ISAE 3000 Type II

Sikkerhed er selvsagt en hjørnesten i alle vores it-leverancer. For de fleste virksomheder er it en central livsnerve, der skal køre, for at virksomheden kan fungere. Når man outsourcer it til en ekstern leverandør, bør man bl.a. aftale hvilket sikkerhedsniveau, der skal leveres. Det gør man typisk kontraktligt. Nogle virksomheder har dog brug for mere end kontrakten. De har brug for, at en uvildig tredje part undersøger og kontrollerer, at vi som it-leverandør lever op til de aftaler, vi har indgået.

Hvert år gennemgår Vivant en grundig it-revision. Det er det statsautoriserede revisionsfirma PwC (Price Waterhouse Coopers), der udfører revisionen. De gennemgår alle dele af vores interne it og vores leverancer til udvalgte kunder. Denne revision giver vores kunder en meget høj sikkerhed for, at de ting vi lover, ikke bare er noget vi siger, men rent faktisk er noget, vi udfører. Hver time. Hver dag. Året rundt.

Revisionen udføres efter samme sikkerhed og principper som en ISAE 3402 Type II.

Den interne sikkerhed
Revisionen falder i to dele. Den første handler om Vivants interne sikkerhed. Her gennemgår PwC, at vi opbevarer alle data sikkert, og at passwords og dokumentation kun er tilgængelig for Vivants medarbejdere. Dertil skal alt vores udstyr og software være fuldt opdateret. Alle skal overholde vores sikkerhedspolitikker hvad angår brugernavne, passwords, MFA og adgang til systemer m.m. Dette skal dels sikre, at vi ikke kan miste fortroligt data om vores kunder, men også at vi ikke udsætter vores kunders it-miljøer for en sikkerhedsrisiko, når vi tilkobles kundernes it-systemer.

Processerne
Ud over den tekniske sikkerhed kontrollerer PwC Vivants interne processer. Når kunder henvender sig for at få hjælp, skal vi selvsagt være 100% sikre på, at det vi udfører, er efter kundens ønske. Det kan fx være, hvis en bruger skal have ændret sine rettigheder, eller hvis der skal oprettes eller nedlægges et brugerlogin. Alt sammen skal ske med meget høj sikkerhed for, at der ikke sker fejl – eller endnu værre, at Vivant bliver misbrugt til at skaffe adgang til data. Derfor har vi en række fastlagte processer, som skal minimere risikoen for misbrug. Alle disse processer og den tilhørende dokumentation bliver også kontrolleret.

Alle kontrollerne af Vivants interne it, gælder for alle kunder. Vi passer ikke mere på nogle kunders oplysninger end andres. Alle får samme høje sikkerhedsniveau, uanset hvilken type aftale man har med Vivant.

Nogle typer af kunder har dog brug for yderligere dokumentation. Det er typisk kunder, der er underlagt Finanstilsynet eller andre myndigheder, der stille særlige krav til vores kunders it-sikkerhed og dokumentation. For disse kunder har vi et særligt koncept.

Compliance Plus
For kunder med en Compliance Plus aftale er de leverancer, som Vivant leverer, også en del af det, som PwC kontrollerer. Sammenholdt med den kontrakt, der er lavet mellem kunden og Vivant, kontrolleres det, at det sikkerhedsniveau og de processer, der er aftalt, bliver overholdt. I princippet kan kunden selv beslutte hvilket sikkerhedsniveau en Compliance Plus aftale skal omfatte. Men det er typisk kunder med behov for meget høj sikkerhed, der har glæde af en Compliance Plus aftale.

Ønsker du at høre mere om vores Compliance-koncepter eller at se vores seneste revisionskontrol, er du selvfølgelig velkommen til at kontakte os.