Tietoturva on Vismalle erittäin tärkeä asia, ja pidämme kehittäjänä huolta, että Wilman käyttö on aina turvallista.

Visma Enterprise Oy:n Wilma-ohjelma on saanut tietoturvasertifikaatin (ISO/IEC 27001:2013). Tämä tarkoittaa, että palvelun tietoturva on standardissa määritellyllä tasolla. Käytännössä tämä tarkoittaa ulkopuolisen auditoijan todistusta siitä, että Wilman tietoturvan kehittäminen on jatkuvaa työtä, ja tietoturvan riskienhallintaa toteutetaan parhaiden käytäntöjen mukaisesti.

wilma tietoturva, iso 27001, tietoturvatodistus, tietoturvasertifikaatti
Wilman ISO 27001 -tietoturvasertifikaatti

Wilma-ohjelmistopalvelu

Wilmaa käytetään SaaS-palveluna, jolloin asiakkaan ei tarvitse itse huolehia ohjelmistojen ja palvelinten ylläpidosta. Tässä yhteydessä on toki huomioitava, että vaikka ohjelmistot ja palvelimet voidaan ulkoistaa, ei tietoturvaa kokonaisuudessaan pysty ulkoistamaan, vaan vastuu tietoturvasta kattaa koko ketjun aina palvelun käyttäjästä palveluntarjoajaan asti. Tämä koskee erityisesti henkilötietojen käsittelyä, varsinkin tietosuoja-asetuksen arkaluonteiseksi määrittelemiä tietoja. Näitä ovat esimerkiksi uskonnollinen ja filosofinen vakaumus sekä terveyttä koskevat tiedot.

SaaS-palvelussa Wilmassa olevat tiedot varmuuskopioidaan joka päivä, ja varmuuskopioita säilytetään määrätyn ajan. Asiakas voi myös halutessaan ottaa oman varmuuskopion Wilman tiedoista. Varmistuksien palautuksia harjoitellaan säännöllisesti.

Wilman ja selaimen välinen yhteys on lähtökohtaisesti salattu. Tietoliikenteen suojaus tehdään käyttäen HTTPS-verkkoviestinnän protokollaa, jonka avulla pystytään varmistumaan tietojen eheydestä ja luottamuksellisuudesta. Lisäksi Wilman palvelut ovat korkean käytettävyyden piirissä, jota valvotaan viikon jokaisena päivä.  SaaS-palvelussa on aina viimeisin Wilman ohjelmaversio käytettävissä ja päivityksiä tehdään palveluun vähintään kuukausitasolla.

Bug Bounty -ohjelma

Wilman tietoturvallisuutta on parannettu aikojen saatossa ulkopuolisten tietoturva-asiantuntijoiden avulla. Wilma on ollut jo noin 2 vuotta mukana Bug Bounty -ohjelmassa, jossa tietoturva-asiantuntijat – niin kutsut “valkohattuhakkerit” – yrittävät löytää haavoittuvuuksia järjestelmästä. Koko Bug Bounty -ohjelman aikana olemme saaneet useita erilaista havaintoja, joiden kautta olemme voineet parantaa tietoturvaa.

Kuvista näet metriikkaa ohjelman raporteista sekä raporttien kriittisyysluokituksista.

wilma bug bounty
wilma bug bounty

Wilmaan tunnistautuminen

Wilmaan tunnistautuminen perustuu käyttäjätunnus-salasanapareihin. Salasanan pitää täyttää perusvaatimukset: sanan pituuden tulee olla vähintään 8 merkkiä ja sen tulee sisältää isoja ja pieniä kirjaimia, numeroita tai erikoismerkkejä.

Wilma tarjoaa lisäksi mahdollisuuden käyttää monivaiheista tunnistautumista, mikä tarjoaa tehokkaan suojan niin, etteivät ulkopuoliset pääse järjestelmiin käsiksi. Tämä tarkoittaa käytännössä sitä, että käyttäjätunnuksen ja salasanan lisäksi tarvitaan vielä erillinen tunnistautuminen, esimerkkinä Google Authenticator tai Suomi.fi -palvelut. Tässä on kuitenkin hyvä huomata, että monivaiheinen tunnistautuminen ei ole automaattisesti päällä, vaan se vaatii ensin kyseisen toiminnon käyttöönoton.

Lisäksi Wilma tarjoaa mahdollisuuden käyttää tietotokoneeseen liitettävää suoja-avainta, joka osaltaan mahdollistaa kaksivaiheisen tunnistautumisen. 

Mikäli sinulla on kysyttävää Wilman tietoturvasta, olethan yhteydessä Security Officer Mika Muuriseen: mika.muurinen@visma.com