Personvern
Som grunnprinsipp for import av kildedata til våre systemer gjelder det at vi kun importerer brukere og brukerdata som skal behandles videre. Dersom en ansatt ikke skal ha konto i AD, vil vi filtrere denne fra å bli importert inn i våre systemer overhodet. Foresattdata benyttes ikke ved import til Feidekataloger. Kun relevante brukerdata blir importert, eksempelvis importerer vi stillingsprosent (som kan være relevant ifm tildeling av lisenser) i motsetning til lønnsdata som vi ikke importerer.
Det er viktig å understreke at det er kildedatasystemene (HRM og SAS) som er overstyrende. Når en bruker opprettes i HRM, blir brukeren opprettet i eADM. Når en bruker deaktiveres eller slettes fra systemet vil tilhørende data også bli slettet, iht regler satt i eADM. Det kan for eksempel automatiseres at brukere først deaktiveres og så slettes fra systemet etter en gitt tidsperiode. Sikkerheten og personvernet i eADM er helt avhengig av at kunden har gode rutiner ifm inn- og utmelding av brukere fra sine kildesystemer.
Et vanlige hjertesukk fra administratorer når det kommer til livssyklusen til brukerkontoer er at “alle får med seg når noen begynner, men ingen får med seg når noen slutter”. Dermed kan man risikere at gamle brukerkontoer og persondata liggende igjen i lang tid. Løsningen på dette er gode regelsett i eADM som sørger for at data som ikke skal lagres blir slettet f.eks når brukeren blir deaktivert, går ut i permisjon, dør eller slutter. eADM automatiserer dette og sørger for alle brukerkontoer enten fjernes automatisk eller at nødvendige mottakere varsles der noe må gjøres manuelt. Via meldingsmaler kan man varsle IT, drift, admin, når utstyr skal leveres inn, tilganger skal endres eller fjernes.
Alle brukere har pålogging til brukergrensesnittet, og alle kan se alle data som er registrert for egen bruker til enhver tid. I forbindelse med GDPR og personvern kan sluttbrukere se sine data i en personvernseksjon der vi også opplyser om hvor dataene kommer fra, hvem de skal henvende seg til hvis noe ikke stemmer eller om de ønsker dataene slettet.
Identum sine løsninger oppfyller alle krav til Norm for informasjonssikkerhet.
Se bilag 9 i kontrakten for databehandleravtalen til Identum AS. Vi har som prinsipp at vi tilpasser oss kundene våre, istedenfor at de må tilpasse seg oss. Dersom vår standard databehandleravtale ikke dekker kundens behov, tilpasser vi oss og benytter den kunden ønsker.
ISO27001 og Visma Cloud Delivery Model
Identum AS er fra 01.02.2023 et heleid datterselskap av Visma AS og derav underlagt deres kvalitetssystem og leveransemodell som beskrevet her:
Visma Cloud Delivery Model (VCDM) beskriver vår tilnærming til å utvikle, levere og drifte skytjenester. Den beskriver aspekter ved hvordan vi bør være organisert, hvordan vi bør jobbe (prosesser) samt tekniske krav og beste praksis som er nødvendig for vellykket levering av skytjenester. Ytterligere informasjon om VCDM finnere dere på: https://www.visma.com/trust-centre/vismaclouddelivery
Modellen er basert på et sett med kjerneprinsipper og fokuserer på DevOps og Continuous Delivery. VCDM har følgende revisjonserklæring og sertifiseringer:
ISAE 3402 SOC 1 Type II
ISO 27001
Visma Security Program og Visma Architecture and Technology Programme er integrert i Visma Cloud Delivery Model. Vårt styringssystem for informasjonssikkerhet (ISMS) er sertifisert i henhold til ISO 27001 og det revideres årlig av en uavhengig IT-revisor.
I tillegg revideres Vismas evne til å etterleve ISMS og kvalitetsstyringssystemet i VCDM av et uavhengig revisjonsselskap i henhold til ISAE 3402. Denne omfattende kontrollen gjennomføres også årlig og er oppsummert i en ISAE 3402 Type II rapport.
Vår tilnærming til implementering av endringer er fortløpende integrering og implementering (Continuous Integration and Continuous Deployment - CI/CD).
Metodikken utvikler seg stadig med tanke på teknologi, kompetanse og prosedyrer. Akkurat nå betyr dette at endringer blir fortløpende verifisert og implementert i vårt stagingmiljø. Der gjøres det manuelle tester både internt i utviklingsavdelingen og av fageksperter. For mer omfattende endringer benytter vi oss også av pilotkunder som tester endringene i normal drift en periode før de slippes til alle kunder.