Sikkerhet i Framsikt
Som leverandør til offentlig sektor tar vi sikkerhet og personvern på alvor. Vår virksomhet er basert på at våre kunder skal kunne stole på oss.
En selvsagt del av vår kultur og våre prosesser
I Framsikt jobber vi kontinuerlig for å sikre både informasjonen vår og systemene og verktøyene vi bruker. Vi vet at sikkerhet er mer enn bare teknologi – det handler om hele virksomheten, prosessene og menneskene.
Innenfor vår helhetlige strategi for informasjonssikkerhet er digital beredskap sentralt. Digital beredskap handler om hvor robust virksomheten vår er i møte med digitale angrep og uforutsette hendelser. Kort fortalt betyr det at vi har full oversikt over våre digitale verdier og truslene mot dem, samt klare planer og rutiner for hendelseshåndtering. Skulle noe inntreffe, må vi ha alternative løsninger, og ikke minst må alle ansatte vite nøyaktig hva de skal gjøre.
Sikkerhet først – på alle områder
Vi gjør det vi kan for å sikre at systemene våre er pålitelige og sikre.
Fysisk sikkerhet
Alle data i Framsikt lagres i Microsoft Azure sitt datasenter i Irland og er underlagt norsk og europeisk persondata-lovgivning.
Våre kundedata er kryptert med krypteringsnøkkel som bare Framsikt har tilgang på, som innebærer at verken Microsoft eller annen tredjepart har tilgang til data.
Sikkerhet for skytjenesten
Systemene overvåkes kontinuerlig for å oppdage og nøytralisere trusler.
Framsikt har sine driftsmiljøer i skyen hos Microsoft. Gjennom Microsoft får vi brannmurer og DDoS sikring på et svært høyt nivå. Innlogging i Framsiktsløsningen skjer alltid med sterk autentisering, også kalt tofaktorautentisering (2FA).
Systemets sikkerhet
Framsikt jobber kontinuerlig med å utvikle og forbedre Framsiktløsningen.
Vi gjennomfører automatiserte sikkerhetsskanninger av vår løsning gjennom VASP-programmet hvor eventuelle svakheter i infrastruktur og kode raskt blir identifisert og rettet. I tillegg benytter vi Secure Code Warrior for å sikre spisset og praktisk sikkerhetstrening for våre utviklere.
Sikre forbindelser og ivaretakelse av data
Data i Framsiktløsningen er kryptert ved lagring og ved transport for å hindre uautorisert tilgang til data.
Framsikt har sikkerhetskopier i form av «point in time restore» databaser, opptil 35 dager. I tillegg til ukentlige og månedlige sikkerhetskopier som lagres henholdsvis ett og to år. Løsningen kan gjenopprettes med grunnfunksjonaliteten i løpet av noen timer, og være helt i drift i løpet av et døgn.
Personvern og GDPR
Vi tar personvern på alvor og vår løsning er derfor utviklet med innebygget personvern (privacy by design) for å sikre full etterlevelse av GDPR og andre relevante regelverk.
Data i løsningen blir lagret og prosessert i Europa, og vi bruker DFØ sin mal for databehandleravtale.
Informasjonssikkerhetssystem (ISMS)
I vårt informasjonssikkerhetsstyringssystem (ISMS) benyttes risikobasert og strukturert tilnærming for å håndtere risikoer knyttet til informasjon, med mål om å bli sertifisert etter den høyt anerkjente standarden ISO/IEC 27001 i 2026.
Sikkerhet som bygger på Visma-konsernets strenge standarder
Siden Framsikt er en del av Visma Group får dere også fordelen av ressursene og tryggheten til et stort konsern.
Personalets pålitelighet
Framsikt utfører passende bakgrunnssjekker av alle ansatte i henhold til deres stillingsbeskrivelse. Alle arbeidskontrakter inneholder taushetspliktklausuler og det er strengt regulert hvem som får tilgang til produksjonsmiljøene.
Alle ansatte gjennomgår årlig opplæring i informasjonssikkerhet og personvern gjennom Visma Security Program.
Trygge partnere
Vi samarbeider med pålitelige partnere og underleverandører. Underleverandørene inkluderer leverandører av datasentertjenester.
Framsiks underleverandører går gjennom Vismas egen Vendor Management prosess, hvor blant annet den aktuelle virksomhetens evne til å oppfylle sine forpliktelser når det gjelder informasjonssikkerhet og databeskyttelse gjennomgås.
Kontinuitet i virksomheten
Vi har tatt høyde for ulike typer problemer og bruker flere tekniske løsninger for å sikre at tjenestene våre fungerer som de skal – også om noe går galt. I tillegg samarbeider vi tett med datasenterleverandørene våre for å redusere konsekvensene for brukerne hvis det skulle oppstå problemer.
Framsikt har automatiske alarmer som varsler driftsteamet dersom det er problemer med tjenesten eller om tjenesten ikke kan kontaktes.
Framsikt – en del av Visma Security Program
Visma Security Program (VSP) er et overordnet rammeverk som gir Visma-selskaper og deres ansatte verktøy, opplæring og veiledning for å administrere informasjonssikkerhet på tvers av produkter, infrastruktur, og tredjepartsløsninger. Programmet legger vekt på en proaktiv og helhetlig strategi for å beskytte sensitive data, forhindre angrep og sikre tillit.
Visma Application Security Program
Framsikt er en del av Visma Application Security Program. Dette er et oppfølgings- og evalueringsprogram som er spesielt beregnet på skytjenester og hvor informasjonssikkerhet analyseres fra flere ulike perspektiver.
Hvert program har sitt eget målnivå i VASP, og gjeldende informasjonssikkerhet estimeres i sanntid. Framsikt har her oppnådd VASP Gold Product Security Certification.
Security Operation Center (SOC)
Som en del av Visma Group har vi også tilgang på ressursene i deres globale SOC (Security Operations Center). Et senter som er bemannet døgnet rundt av over 80 sikkerhetsanalytikere – dedikerte eksperter hvis eneste formål er å overvåke, analysere og respondere på trusler mot selskapene i konsernet.
Dette gir, i tillegg til vår egen kontinuerlig overvåking, muligheten til å raskt identifisere og respondere på hendelser.
Håndtering av sikkerhetshendelser
Visma Product Security Team hjelper Framsikts informasjonssikkerhetsteam med å løse eventuelle brudd på informasjonssikkerhet eller databeskyttelse.
Visma har investert tungt i en robust sikkerhetsorganisasjon med klare ansvarslinjer – en kritisk faktor i enhver risikovurdering. Dette sikrer et tydelig kontaktpunkt og en garantert responstid, styrt av Vismas faste prosedyre for hendelseshåndtering, Security and Privacy Incident Process (SPIP).
