6.2.2025

IT-sikkerhed

Visma Software

Tjekliste for IT-sikkerhed: Krav og spørgsmål, du bør stille til din systemleverandør

Når du skal vælge systemleverandør, er det vigtigt at stille krav og spørgsmål, så du ved, at de sikrer systemets IT-sikkerhed

Alle seriøse leverandører af cloudløsninger bør som minimum:

  • Have dedikerede teams, der kun arbejder med at afdække sårbarheder.
  • Følge strenge retningslinjer og have systemer, der opfanger afvigelser.
  • Udføre regelmæssige sikkerheds- og softwareopdateringer.
  • Vise fuld åbenhed om, hvordan de arbejder med IT-sikkerhed.
  • Hjælpe deres kunder med at træffe gode sikkerhedsmæssige valg.

Hvordan kan du sikre, at dette bliver opfyldt?

Stil spørgsmål

Vælg de mest relevante leverandører for din virksomhed, og vær godt forberedt til mødet med dem. Spørg ind til hvordan de håndterer din datasikkerhed.

ISO-certificeringer

Har leverandøren et kvalitetssystem, der sikrer kvalitet i alle processer relateret til udvikling, test og levering af cloudløsningen? Hvilke ISO-certificeringer gennemfører de? Og har de uafhængige, regelmæssige revisioner af deres egen sikkerhed?

Pålidelige leverandører bør kunne redegøre for deres eget kvalitetssikringssystem og have certificeringer som ISO 27001 og ISAE 3402 Type II.

Leveres cloudløsningen i henhold til gældende love og regler?

Og hvordan sikrer de det? Det bør helst være egne selskaber eller afdelinger, der specialiserer sig i lovgivning og regler for levering af cloudløsninger.

En leverandør skal have den juridiske kompetence, der kræves, så du kan slappe af og vide, at leverandøren håndterer denne afgørende del.

Bliver dataene krypteret?

Kryptering sørger for, at dataene bliver ulæselige, så de ikke kan misbruges, hvis de havner i de forkerte hænder. Krypteringsnøglerne bør opbevares et sikkert sted, som kun leverandøren har adgang til. Krypteringen bør også beskytte data, både når de overføres over netværk (i transit) og når de lagres (i hvile).

Hvem har adgang til dine data?

Det skal som udgangspunkt kun være dig som kunde, der har adgang til dine data.

Du tildeler brugerrettigheder for at regulere adgangen til cloudløsningen. Systemleverandøren har adgang til dine data i forbindelse med support- og konsulentarbejde, det vil sige der, hvor du giver dem tilladelse til at løse en opgave. Du skal altid kunne regulere adgangen.

Hvad er rutinerne for behandling af personoplysninger?

Sørg for, at driftsleverandøren opfylder de krav til informationssikkerhed og andre krav, der følger af den til enhver tid gældende persondatalovgivning.

Som kunde kan du blandt andet anmode om at få fremlagt dokumentation for dette. Du skal også indgå en skriftlig databehandleraftale med driftsleverandøren af tjenesten. Derudover er der også en række andre krav, du skal være opmærksom på ved behandling af personoplysninger i henhold til GDPR.

Støtter systemleverandøren sine kunder?

En god systemleverandør skal kunne hjælpe dig med at træffe gode sikkerhedsmæssige beslutninger gennem hele kundeforholdet. Det kan derfor være en fordel at stille sikkerhedsspørgsmål, der er relevante for netop din virksomhed, allerede når du kortlægger mulige leverandører.

Har de gode rutiner med deres underleverandører?

Ved en kontraktindgåelse og på forespørgsel bør du sikre dig, at systemleverandøren kan give dig oplysninger om underleverandøren, herunder blandt andet:

a) Virksomhedsnavn

b) Driftssted

c) Driftsopgaver for underleverandører, som driftsleverandøren bruger til levering af driftsydelser til din virksomhed

Kontakt os

Interesseret i et ERP-system med fokus på IT-sikkerhed? Tjek Business NXT