Kuinka Visma suojaa sinua ja tietojasi
Visma on pitkään tarjonnut Internet-palveluita ja vuosien aikana vahvistanut prosessinsa, metodinsa ja teknologiansa vastaamaan asiakkaittensa tarpeita turvallisuuden, yksityisyyden ja saatavuuden suhteen.
Uhkien luonne vaihtelee jatkuvasti, joten turvallisuustietoisuus on luonnollinen osa kehitysprosessiamme ja kehitämme itseämme jatkuvasti paremmaksi.
Useista syistä emme voi paljastaa yksityiskohtia turvallisuuteen liittyvistä asioista, mutta tässä muutamia esimerkkejä toiminnastamme, jotta asiakkaamme tuntevat olonsa turvalliseksi.
Miten voimme varmistua, että asiakkaamme tiedot ovat turvassa Visman palveluissa?
- Kaikki työntekijämme ovat tehneet sopimuksen luottamuksellisuudesta.
- Työntekijöillä on pääsy vain järjestelmiin ja toimintoihin, joita he tarvitsevat työnsä tekemiseen.
- Pääsy sinun tallennettuihin tietoihisi on rajoitettu muutamaan toiminnan ja tekniset tuen parissa työskentelevään henkilöön. Muut työntekijät voivat nähdä sinun tietosi vain jos sallit sen.
Miten varmistamme, että palvelusi ovat käytettävissäsi?
- Varmuuskopiot luodaan useaan kertaan päivän aikana ja kopioidaan maantieteellisesti toiseen paikkaan kuin missä palvelu sijaitsee.
- Useamman (vähintään kahden riippumattoman) palveluntarjoajan yhteydet palvelinkeskukseen. Mahdollisessa häiriötilanteessa siirrytään automaattisesti toimivaan yhteyteen, yleensä palvelun toimintaan vaikuttamatta.
- Useamman palveluntarjoajan verkko ja palvelimet. Mahdollisessa häiriötilanteessa siirrytään automaattisesti toimivaan yksikköön, yleensä palvelun toimintaan vaikuttamatta.
Miten suojaamme ja valvomme dataliikennettä?
- Automaattiset järjestelmät havaitsevat, estävät ja ehkäisevät hyökkäyksiä ja väärinkäyttöä.
- Anycast DNS palveluille.
Miten suojaamme tietojasi verkkohyökkäksiä vastaan?
- Me suoritamme turvallisuus- ja tunkeutumistestejä käyttäen omia sekä kolmannen osapuolen ammattilaisia.
- Salasanoja emme tallenna ikinä teksteinä, vaan aina "tiivistettynä ja suolattuna". Tämä tarkoittaa sitä että edes Visman työntekijät eivät tiedä salasanojasi. Jos hukkaat salasanasi, pitää sinun luoda uusi.
- Tietoliikenteessä käytetään aina salattua yhteyttä.
- Palvelumme on testattu kestämään toistuvat hyökkäykset. Esim. SQLi, XSS ja CSRF, istunnon kaappaus ja muut uhat.
Miten suojaamme fyysisesti sinun tietojasi?
- Palvelinkeskuksemme on lukittuna ja suojattu suojausluokituksen 2 mukaisesti.
- Videovalvonta sekä tiloihin pääsyn jäljitettävyys.
- Myös tilojen ympäristöolosuhteita tarkkaillaan kaasujen, kosteuden, kuumuuden ja veden suhteen.
- Palohälytin automaattisella sammutinjärjestelmällä.
- Keskeytymätön virran saanti testataan säännösesti mahdollisten sähkökatkojen varalta.
- Jotkut palvelumme käyttävät Microsoft Azurea ja Microsoftin palvelinkeskuksia Pohjois-Euroopassa tietojen tallentamiseen. Palvelut ovat käytössä kellon ympäri ja toiminnallisuudet varmistetaan suojaamalla sähkökatkoksilta, fyysisiltä uhilta ja verkkokatkoksilta. Nämä palvelinkeskukset noudattavat fyysisestä turvallisuudesta ja luotettavuudesta laadittuja hyväksyttyjä alan standardeja, mukaan lukien ISO / IEC 27001:2005.
Sanasto
|
Irtisanominen |
Menetelmä luotettavuuden lisäämiseen sallimalla kahden tai useamman yksikön (esim. verkko tai laitteisto) toiminta rinnakkain samalla tiedolla tuottaen heijastuksen toisistaan. Mikäli jokin rikkoutuu, toinen tulee käyttöön. |
|
Anycast verkko |
Alan standardi Internetissä toimiva nimipalvelujärjestelmä (DNS), joka antaa palvelimille parhaan mahdollisen saavutettavuuden maailmanlaajuisesti ja myös estää verkkohyökkäyksiä. |
|
Tunkeutumistestaus |
Yksi tapa selvittää turvallisuuteen liittyviä heikkouksia on yrittää tunkeutua järjestelmään. |
|
Hajautus |
Tiivistefunktio on algoritmi tai matemaattinen funktio, joka voi esim. muuttaa salasanan sormenjäljeksi, jota ei voida selvittää. |
|
Suolaus |
Menetelmä estää hakkeroinnin lisäämällä tietoa ennen tai jälkeen salasanahajautusta. |
|
SQLi |
SQLi on tapa hyödyntää tietokantaa käyttävien sovelluksien turvallisuuteen liittyviä heikkouksia. Ideana on luoda suora tietokantakysely, jolla kierretään kirjautuminen ja sallitaan tietojen muuttaminen. |
|
XSS |
Cross-site scripting on menetelmä, jossa koodi on upotettu sivustoon syötettävän tiedon joukkoon ja se muuttaa näin sivuston toimintoja tai ulkonäköä. |
|
CSRF |
Tässä hyökkääjä koettaa saada hallinnan verkkosovellukseesi ja suorittaa toimintoja valtuutetun käyttäjän tapaan. |
|
Istunnon kaappaaminen |
Menetelmä, jossa hyökkääjä varastaa sisään kirjautuneen, avoimen käyttäjän istunnon ja voi näin suorittaa toimintoja. |
Lue lisää siitä, miten Visma suojaa tietojasi, kohdasta Visma Trust Centre.