Uppdaterad: 19.2.2024
Vi på Visma tar datasäkerhet på största allvar och därför ser vi till att det alltid är säkert att använda våra tjänster. Wilma är certifierat enligt ISO/IEC 27001:2013. Detta innebär att informationssäkerheten i tjänsten ligger på den nivå som specificeras i standarden. I praktiken innebär detta att en extern revisor konstaterat att informationssäkerheten kring Wilma ständigt utvecklas och att riskhanteringen implementeras i enlighet med bästa praxis. Mer om informationssäkerheten i Wilma: https://www.wilma.fi/tietoturvallinen-wilma
Nedan följer några vanliga frågor om informationssäkerheten i Wilma.
Vilka åtgärder vidtar Visma för att garantera informationssäkerheten i Wilma?
Vi arbetar oavbrutet för att våra system ska vara säkra att använda. I testprocesserna kring Wilma samarbetar vi med white hat-hackers, och vi har bl.a. ordnat Hackday-event där dessa får prova knäcka Wilma. Vi använder oss även av Bug Bounty, där experter försöker hitta kryphål i systemet. På så vis får vi värdefull information direkt från datasäkerhetsproffsen. Via Bug Bounty har vi fått olika typer av observationer som varit till hjälp med tanke på informationssäkerheten.
Hur bidrar SaaS till att förbättra säkerheten?
I praktiken innebär SaaS-tjänsten att servrarna finns i Vismas serverutrymme och kunderna alltid har tillgång till den senaste programversionen. Om det uppstår problem uppdaterar Visma automatiskt programvaran till en korrigerad version. Om servern skulle finnas i kommunens egna serverrum finns det en risk att säkerhetsuppdateringen inte kan implementeras omedelbart.
Det bör dock noteras att när det gäller SaaS-tjänster kan informationssäkerheten inte helt och hållet utlokaliseras till Visma. Ansvaret för informationssäkerheten omfattar hela kedjan, från användaren av tjänsten till tjänsteleverantören. Detta gäller särskilt behandling av personuppgifter, i synnerhet information som enligt dataskyddsförordningen anses vara känslig. Sådana uppgifter inkluderar till exempel religiös och filosofisk övertygelse samt hälsorelaterad information.
Används kryptering i Wilma?
Förbindelsen mellan Wilma och webbläsaren är krypterad som standard. Datakommunikationssäkerhet implementeras med hjälp av HTTPS-nätverksprotokoll, som säkerställer dataintegritet och konfidentialitet. Dessutom körs Wilma som tjänster med hög tillgänglighet och övervakas dygnet runt.
Vad kännetecknar ett bra Wilma-lösenord?
Ett bra lösenord är tillräckligt svårt. Det ska bestå av minst 8 tecken och minst tre av följande element ska ingå: stora bokstäver, små bokstäver, siffror eller specialtecken. Dessa kriterier gäller även för Wilma.
Det är också klokt att byta lösenordet med jämna mellanrum. Läroanstalten kan ställa in så att Wilma-användarna måste ändra lösenordet t.ex. en gång i månaden eller två gånger om året.
Tips för att skapa ett starkt lösenord och att använda Wilma på ett säkert sätt:
- Välj ett lösenord som är omöjligt för ens bekanta att känna till eller gissa. Du kan använda en hel mening som du själv enkelt kan komma ihåg men som är svår för andra att gissa.
- Skriv inte ner lösenordet på en lapp. Om du ändå gör det, förvara den åtminstone inte på en plats där någon lätt kan hitta den.
- Återanvänd inte samma lösenord i andra tjänster.
- Uppge aldrig ditt lösenord för någon, inte heller för skolan eller till Visma.
- Töm webbläsarens cacheminne när du har använt en annan dator än din egen. Stäng webbläsaren när du lämnar datorn.
- Logga alltid ut när du har slutar använda Wilma.
Vad ska jag göra om någon får reda på mitt lösenord?
Om du misstänker eller vet att en persons Wilma-lösenord har komprometterats, rapportera detta omedelbart till kontoinnehavaren och till den person som ansvarar för säkerheten. Byt lösenordet omedelbart och informera kontoinnehavaren om det nya lösenordet. Därefter måste kontoinnehavaren ännu logga in i Wilma och själv byta lösenordet.
Undersök loggfilen för att se hur kontot har använts t.ex. under den senaste veckan. Om du misstänker brottslig verksamhet, anmäl detta till polisen och kontakta även Wilmas kundsupport.
Kan man autentisera sig starkt i Wilma?
Wilma stödjer Suomi.fi-identifiering, vilket kräver att användaren styrker sin identitet med bankkoder eller mobilcertifikat. Det är upp till våra kunder att avgöra om de vill erbjuda Suomi.fi-identifiering i Wilma.
Vad innebär tvåstegsverifiering?
Multifaktorautentisering (MFA) eller tvåstegsverifiering är en egenskap som bidrar till bättre säkerhet för användaren i Wilma. I praktiken innebär detta att man förutom användarnamn och lösenord ger ytterligare en autentisering, till exempel i form av kod från Google Authenticator eller en Suomi.fi-identifiering. Multifaktorautentiseringen är en betydande säkerhetsfaktor vid inloggning med användarnamn-lösenord. När flera autentiseringsmetoder används för inloggning är säkerhetsnivån är betydligt bättre och informationen är betydligt bättre skyddad. Då MFA används kan en angripare inte dra nytta av ett stulet användarnamn och lösenord, utan behöver också ett ytterligare autentiseringssätt.
Multifaktorautentisering är inte automatiskt påslagen, utan kräver att kunden aktiverar funktionen.
Vad är Yubikey och hur används den med Wilma?
I Wilma kan man också logga in med hjälp av YubiKey. YubiKey är en fysisk nyckel som sätts i datorns USB-port. Med YubiKey loggar man in i Wilma utan att knappa in användarnamnet och lösenordet. I stället trycker man bara på en knapp på YubiKeyn och anger en fyrsiffrig kod. Yubikey är en alternativ lösning och det är kunden som avgör om Yubikey-inloggning är möjlig.
YubiKey-nyckeln bör förvaras omsorgsfullt. YubiKey får INTE lämnas i en USB-port, på bordet eller dylikt där någon kan ta den.
