Addo Sign har etablerade processer, metoder och system som följer beprövade standarder för att öka säkerheten och tillgängligheten för våra kunder. Hoten förändras ständigt, så säkerhetsmedvetenhet är en naturlig del av vår utvecklingsprocess, och vi strävar ständigt efter att bli ännu bättre.

1. Fysiskt skydd
2. Tjänster som är utformade för säkerhet
3. Övervakning och skydd
4. Incident management 
5. Skydd av information

Fysiskt skydd

Uppgifter som sparas i Addo Sign lagras i IT-Relation och följer lokala europeiska regler och krav för dataskydd. IT-Relation har flera certifieringar och deklarationer, inklusive ISO 27001, ISAE 3402 II och ISAE 3000. Förutom digitala säkerhetsstandarder har vi också krav på fysiska dataskyddsåtgärder, som omfattar:

• Datacentret måste vara låst och ha övervakning dygnet runt.
• Extern och intern videoövervakning och spårbarhet av tillträde till lokalerna.
• Miljökontroll
• Failsafe mot strömavbrott testas regelbundet mot fiktiva strömavbrott.

Tjänster som är utformade för säkerhet

Från planering till genomförande av nya tjänster eller funktioner följer vi vår "Security Development Lifecycle", vilket innebär att säkerhetskraven integreras och mäts under utvecklingen. Säkerhetskraven baseras på en kombination av lagstiftning, bästa praxis och GDPR-överensstämmelse.

Vi utför säkerhetsrevisioner och penetrationstester med hjälp av både interna och externa experter.
Våra tjänster testas för att säkerställa motståndskraft mot attacker som SQLi, XSS och CSRF, data- och sessionskapning och andra hot. Vår baslinje är OWASP:s topp 10.

De minimumkrav på säkerhet som alla utvecklingsteam ska följa är följande:
Lösenord lagras aldrig som text, utan "hashasheras" alltid på serversidan. Detta innebär att inte ens vi på Visma kan ta reda på ditt lösenord. Om du tappar bort ditt lösenord genererar Addo Sign automatiskt ett nytt åt dig.
Kommunikationen sker alltid via en krypterad anslutning.

Övervakning och skydd

När våra tjänster är tillgängliga för våra kunder övervakas de noga. Detta omfattar kontinuerlig skanning av sårbarheter, övervakning av intrångsförsök och upptäckt av missbruk.

Incident Management

När incidenter inträffar har vi ett dedikerat team för säkerhetsincidenter som tillhandahåller nödvändig samordning, ledarskap, feedback och kommunikation. De är också ansvariga för att bedöma, reagera på och dra lärdom av säkerhetsincidenter för att se till att vi minimerar risken för att de ska inträffa igen.

Skydd av information

• Alla våra anställda omfattas av sekretessavtal.
• Alla Vismas anställda finns i Europa.
• Vår personal har endast tillgång till de system och funktioner som de behöver för att utföra sitt arbete.
• Vår personal är bunden av riktlinjer och regler och övervakas när de får tillgång till kundspecifik information.
• Tillgången till din lagrade information är begränsad till ett fåtal personer inom drift och teknisk support. Annan supportpersonal får endast se din information när du aktivt godkänner det, t.ex. via ett supportärende.
• Visma har omfattande interna säkerhetsriktlinjer, en metod för rapportering av säkerhetsanvändning och en stark säkerhetsorganisation.