{{cta-1}}
Alle seriøse leverandører av skytjenester bør som et minimum:
- Ha dedikerte team som kun jobber med å avdekke sårbarheter.
- Følge strenge retningslinjer og ha systemer som fanger opp avvik.
- Utføre jevnlige sikkerhets- og programvareoppdateringer.
- Vise full åpenhet om hvordan de jobber med IT-sikkerhet.
- Hjelpe kundene sine med å ta gode sikkerhetsmessige valg.
Hvordan kan du sørge for det?
Slik er det skybaserte ERP-systemet Business NXT.
Still spørsmål!
Velg de mest aktuelle leverandørene for bedriften din, og still godt forberedt i møtet med dem. Disse spørsmålene kan hjelpe deg med å kartlegge det viktigste.
ISO-sertifiseringer!
Har leverandøren et kvalitetssystem som sikrer kvalitet i alle prosesser relatert til utvikling, test og leveranse av skytjenesten? Hva slags kvalitetssikringssystem har de for utvikling, test og leveranse av tjenesten, hva slags ISO-sertifiseringer gjennomføres, og har de uavhengige, jevnlige revisjoner av egen sikkerhet?
Pålitelige leverandører skal kunne redegjøre for sitt eget kvalitetssikringssystem og ha sertifiseringer av typen ISO 27001 og ISAE 3402 Type II.
Les mer: Styringssystem for informasjonssikkerhet.
Les mer: Slik styrker etiske hackere forretningssystemene gjennom vårt Bug bounty-program.
Leveres skytjenesten i henhold til gjeldende lover og regler?
Og hvordan sørger de for det? Her bør det helst være egne selskaper eller avdelinger på plass, som spesialiserer seg på lovgivning og regelverk for leveranser av skytjenester.
En leverandør skal ha den juridiske kompetansen som kreves sånn at du kan senke skuldrene og vite at leverandøren fikser denne avgjørende delen.
Les mer: Sjekkliste på enkle IT-sikkerhetstiltak du som bedriftsleder kan gjøre i bedriften din.
Blir dataene kryptert?
Kryptering sørger for at dataene blir uleselige slik at de ikke kan misbrukes hvis de havner i feil hender. Krypteringsnøklene bør oppbevares på et trygt sted som bare leverandøren har tilgang til. Krypteringen bør også beskytte data, både når de overføres over nettverk (i transitt) og når de lagres (i hvile).
Hvem har tilgang til dataene dine?
Det skal i utgangspunktet kun være deg som kunde som har tilgang til dine data.
Du tildeler brukerrettigheter for å regulere tilgangen til skytjenesten. Systemleverandøren har tilgang til dine data i support- og konsulentrelatert arbeid, det vil si der du gir dem tillatelsen for å løse en oppgave. Du skal alltid kunne regulere tilgangen.
Les mer: Datasikkerhet gjør at norske bedrifter velger skytjenester.
Hva er rutinene for behandling av personopplysninger?
Sørg for at driftsleverandøren oppfyller de krav til informasjonssikkerhet og andre krav som følger av den til enhver tid gjeldende personvernlovgivning.
Som kunde kan du blant annet be om å få fremlagt dokumentasjon på dette. Du må også inngå en skriftlig databehandleravtale med driftsleverandøren av tjenesten. I tillegg til dette er det også en rekke andre krav å være oppmerksomme på ved behandling av personopplysninger etter GDPR.
Bistår systemleverandøren kundene sine?
En god systemleverandør skal kunne hjelpe deg med å ta gode sikkerhetsmessige avgjørelser gjennom hele kundeforholdet. Det kan med andre ord være lurt å stille sikkerhetsspørsmål som gjelder akkurat din bedrift, allerede når du kartlegger mulige leverandører.
Har de gode rutiner med underleverandørene sine?
Ved en kontraktsinngåelse og på forespørsel bør du forsikre deg om at systemleverandøren kan gi deg informasjon om underleverandøren som blant annet:
a) Foretaksnavn.
b) Driftssted.
c) Driftsoppgaver, for underleverandører som driftsleverandøren bruker i levering av driftstjenester til virksomheten din.
Slik er det skybaserte ERP-systemet Business NXT.
{{cta-2}}