Addo Sign har etablert prosesser, metoder og systemer som følger dokumenterte standarder for å øke sikkerhet og tilgjengelighet for våre kunder. Truslenes natur er i konstant endring, så det å være bevisst på sikkerheten vår er en naturlig del av utviklingsprosessen vår, og vi streber hele tiden etter å bli enda bedre.

1. Fysisk Beskyttelse 
2. Tjenester designet for sikkerhet 
3. Overvåkning og beskyttelse 
4. Incident Management
5. Beskyttelse av informasjon

Fysisk beskyttelse

Data lagret i Addo Sign lagres i IT-Relation og følger lokale europeiske regler og krav angående databeskyttelse. IT-Relation innehar flere sertifiseringer og erklæringer, inkludert ISO 27001, ISAE 3402 II og ISAE 3000. I tillegg til de digitale sikkerhetsstandardene har vi også krav til de fysiske tiltakene for å beskytte data, som inkluderer:

• Datasenteret skal være låst og utstyrt med 24/7 overvåking.
• Ekstern og intern videoovervåking og sporbarhet av tilgang til lokalene.
• Miljøkontroll
• Failsafe ved strømbrudd testes jevnlig mot fiktive strømbrudd.

Tjenester designet for sikkerhet

Fra planlegging til implementering av nye tjenester eller funksjoner følger vi vår "Sikkerhetsutviklingslivssyklus", som betyr at sikkerhetskrav integreres og måles under utvikling. Sikkerhetskravene er basert på en kombinasjon av lovverk, beste praksis og GDPR-overholdelse.

Vi utfører sikkerhetsrevisjoner og penetrasjonstester med både interne og eksterne eksperter.
Tjenestene våre er testet for å sikre motstandskraft mot angrep som SQLi, XSS og CSRF, data- og øktkapring og andre trusler. Vår baseline er OWASP topp 10.

Minimumssikkerhetskravene som alle utviklingsteam følger er:
Passord lagres aldri som tekst, men "hashes" alltid på serversiden. Det betyr at selv vi i Visma ikke kan finne ut hva passordet ditt er. Hvis du mister passordet ditt, genererer Addo Sign automatisk et nytt til deg.
Kommunikasjon skjer alltid via en kryptert forbindelse.

Overvåking og beskyttelse

Når våre tjenester er tilgjengelige for våre kunder, overvåkes de nøye. Dette inkluderer kontinuerlig skanning for sårbarheter, overvåking av inntrengingsforsøk og oppdagelse av misbruk.

Incident management

Når hændelser opstår, har vi et dedikeret Security Incident-team, der leverer den nødvendige koordinering, ledelse, feedback og kommunikation. De har også ansvaret for at vurdere, reagere på og lære af sikkerheds-hændelser for at sikre, at vi minimerer risikoen for at de gentager sig.

Beskyttelse av informasjon

• Alle våre ansatte er omfattet av konfidensialitetsavtaler.
• Alle Visma-ansatte er lokalisert i Europa.
• Våre ansatte har kun tilgang til systemene og funksjonene de trenger for å utføre sine oppgaver.
• Våre ansatte er bundet av retningslinjer og forskrifter og overvåkes når de får tilgang til kundespesifikk informasjon.
• Tilgang til din lagrede informasjon er begrenset til noen få personer i drift og teknisk støtte. Andre støttepersonell ser kun informasjonen din når du aktivt godkjenner den, f.eks. Via en støttesak.
• Visma har omfattende interne sikkerhetsretningslinjer, en metode for rapportering av sikkerhetsbruk og en sterk sikkerhetsorganisasjon.