ja REST API -rajapinnan kautta.
Organisaation pääkäyttäjä voi määritellä, mitä yksittäiset käyttäjät voivat nähdä järjestelmässä. Tavalliset käyttäjät pääsevät näkemään vain niiden arkistokansioiden sisältöä, joihin heillä on käyttöoikeus.
Yksittäisten dokumenttien sisältö salataan käyttäen useita eri salausmenetelmiä.
Olemme varautuneet monenlaisiin mahdollisiin ongelmatilanteisiin ja näiden osalta palvelun jatkuvuus on taattu erilaisilla teknisillä ratkaisuilla. Lisäksi teemme tiivistä yhteistyötä konesalipalveluntarjoajiemme kanssa, jotta voimme minimoida kaikenlaisten ongelmatilanteiden vaikutuksen palvelumme käyttäjiin.
Visma Signissa on automaattisia hälytyksiä, jotka varoittavat tuotantotiimiä, jos palvelussa on ongelmia tai palveluun ei saada yhteyttä. Tiimi reagoi näihin ongelmiin mahdollisimman pian.
Vismassa tehdään kaikille työntekijöille työnkuvaan ja vaatimuksiin soveltuvat taustatarkastukset.
Kaikkien työntekijöiden työsopimuksissa on salassapitoehdot. Kaikki uudet työntekijät koulutetaan ennen kuin he pääsevät tuotantoympäristöihin. Kaikki Visman työntekijät ja konsultit käyvät vuosittain pakolliset tietoturva- ja yksityisyydensuojakoulutukset.
Tarvitsemme luonnollisesti kumppaneita pystyäksemme tuottamaan kaikki tarvittavat palvelut asiakkaillemme. Käytämme apunamme lukuisia luotettavia, kotimaisia ja ulkomaisia alihankkijoita ja yhteistyökumppaneita. Alihankkijoihin kuuluvat mm. konesalipalveluntarjoajat.
Visman alihankkijat käyvät läpi Visman oman Vendor Management-prosessin, jossa tarkastellaan mm. kyseisen yrityksen valmiuksia suoriutua velvollisuuksistaan tietoturvan ja tietosuojan osalta.
Visma Signiin kirjaudutaan aina vahvasti tunnistautumalla. Vahva eli kaksivaiheinen tunnistautuminen on juridisesti sitova tapa allekirjoittaa mitä tahansa dokumentteja.
Vahvassa tunnistautumisessa käytetään esimerkiksi pankkien myöntämiä verkkopankkitunnuksia tai puhelimen SIM-kortissa olevaa mobiilivarmennetta. Myös kansalaisvarmenteen sisältävällä henkilökortilla on mahdollista tunnistautua vahvasti. Visma Signin digitaalisessa arkistossa organisaation pääkäyttäjä voi määritellä kansiorakenteet ja käyttäjäoikeudet käyttötarpeiden mukaan.
Visma Signissa jokainen dokumentti ja allekirjoitus voidaan jäljittää. Tarkistuslokin avulla allekirjoitetun asiakirjan alkuperäisyys ja eheys ovat kiistattomasti jälkikäteen todistettavissa.
Audit trailista kutsun lähettäjä näkee dokumenttiin liittyvät keskeiset tiedot; allekirjoittajien ip-osoitteet sekä allekirjoitustapahtumien aikaleimat. Visma Signissa allekirjoitukset yhdistetään asiakirjaan ja asiakirjan jokainen sivu leimataan audit trailin tiedoilla sekä asiakirjan uniikilla tunnisteella. Tämä tunniste mahdollistaa dokumentin varmentamisen jälkikäteen.
Lue aiheesta lisää: Sähköisen allekirjoituksen turvallisuus – digitaalinen jalanjälki ei valehtele
Visma Sign noudattaa toiminnassaan voimassa olevaa tietosuojalainsäädäntöä. Asiakkaamme lopettaessa palvelun käytön hän voi ladata palveluun tallennetut sopimukset itselleen. Visma Signiin tallennetut tiedot poistetaan Visma Signin palveluehtojen mukaisesti palvelusta.
Noudatamme Visman tietojen poistokäytäntöä – Visma data deletion policy.
Vismalla on organisaatiotasoinen toimintamalli erilaisten tietoturvatapahtumien hallintaan. Visma Product Security Team auttaa Visma Signin tietoturvatiimiä mahdollisten tietoturva- tai tietosuojarikkomusten ratkaisemisessa.
