ISAE 3402: Beviset på god IT-skik
Vores ISAE 3402 type 2-revisorerklæring dækker over Visma Løn, Visma HR, My Visma app samt Datahub
Dyk ned i sektion 3 i vores revisionserklæring
En revisionserklæring af typen ISAE 3402 dokumenterer ordentlige IT-forhold hos en virksomhed og fungerer som bevis for, at virksomheden lever op til lovkrav og dokumenterer, hvilke informationssikkerhedsforanstaltninger virksomheden har implementeret. Den er udarbejdet af virksomheden selv og kontrolleret af et eksternt revisionsfirma.
Nedenfor kan du dykke ned i sektion tre af vores ISAE 3402-erklæring, der beskriver vores interne kontroller. De kontroller, der skal sikre, at vi passer ordentligt på jeres data.
Oversigt over vores produkter og ydelser
Visma leverer løn- og HR-applikationstjenester til virksomheder. Herunder indeholder vores softwarepakke Visma HR (inkl. My Visma), Visma Løn og Datahub.
Tjenesterne omfatter:
- Udvikling af applikationer
- Vedligeholdelse og opdateringer
- Drift af applikationer
- IT-drift
- Produktion af løn
- Support og service
- Uddannelse og rådgivning
- Ekstern rapportering (offentlige myndigheder/handelsorganisationer).
Revisionserklæringens scope
Følgende informationer dækker udelukkende de tidligere nævnte services i Vismas softwarepakke My Visma; Visma Løn, Visma HR (inkl. My Visma) og Datahub hos Visma i Danmark.
BPO-ydelser (Business Process Outsourcing) er ikke omfattet af det følgende.
Visma Løn add
Visma Løn er et system designet til det private virksomhedsmarked i Danmark baseret på en række velafprøvede funktioner, som er tilpasset brugerorganisationens specifikke behov.
Løsningen er et online lønsystem med en integreret rapportgenerator og mulighed for sømløs integration til Visma HR. Det betyder, at alle data er samlet i ét system, og virksomheden behandler alle data via et onlinesystem eller en webbaseret brugergrænseflade.
De tjenester, der tilbydes i Visma Løn-løsningen, omfatter:
- Individuel opsætning til at dække brugerorganisationens behov
- Adgang til at udføre et ubegrænset antal pre-runs
- Opdatering og vedligeholdelse af løsningen, så den lever op til dansk lovgivning
- Adgang til at udføre lønbehandling med obligatoriske og valgfrie leverancer til tredjepart inden for den angivne tidsramme
- Returnering af data til brugerorganisationen
- Overførsel af lønudbetalinger, skatter, offentlige ydelser og pensioner
- Support i forbindelse med lønbehandling og systemfunktioner
- Indberetning af data til pensionskasser, skattemyndigheder og andre myndigheder
- De-centraliseret brugergrænseflade for ledere og medarbejdere til at se, indtaste eller ændre medarbejderdata
- Adgang til rapportgenerator (valgfrit)
Visma HR add
Visma HR er et system designet til det private virksomhedsmarked i Danmark baseret på en række velafprøvede funktioner, som er tilpasset brugerorganisationens specifikke behov.
Løsningen er et online HR-system, der understøtter en række HR-administrative opgaver og med mulighed for sømløs integration til Visma Løn. Det betyder, at alle data er samlet i ét system, og virksomheden behandler alle data via et onlinesystem eller en webbaseret brugergrænseflade.
De tjenester, der tilbydes i Visma HR-løsningen, omfatter:
- Individuel opsætning til at dække brugerorganisationens behov
- Sømløs integration til Visma Løn
- Opdatering og vedligeholdelse af løsningen for at overholde dansk lovgivning
- Medarbejderadgang til fraværsregistrering og løninput (valgfrit)
- Indbygget business intelligence (tilvalg)
- Returnering af data til brugerorganisationen
- Brugergrænseflade for ledere til at se og godkende medarbejderregistreringer.
My Visma app add
My Visma-appen er en løsning, der hjælper medarbejderne med at få et overblik over deres realtidssaldi (timer). Hvis kunden også bruger selvbetjeningstillægget, kan medarbejderne registrere fravær og løninput, og lederen kan godkende i appen. Der er integration mellem Visma Løn, Visma HR og appen. Det betyder, at alle data findes i ét system, og virksomheden behandler alle data via et onlinesystem, en webbaseret brugergrænseflade eller en app.
De tjenester, der tilbydes i My Visma-løsningen, omfatter:
- Individuel opsætning til at dække brugerorganisationens behov
- Sømløs integration til Visma Løn og Visma HR
- Opdatering og vedligeholdelse af løsningen, så den overholder dansk lovgivning
- Medarbejderadgang til registrering af fravær og lønindtastning (valgfrit via app)
- Medarbejderadgang til at se egne data (valgfrit via app)
- Udveksling af data til brugerorganisationen
- Brugergrænseflade for ledere til at se og godkende medarbejderregistreringer.
Datahub add
Datahub er en valgfri add-on service designet til Visma Løn og Visma HR kunder baseret på en række velafprøvede funktioner, som er tilpasset brugerorganisationens specifikke behov.
Løsningen er en service, der viser forskellige strukturerede data fra Visma Løn og Visma HR.
Risikovurdering
Risikovurderinger udføres som en del af den daglige drift på alle niveauer i organisationen. Problemer diskuteres på ledelsesniveau såvel som på bestyrelsesniveau, når det skønnes nødvendigt.
Der udføres en overordnet risikovurdering af informationssikkerheden i henhold til informationssikkerhedspolitikken. Denne risikovurdering omfatter fysisk sikkerhed, personalesikkerhed, teknisk sikkerhed og administrativ sikkerhed.
I tilfælde af alvorlige sikkerhedshændelser, eller hvis der opdages alvorlige sikkerhedsbrister, vil der desuden blive foretaget en sikkerhedsrisikovurdering.
Risikovurderinger af informationssikkerhed udføres i overensstemmelse med anbefalinger fra Datatilsynet og ISO/IEC 27001:2022.
Kontrolmiljø
De omfattede tjenester, Visma Løn, Visma HR (inkl. My Visma App) og Datahub, er ISO/IEC 27001:2022-certificerede. Kontrolmiljøet hos Visma er baseret på ISO/IEC 27001:2022 bilag A. For at sikre leveringen af Vismas tjenester og kvaliteten heraf, samt opfylde kundernes behov for at sikre en effektiv leverandøropfølgning, er centrale kontrolmål og foranstaltninger relateret til tjenesterne udvalgt og dækket i denne rapport. Kontrollerne gennemgås og opdateres løbende.
I beskrivelsen nedenfor er kontrollerne opdelt i følgende områder af hensyn til overblikket. Hvert område betragtes som en attribut til de inkluderede kontroller:
Styring add
Baseret på en risikovurdering er der udarbejdet et sæt informationssikkerhedspolitikker, som er godkendt af ledelsen. Politikkerne er blevet offentliggjort og kommunikeret til medarbejdere og relevante eksterne parter. Politikkerne gennemgås årligt, eller når det er påkrævet på grund af væsentlige ændringer, for at sikre, at de fortsat er hensigtsmæssige, tilstrækkelige og effektive. Politikkerne understøttes af en række operationelle procedurer.
Vismas ledelse har defineret og fordelt al ansvar for informationssikkerhed, udnævnt en informationssikkerhedsansvarlig og etableret et informationssikkerhedsråd. Roller og ansvar er defineret, og modstridende opgaver og modstridende ansvarsområder er adskilt.
Illustrationen ovenfor viser strukturen for informationssikkerhed.
Sikkerhed for menneskelige ressourcer add
Før ansættelse sikrer Visma, at medarbejdere og eksterne konsulenter forstår deres ansvar, og at de er egnede til de roller, som de overvejes til. Dette omfatter screening af straffeattester og kontraktlige aftaler (herunder fortrolighedsaftaler) med medarbejdere og eksterne konsulenter, der angiver deres og organisationens ansvar for informationssikkerhed.
Under ansættelsen og efter opsigelse eller ændring af ansættelsen sikrer Visma, at medarbejdere og eksterne konsulenter er bevidste om deres informationssikkerhedsansvar. Dette omfatter bevidsthed om informationssikkerhed, træning og uddannelse.
Forvaltning af aktiver add
Visma har identificeret organisationens aktiver og defineret passende beskyttelsesansvar. Der er udarbejdet en fortegnelse over aktiver, som vedligeholdes, herunder procedurer for acceptabel brug af aktiver.
Procedurer for fysisk medieoverførsel og for returnering og bortskaffelse af medier er blevet etableret og implementeret for at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af information, der er gemt på medier.
Beskyttelse af oplysninger add
Visma sikrer, at information og optegnelser får et passende beskyttelsesniveau i overensstemmelse med deres betydning for organisationen. Dette omfatter klassificering af oplysninger og optegnelser i forhold til lovkrav, værdi, kritikalitet og følsomhed over for uautoriseret offentliggørelse eller ændring. Personoplysninger, der behandles på vegne af kunder, er altid klassificeret som fortrolige.
For at sikre privatlivets fred og beskyttelse af personligt identificerbare oplysninger er der etableret, vedligeholdt og kommunikeret politikker for acceptabel brug og overførsel af oplysninger samt en privatlivspolitik.
Visma sikrer beskyttelsen af data, der bruges til test. Der er etableret en tilgang til test samt strategier og designteknikker til test.
For at understøtte informationsbeskyttelse og forhindre datalækage gennemføres der regelmæssigt træning i informationssikkerhed og privatlivets fred, og der implementeres sikkerhedsforanstaltninger på brugernes slutpunkter.
Identitets- og adgangsstyring add
Visma sikrer, at adgangen til information og informationsbehandlingsfaciliteter er begrænset. En adgangskontrolpolitik, baseret på forretnings- og informationssikkerhedskrav, er blevet etableret og dokumenteret og gennemgås regelmæssigt. Brugere får kun adgang til tjenester, som de specifikt er blevet autoriseret til at bruge.
Visma sikrer autoriseret brugeradgang for at forhindre uautoriseret adgang til systemer og tjenester. Der er etableret og implementeret en proces for brugerregistrering, afregistrering og tildeling af brugeradgang. Privilegerede adgangsrettigheder som domæneadministratorer er begrænset og kontrolleret. Brugernes adgangsrettigheder til begrænsede oplysninger gennemgås med jævne mellemrum.
Adgangsrettighederne til information og informationsbehandlingsfaciliteter fjernes ved ansættelsens ophør.
Vismas medarbejdere er ansvarlige for at beskytte deres autentificeringsoplysninger. Brugere instrueres i at følge organisationens praksis for brug af hemmelige autentifikationsoplysninger.
Visma sikrer, at uautoriseret adgang til systemer og applikationer forhindres. Adgang til informations- og applikationssystemfunktioner begrænses og kontrolleres af en sikker log-on-procedure, og systemer til administration af adgangskoder sikrer adgangskoder af høj kvalitet.
Sikker konfiguration add
Visma sørger for sikker og effektiv konfiguration af hardware, software, tjenester og netværk. Dette omfatter procedurer for brug af privilegerede hjælpeprogrammer og installation af software samt brug af kryptografi på udvalgte områder for at beskytte fortroligheden, autenticiteten og integriteten af information.
Fysisk sikkerhed add
Visma sikrer, at uautoriseret adgang til organisationens information og informationsbehandlingsfaciliteter forhindres. Sikkerhedsperimetre er defineret, og kontorer, rum og faciliteter er sikret med fysiske adgangskontroller.
Vitale faciliteter, vitalt udstyr og understøttende forsyninger er beskyttet mod fysiske og miljømæssige trusler eller andre forstyrrelser.
En politik vedrørende clear desk, clear screen og flytbare lagringsmedier er blevet etableret og implementeret.
Trussels- og sårbarhedstræning add
Visma overvåger løbende trusselsbilledet og vurderer og evaluerer eventuelle sårbarheder i systemer og applikationer. Visma minimerer risikoen for udnyttelse af tekniske sårbarheder ved hjælp af en effektiv patch-procedure, penetrationstest i henhold til en defineret tidsplan samt løbende sårbarhedsscanninger.
Trussels- og sårbarhedsstyringen understøttes af et implementeret Cyber Threat Intelligence-program.
System-, netværks- og applikationssikkerhed add
Visma sikrer korrekt og sikker drift af informationsbehandlingssystemer, applikationer og faciliteter. Der er etableret en politik for driftsprocedurer, og der er implementeret et workflow for ændringshåndtering for at sikre kontrol med ændringer i produktionsmiljøerne. Udviklings-, test-, staging- og produktionsmiljøer er adskilt, og ændringer i produktionsmiljøer skal planlægges og testes.
Visma sikrer, at information er beskyttet mod malware. Visma har implementeret og kommunikeret en politik for acceptabel brug. For at understøtte malware-beskyttelse er der etableret webfiltrering.
Der er etableret en software-rekvisitionsproces for at begrænse installationen af software. Antallet af arbejdsstationsadministratorer er begrænset og gennemgås regelmæssigt.
Revisionsaktiviteter planlægges for at minimere forstyrrelser.
Visma sikrer beskyttelse af information i netværk og dets understøttende informationsbehandlingsfaciliteter. Netværk administreres og kontrolleres, og grupper af informationstjenester og brugere adskilles på netværk.
Visma sikrer et sikkert design og implementering af informationssystemer for at sikre et struktureret og velkontrolleret miljø. En systemudviklings- og vedligeholdelsespolitik er blevet etableret og implementeret og understøttes af en etableret sikker softwareudviklingslivscyklus og ved brug af en etableret ændringsstyringsarbejdsgang.
Den etablerede livscyklus for sikker softwareudvikling indeholder krav til:
- gennemgang af applikationer efter ændringer i driftsplatformene
- restriktioner på ændringer i softwarepakker
- sikre systemtekniske principper
- sikkert udviklingsmiljø
- outsourcet udvikling
- systemsikkerhedstest og systemaccepttest.
Sikkerhed i leverandørforhold add
Visma bruger underleverandørorganisationer til visse formål. Du kan finde og søge iblandt dem her.
Håndtering af informationssikkerhedshændelser add
Visma sikrer en konsekvent og effektiv tilgang til håndtering af informationssikkerheds- eller privatlivshændelser, herunder kommunikation om sikkerheds- eller privatlivshændelser og svagheder. Der er etableret og implementeret en proces for informationssikkerheds- eller privatlivsrelaterede hændelser eller svagheder. Rapporterede hændelser og svagheder vedrørende informationssikkerhed eller beskyttelse af personlige oplysninger gennemgås og klassificeres regelmæssigt.
Visma sikrer logning for at registrere hændelser og generere beviser. Hændelseslogfiler, der registrerer brugeraktiviteter, undtagelser, fejl og informationssikkerhedshændelser, genereres og opbevares. Der genereres logfiler til reaktiv brug. Logoplysninger beskyttes mod manipulation og uautoriseret adgang, og der sikres et korrekt tidsstempel. Udvalgte logfiler overvåges proaktivt og indeholder en alarmfunktion.
For at understøtte sporbarhed er der etableret tidssynkronisering.
Kontinuitet add
Der er etableret en politik for styring af forretningskontinuitet. Business continuity-planer og action cards er etableret og implementeret og verificeres regelmæssigt.
Systemressourcer overvåges løbende for at sikre rettidig handling i tilfælde af afvigelser eller forstyrrelser. Væsentlige behandlingsfaciliteter og udstyr er redundant med indbygget failover-funktionalitet.
Visma sikrer beskyttelse mod tab af data. Backup- og backup-restore-tests udføres regelmæssigt.
Juridisk og compliance add
I samarbejde med Vismas juridiske afdeling forebygger Visma brud på juridiske, lovmæssige, regulatoriske eller kontraktlige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav. Processer til identifikation af lovgivningsmæssige eller kontraktlige krav er blevet etableret og implementeret, og et register over kontraktlige afvigelser såvel som lovgivningsmæssige krav er blevet etableret og vedligeholdes.
Overholdelse af lovgivningsmæssige eller kontraktlige krav vedrørende intellektuelle ejendomsrettigheder sikres af Vismas juridiske afdeling og er angivet i kundekontrakter og ansættelseskontrakter.
De specifikke kontrolmål og kontrolaktiviteter, der understøtter processerne, er beskrevet i afsnit 4.
Modtag sikkerhedsmateriale
Her kan du få adgang til vores sikkerhedsdokumentation. Ved at udfylde denne formular får du tilsendt en mail med følgende dokumenter: ISO 27001 certifikat, ISAE 3402 erklæring og ISAE 3000 erklæring.