Velg språk

Så arbetar Smartskill med informationssäkerhet

Eva och Nils Jørgen

Information i korthet:

  • Smartskill Vård och omsorg är hostad i Microsoft Azure inom EU/EES
  • Lösningarna är en del av Visma Application Security Program (VASP), med regelbundna säkerhetstester
  • Åtkomst ges enligt principen Principle of Least Privilege (PoLP) med behörig personal
  • Alla anställda på Visma Smartskill AB är bundna av sekretess och genomgår årlig utbildning i säkerhet och dataskydd.
  • Visma har etablerade rutiner för incidenthantering och 24/7-krisberedskap.
  • Oåterkallelig anonymisering vid uppsägning av kundavtal sker inom 6 månader
  • Tjänsterna har en garanterad drifttillgänglighet på 99,5 % i infrastrukturen, med en genomsnittlig tillgänglighet för slutanvändare på ca 99 %

 Data i Visma Smartskills lösningar tillhör kunden och kan exporteras eller överföras till en annan personuppgiftsansvarig. 

Vårt säkerhetsarbete 

Visma Smartskill AB lägger stor vikt vid att upprätthålla en hög standard gällande informationssäkerhet och dataskydd. Målet är att efterleva GDPR och andra lagkrav för den data våra kunder anförtror oss. Detta uppnås genom ett kontinuerligt arbete med strategiska och operativa förbättringar av rutiner, säkerhetskontroller av mjukvara samt översyn av interna styrdokument och driftmiljöer.



Systematiskt kvalitetsarbete

För att säkerställa en strukturerad hantering av säkerhetsfrågor genomförs följande åtgärder:

  • Ledningen och experter samlas regelbundet för möte med Visma Security för att arbeta strategiskt med säkerhet.
  • Applikationen är en del av Visma Application Security Program (VASP), som innehåller procedurer och checklistor som regelbundet ses över. Dessutom testas och kvalitetssäkras applikationen regelbundet av experter inom området. Läs gärna med om Visma Application Security Program (VASP) här.
  • En dedikerad intern grupp ansvarar för IT-säkerhet och GDPR, vilket inkluderar att utreda incidenter och proaktivt granska verksamheten för ständiga förbättringar.
  • Tydliga roller och ansvarsområden är definierade för dataskydd och informationssäkerhet.
  • Visma Smartskill AB ställer krav på våra leverantörer genom uppdaterade avtal som reglerar sekretess, incidenthantering och utbildning.
  • Det finns etablerade rutiner för riskanalys, incidentrapportering och säker hantering av IT-utrustning.
  • Vi tillämpar regler för distansarbete, och utbildar löpande anställda i säkerhet och GDPR.
  • Gallringsrutiner och sekretessavtal finns på plats för både personal och konsulter.

Underleverantörer

Visma Smartskill AB anlitar underleverantörer för drift och viss utveckling. Vi tecknar nödvändiga personuppgiftsbiträdesavtal och sekretessavtal med dessa parter. En uppdaterad förteckning över underleverantörer finns tillgänglig via Visma Trust Centre.

Driftmiljö

Vår leverans bygger på en helt molnbaserad lösning från Azure Public Cloud med hosting inom EU/EES

  • Inloggning: Applikationen använder Visma Connect som OAuth SSO.

  • Molntjänster: Produkten Smartskill Vård och omsorg driftas helt i molnet. Här sker både kodexekvering och datalagring inom EU/EES, med backuper som säkerhetsåtgärd.

  • Säkerhetskopiering: Återställning vid tidpunkten för de senaste 21 dagarna (kan återställa databasen från en given tidpunkt inom en 10-minutersperiod under de senaste 21 dagarna). Veckovisa säkerhetskopior sparas i 5 veckor. Månatliga säkerhetskopior sparas i 11 månader. Årliga säkerhetskopior sparas i 2 år.

Produktsäkerhet

Oavsett driftmiljö gäller strikta säkerhetsprinciper för våra produkter:

  • All kommunikation skyddas med moderna krypteringsalgoritmer ( HTTPS/TLS).
  • Vi tillämpar rollstyrd åtkomst och erbjuder möjlighet till tvåfaktorsautentisering (2FA).
  • Utvecklingen följer Visma Application Security Program (VASP) och vi genomför återkommande penetrationstester.
  • Endast behörig personal med behov av åtkomst för sina arbetsuppgifter (t.ex. support och teknisk drift) har tillgång till kunddata.

Databehandling

I Smartskill Vård och omsorg behandlas inga känsliga personuppgifter utifrån ett integritets- eller säkerhetsperspektiv.

I Smartskill Vård och omsorg behandlas en begränsad mängd information och inga särskilda kategorier av personuppgifter (känsliga personuppgifter). Information som behandlas i lösningen är främst kursintyg och statistik. Det personuppgiftsbiträdesavtal som vi använder är baserat på en mall från Visma.

Visma Smartskill AB följer reglerna i GDPR och Vismas interna rutiner för behandling av personuppgifter. Detta innebär bland annat att alla anställda har tystnadsplikt när det gäller personuppgifter som vi behandlar för våra kunders räkning. Alla anställda genomgår också årlig utbildning i tillämpliga regelverk avseende behandling av personuppgifter. Personer med tillgång till personuppgifter är begränsade i antal och är behörig personal på Visma Smartskill AB. Individens åtkomst beviljas enligt principen "Need to know".

Smartskill Vård och omsorg är en molntjänst i Microsoft Azure Public Cloud. Applikationen är en del av Visma Application Security Program (VASP). Detta innebär bland annat att lösningen regelbundet testas för attacker och intrång.

Oåterkallelig anonymisering vid uppsägning av avtalet

Vid uppsägning av avtalet för användning av Smartskill vård och omsorg anonymiseras personuppgifter relaterade till kundens slutanvändare och anställda i lösningen inom 6 månader efter att uppsägningstiden har löpt ut. Oåterkallelig anonymisering innebär att personuppgifter behandlas på ett sätt som gör det tekniskt omöjligt att identifiera den person som uppgifterna ursprungligen rörde.


Inloggning och kontohantering

Visma Smartskill AB erbjuder rollhantering i sin lösning så att endast utvalda personer kan se, lägga till, ändra och ta bort data. Det är enkelt och intuitivt att hantera rollåtkomst och se vem som har åtkomst till vad.

Säkerheten kring inloggning inkluderar:

  • Konto-låsning vid upprepade misslyckade inloggningsförsök.
  • Möjlighet för kunder att skräddarsy lösenordsregler (längd, specialtecken) och tvinga användning av 2FA via app.
  • Säker lösenordsåterställning via tidsbegränsade länkar som skickas via e-post.
  •  

Dataportabilitet

 Data i Visma Smartskill ABs lösningar tillhör kunden och kan exporteras eller överföras till en annan personuppgiftsansvarig. 

Support och incidenthantering

Vår supportorganisation arbetar i två nivåer (mer detaljer nedan):

  1. Nivå 1: Supportspecialister som diagnostiserar, åtgärdar eller eskalerar ärenden.
  2. Nivå 2: Utvecklare som hanterar mer komplexa problem och slutgiltiga åtgärder.

För att säkerställa kvalitet mäts löpande parametrar som svarstider, åtgärdstider och nöjdhet. Tjänsterna har en garanterad drifttillgänglighet på 99,5 % i infrastrukturen, med en genomsnittlig tillgänglighet för slutanvändare på ca 99 %.

Visma Smartskill AB använder resurser centralt inom Visma-koncernen för incidenthantering. Nedan följer mer detaljerad beskrivning av Vismas incidenthantering:

Nivå 1. Mottagen anmälan:

När Visma får en anmälan om en potentiell integritets- eller säkerhetsincident kontaktas vårt säkerhetsteam omedelbart och en incidentkoordinator utses. Incidenter kan rapporteras direkt från våra kunder eller från våra anställda i Visma. För att säkerställa att vi agerar snabbt utbildas anställda i hur man känner igen en incident och hur man rapporterar den. Vi har en låg tröskel för att initiera vår incidenthanteringsprocedur. Om en kund behöver skicka in en rapport kontaktas din kundkontakt eller så skickas rapporten direkt till security@visma.com. Säkerhetsteamet är tillgängligt dygnet runt.

Nivå 2. Bedöm och lös incidenten:

Ett dedikerat Incident Response Team inrättas för att hitta orsaken och lösa incidenten. Vårt team av cybersäkerhetsexperter har djup teknisk expertis inom olika områden och deltar i problemlösning vid behov, utöver experterna på den produkt som berörs av incidenten. Säkerhetsexperterna i vårt säkerhetsteam hanterar den dagliga säkerhetsverksamheten, inklusive experter på incidenthantering. Teamet hanterar även våra säkerhetssystem och ramverk, och tillhandahåller utbildning och vägledning till våra produktteam i säkerhetsrelaterade frågor. Visma Group Legal, inklusive den lokala dataskyddsansvarige (DPM), ingår alltid i teamet för incidenthantering för att säkerställa att risker bedöms och att korrekt kommunikation sker. Interna och externa intressenter hålls informerade under hela denna process.