Turvallisuus ja tietoturva ovat olennainen osa Visma Signia
Visma Sign -palvelun turvallisuuteen on panostettu vahvasti palvelun syntyhetkistä lähtien. Liiketoimintamme perustuu siihen, että asiakkaamme voivat luottaa meihin. Tietoturva on aina ollut yksi palvelun tärkeimmistä prioriteeteista – mukaan lukien dokumenttien säilyttäminen salattuna palvelimillamme sekä itse allekirjoittamiseen käytettävien vahvojen tunnisteiden käyttö.
Lue alta seuraavista tietoturva-alueista Visma Signissa:
Visma Application Security Program
Visma Sign on mukana Visma Application Security Program:ssa. Se on erityisesti pilvipalveluille suunniteltu tietoturvan seuranta- ja arviointiohjelma, jossa tietoturvaa analysoidaan monesta eri näkökulmasta. Jokaisella tuotteella on VASP:ssa oma tavoitetasonsa sekä reaaliaikainen arvio tämän hetken tietoturvan tasosta.
Ohjelma on suunniteltu käyttäen alan parhaita käytäntöjä ja yleisiä tietoturvaohjelmia.
Lainvoimaisuus ja GDPR
Visma Sign -palvelu perustuu eIDAS PAdES -standardeihin ja Suomen lakiin sähköisestä allekirjoituksesta. Täten Visma Signilla voi allekirjoittaa lainvoimaisesti Aes ja SeS-tasolla jokaisessa EU-maassa.
Visma Sign noudattaa myös EU:n yleistä tietosuoja-asetusta.
Turvallisuus ennen kaikkea – jokaisella osa-alueella
Visma Signin tuotekehitys työskentelee jatkuvasti ohjelmiston kehityksen ja turvallisuuden parissa, jatkuvassa yhteistyössä ulkoisten kumppaneiden kanssa.
Fyysinen turvallisuus
Visma Sign ostaa konesalipalvelun palveluntarjoajilta. Visma Signiin tallennetut dokumentit sijaitsevat fyysisesti Suomessa. Yhteistyössä konesalipalveluntarjoajien kanssa varmistamme, että Visma Signiin tallennettu tieto pysyy turvassa mahdollisista poikkeusoloista huolimatta.
Pilvipalvelun turvallisuus
Visma Signin pilvipalvelualustaa isännöi kumppanimme, ja noudatamme turvavalvonnan ja prosessien osalta alan parhaita käytäntöjä. Kaikki Visma Signiin ladatut uudet asiakirjat ja tiedot ovat salattuja niin siirtojen kuin säilytyksenkin aikana.
Järjestelmän turvallisuus
Visma Signin tuotekehitys työskentelee jatkuvasti ohjelmiston kehityksen parissa. Olemme automatisoineet tietoturvatarkistukset varmistaaksemme, että uusissa julkaisuissa ei ole tietoturva-aukkoja. Visman oma turvallisuustiimi tekee Visma Signiin myös vuosittaisia turvallisuusauditointeja. He skannaavat palvelumme eri työkaluilla ja suorittavat manuaalisen tietoturvatarkastuksen. Kaikista havainnoista ilmoitetaan tuotekehitykselle ja ongelmat ratkaistaan välittömästi.
Turvalliset yhteydet
Viestintä eri palvelinten välillä on aina salattu, eli tiedot ovat turvassa aina niiden liikkuessa. Tiettyjen mikropalveluiden kanssa käytämme lisäksi VPN-tunnelia.
Asiakirjojen tietoturva
Tiedot lähetetään ja vastaanotetaan verkkojen kautta yksinomaan suojattujen yhteyksien kautta, esimerkiksi HTTPS-, SSH- tai muita suojattuja protokollia käyttäen. Tämä koskee sekä palvelinten välistä viestintää Visma Signin sisällä että Visma Signiin sisään- tai ulosvirtaavaa dataa, kun sitä käytetään Visma Signin käyttöliittymän ja REST API -rajapinnan kautta.
Organisaation pääkäyttäjä voi määritellä, mitä yksittäiset käyttäjät voivat nähdä järjestelmässä. Tavalliset käyttäjät pääsevät näkemään vain niiden arkistokansioiden sisältöä, joihin heillä on käyttöoikeus. Yksittäisten dokumenttien sisältö salataan käyttäen useita eri salausmenetelmiä.
Turvallisuuden taustalla kansainvälisen Visma-konsernin standardit
Luotettava henkilöstö
Vismassa tehdään kaikille työntekijöille työnkuvaan ja vaatimuksiin soveltuvat taustatarkastukset.
Kaikkien työntekijöiden työsopimuksissa on salassapitoehdot ja uudet työntekijät koulutetaan ennen kuin he pääsevät tuotantoympäristöihin. Kaikki Visman työntekijät ja konsultit käyvät vuosittain pakolliset tietoturva- ja yksityisyydensuojakoulutukset.
Turvalliset kumppanit
Tarvitsemme luonnollisesti kumppaneita pystyäksemme tuottamaan kaikki tarvittavat palvelut asiakkaillemme. Käytämme apunamme lukuisia luotettavia, kotimaisia ja ulkomaisia alihankkijoita ja yhteistyökumppaneita. Alihankkijoihin kuuluvat mm. konesalipalveluntarjoajat.
Alihankkijamme käyvät läpi Visman oman Vendor Management -prosessin, jossa tarkastellaan mm. kyseisen yrityksen valmiuksia suoriutua velvollisuuksistaan tietoturvan ja tietosuojan osalta.
Toiminnan jatkuvuus
Olemme varautuneet monenlaisiin mahdollisiin ongelmatilanteisiin ja näiden osalta palvelun jatkuvuus on taattu erilaisilla teknisillä ratkaisuilla. Teemme tiivistä yhteistyötä konesalipalveluntarjoajiemme kanssa, jotta voimme minimoida kaikenlaisten ongelmatilanteiden vaikutuksen palvelumme käyttäjiin.
Visma Signissa on automaattisia hälytyksiä, jotka varoittavat tuotantotiimiä, jos palvelussa on ongelmia tai palveluun ei saada yhteyttä. Tiimi reagoi näihin ongelmiin mahdollisimman pian.
Käyttäjien tunnistaminen
Visma Signiin kirjaudutaan aina vahvasti tunnistautumalla. Vahva eli kaksivaiheinen tunnistautuminen on juridisesti sitova tapa allekirjoittaa mitä tahansa dokumentteja.
Vahvassa tunnistautumisessa käytetään esimerkiksi pankkien myöntämiä verkkopankkitunnuksia tai puhelimen SIM-kortissa olevaa mobiilivarmennetta. Myös kansalaisvarmenteen sisältävällä henkilökortilla on mahdollista tunnistautua vahvasti. Visma Signin digitaalisessa arkistossa organisaation pääkäyttäjä voi määritellä kansiorakenteet ja käyttäjäoikeudet käyttötarpeiden mukaan.
Audit trail
Visma Signissa jokainen dokumentti ja allekirjoitus voidaan jäljittää. Tarkistuslokin avulla allekirjoitetun asiakirjan alkuperäisyys ja eheys ovat kiistattomasti jälkikäteen todistettavissa.
Audit trailista kutsun lähettäjä näkee dokumenttiin liittyvät keskeiset tiedot; allekirjoittajien ip-osoitteet sekä allekirjoitustapahtumien aikaleimat. Visma Signissa allekirjoitukset yhdistetään asiakirjaan ja asiakirjan jokainen sivu leimataan audit trailin tiedoilla sekä asiakirjan uniikilla tunnisteella. Tämä tunniste mahdollistaa dokumentin varmentamisen jälkikäteen.
Tietojen poisto
Visma Sign noudattaa toiminnassaan voimassa olevaa tietosuojalainsäädäntöä. Asiakkaamme lopettaessa palvelun käytön hän voi ladata palveluun tallennetut sopimukset itselleen. Visma Signiin tallennetut tiedot poistetaan Visma Signin palveluehtojen mukaisesti palvelusta.
Noudatamme Visman tietojen poistokäytäntöä.
Ongelmien ratkaisu
Vismalla on organisaatiotasoinen toimintamalli erilaisten tietoturvatapahtumien hallintaan.
Visma Product Security Team auttaa Visma Signin tietoturvatiimiä mahdollisten tietoturva- tai tietosuojarikkomusten ratkaisemisessa.
Jo yli 60 000 yritystä luottaa Visma Signiin
Haluatko nähdä miten palvelu toimii käytännössä? Voit kokeilla Visma Signia veloituksetta. Asiantuntijamme ovat apunasi, jos kaipaat vielä lisätietoa.