Ja, för drift och viss utveckling använder vi underleverantörer. Vi har tecknat biträdesavtal enligt GDPR med dessa. Vi har även separata sekretessavtal med varje leverantör.
Läs om detta i dokumentet Informationssäkerhet (pdf).
Read about this in the document "Information security" (pdf).
Internt ges enbart behörighet att läsa information till de anställda som på något vis behöver åtkomst för att utföra sina arbetsuppgifter, med två undantag:
- Visselblås Incident. I det verktyget kommer ingen åt informationen som finns.
- Ärendena i våra Incidentverktyg är krypterade, så känslig information syns inte om inte personalen har en särskild behörighet. Denna behörighet ges bara i undantagsfall för att kunna hjälpa kunden med supportärenden. Behörigheten raderas när ärendet är löst.
De som kan läsa informationen är
- teknisk personal som ansvarar för drift, underhåll och utveckling
- innehållsadministratörer
- personal som jobbar med kundkontakt och kundsupport.
Alla lyder under tystnadspliktsförbindelse, och samtliga utbildas grundligt innan personen kvalificeras för arbete med åtkomst till kunddata.
Vissa på utvecklingsavdelningen har även behörighet att i undantagsfall redigera information, vilket bara görs då informationen blivit fel och behöver justeras via kod.
Information som genom tjänsterna tillhandahålls av Visma Draftit är Visma Draftits egendom. Information skapad och inlagd i tjänsterna av Visma Draftits kunder ägs av kunden.
I de fall kunden är personuppgiftsansvarig så raderas informationen från oss vid ett avslut. Som längst kan potentiellt data ligga kvar i 6 månader efter avslutat avtal, men i regel raderas den efter att ångerrätten på 30 dagar har gått ut. Möjlighet att exportera er data finns. Kontakta oss i så fall innan avtalet löper ut.
Ja, kommunikationen är krypterad mellan vår server och användarens webbläsare.
Vi kör allt över https med ett 2048 bitars certifikat. Https körs över TLS1.2. TLS 1.0 och 1.1 stöds ej.
Delvis. Känslig information i våra applikationer krypteras.
Direkt åtkomst till lagrad och okrypterad data, till skillnad från åtkomst via våra tjänster, har bara teknisk personal som ansvarar för drift, underhåll och utveckling. Även vår driftpartners personal har tillgång till informationen i detta avseende.
Vi har en incidentrutin som vi följer vid händelserna
- att våra kunder inte kan använda sina tjänster
- eventuella säkerhetsincidenter, såsom intrång
- vid personuppgiftsincidenter i IT-miljön.
Denna rutin innebär framför allt att vi loggar allt som sker med klockslag och ansvarig, så att vi har en detaljerad logg över allt som skett och de åtgärder vi har vidtagit. Vi har också kontrollpunkter som att informera ledningen samt fatta beslut om ifall kunder ska informeras eller ej.
Vi informerar alltid berörda kunder vid allvarliga säkerhetsincidenter.
Läs om detta i dokumentet Informationssäkerhet (pdf).
Read about this in the document "Information security" (pdf).
99,9% tillgänglighet är garanterad från vår leverantör avseende tjänsten.
Tillgänglighet för våra tjänster till slutanvändare är ca 99 %. Service och underhåll förläggs till kvällar och helger.
Ja, mot Office365 (AzureAD) eller Google Workspace kan en SSO-koppling snabbt sättas upp. Vi stödjer även SAML-integrationer. I övriga fall erbjuder vi även en koppling via Svensk E-identitet och deras "Grand-API" som en separat tjänst.
Delvis. Lösenordet måste vara minst 6 tecken, men vi har inga krav ytterligare på komplexitet eller att tidigare lösenord inte får användas. Detta kan dock lösas, se frågan under denna.
Vi tvingar inte användare att byta lösenord vid regelbundna intervaller.
Kontot låses efter fem misslyckade inloggningsförsök och är låst tills dess en administratör låser upp det.
För vår personal (som har tillgång till kunddata) har vi strängare lösenordskrav än så.
Per kund kan vi sätta upp anpassade lösenordsregler enligt önskemål. Det som kan specificeras är antal siffror, antal specialtecken, minsta längd och krav på tvåfaktorsautentisering.
Alla användare med personligt konto kan välja att aktivera tvåfaktorsautentisering i "Min profil". Väljer man att koppla på anpassade lösenordsregler kan man dessutom tvinga sina användare att nyttja det.
Vår lösning bygger på att man använder sin telefon för att via en app generera en säkerhetskod som anges vid inloggning.
När ett nytt konto skapas skickas ett registreringsmail till användaren med en länk för val av lösenord.
Om användaren glömmer sitt lösenord kan lösenordet återställas, ett mail skickas då till användaren med en länk för återställning av lösenord.
Bägge dessa typer av mejl är giltiga endast under en begränsad tidsperiod.
Visma Draftit har två supportnivåer:
- Supportnivå 1 bemannas av våra Customer Support Associates inom CS (Customer Success), som skall identifiera incidenten, öppna ett incidentärende och initiera åtgärd, samt hantera incidenter som kräver djupare kompetens.
- Supportnivå 2 bemannas av våra utvecklare. Supportnivå 2 är sista ledet för eskalering och för åtgärd av en incident.
Processflödet för incidenthantering följer ITILs modell för IT Service Management:
- En användare ringer eller skickar ett e-postmeddelande till CS för att rapportera en incident.
- Ett incidentärende registreras.
- CS bekräftar med ett e-mail till användaren/kontaktpersonen att incidenten är registrerad.
- Diagnos av incidenten genomförs, felsökning eller eskalering sker.
- Om Customer Support Associate som har tagit emot ärendet själv kan åtgärda det, så tilldelar supportteknikern ärendet till sig själv, åtgärdar det samt meddelar och verifierar funktionen med användaren.
- Om Customer Support Associate inte kan åtgärda ärendet eskaleras ärendet till supportnivå 2 för vidare hantering.
Visma Draftit har även daglig mätning av följande parametrar för att hålla högsta möjliga kvalitet på supporten:
- Svarstid
- Samtalsregistrering
- Åtgärdstid
- Antal samtal per månad
- Genomsnittlig samtalslängd
- Nivå på support och teknikernas kompetens
Nej, vi har i dagsläget inget API.
Nej tyvärr.