K

Kerttu Multisilta

Webinaarinauhoite: Visma Sign ja tietoturva - parhaat käytännöt

29-01-2021 2:35 pm posted by Kerttu Multisilta

Visma Sign on tietoturvallinen ja riskitön palvelu. Palvelua käytettäessä on kuitenkin tärkeää, että yrityksesi jokainen käyttäjä tuntee palvelun tietoturva-asetukset ja -toiminnot. Vuoden ensimmäisessä webinaarissa annoimme konkreettisia vinkkejä sekä suosituksia siitä, miten voit vahvistaa yrityksesi tietoturvaa Visma Signin avulla.

 

Käsittelyssä olivat seuraavat aiheet:

  • Visma Signin tietoturva yleisesti
  • Palvelun keskeisimmät tietoturva-asetukset
  • Allekirjoituskutsun luominen tietoturva huomioiden

 

Katso maksuton tallenne tästä Alta löydät vastaukset webinaarissa esitettyihin kysymyksiin.

 

Miksi pitäisi hyväksyä muita kuin vahvalla tunnistautumisella tehtyjä allekirjoituksia?

Esimerkiksi taloyhtiöiden kokouspöytäkirjoissa riittää ihan hyvin käsintehty “ kuittaus”. Lisäksi osa allekirjoittajista voi olla Pohjoismaiden ulkopuolelta, jolloin vahvaa tunnistautumista ei ole käytössä.

 

Jos asiakirjalla on useampi allekirjoittaja, joista osa allekirjoittaa sähköisesti ja viimeinen ei osaa, vaan haluaa sitten allekirjoittaa vanhanaikaisesti paperin, niin mitä dokumentille tapahtuu? "Turhaan" kutsuttua allekirjoittajaa ei pysty kai poistamaan ja asiakirja jää avoimiin.

Dokumentin voi aina poistaa järjestelmästä ja ottaa siihen puuttuvat myös vanhanaikaisesti. Juridisesti mitään ei mene rikki. Helpoin tapa on ottaa paperiin ensin fyysinen allekirjoitus ja sitten sähköinen allekirjoitus. Tällöin tarkastusominaisuudet pysyvät dokumentissa.

 

Onko mahdollista saada käyttäjät aakkosjärjestykseen, jolloin hallinta olisi helpompaa?

Olet aivan oikeassa. Tämä on korkealla kehityslistalla.

 

Tuleeko palveluun mahdollisuus tehdä alakansioita?

Palvelun arkistointia ollaan kehittämässä huomattavasti. Kannattaa pysyä kuulolla.

 

Miten toimitaan, jos henkilö edustaa useampaa organisaatiota?

Sama henkilö voidaan toki kutsua allekirjoittamaan monta kertaa esimerkiksi niin, että kutsu lähetetään eri organisaatioiden sähköposteihin.

 

Miksei toimintojen kuvaus näy kun menee toiminnon päälle?

Olemme uudistamassa ja ryhmittelemässä lähetysvaihtoehtoja. Tämä asia välitetään suunnittelijoille, sillä se on hyvä idea. Voiko sinulle olla yhteydessä ja kysyä mielipidettä?

 

Jos haluaa tallentaa asiakirjan ja lähettää myöhemmin, mihin ne tallentuu?

Jos haluat tallentaa asiakirjan luonnoksena, tallentuu luonnos tällä hetkellä arkistoon siihen kansioon, joka on valittu luontivaiheessa. Tallenna ja lähetä myöhemmin toiminnolla voi tallentaa kutsun nimen, valitun kansion ja lisätyn tiedoston. Muut asetukset ja allekirjoittajat tulee lisätä erikseen aina lähetysvaiheessa.

 

Voiko turvapostin koodin lähettää erillisellä sähköpostilla eikä textarilla?

Tämä ei ole mahdollista, koska kaksi samaan sähköpostiin menevää viestiä ei ole turvallista. Mikäli joku pääsee käsiksi sähköpostilaatikkoon, on silloin sama onko ne tiedot yhdessä vai kahdessa viestissä.

 

Mihin turvakutsuja tyypillisesti käytetään? Onko jotain lakisääteistä taustalla?

Ei ole mitään lakisääteistä. Tämän voi jokainen organisaatio päättää itse. Työsopimuksissa kulkee aika hieno havainnollinen raja, jolloin samalla dokumentilla on jo “ liikaa” tietoa, jos se päätyy vääriin käsiin.

 

Entä kun kutsu lähtee organisaatiolle allekirjoitettavaksi, ja samalla henkilökohtaiseen allekirjoitukseen toiselle allekirjoittajalle?
Tämä voidaan päättää jokaisen kutsujan kohdalla erikseen. Siellä on kentän perässä valinta, jonka takaa pääsee valitsemaan jokaiselle allekirjoittajalle asetukset erikseen.

 

Onko API-rajapinnassa myös nämä uudet ominaisuudet? Esim. kutsun voimassaoloaika.

Suurin osa uusista ominaisuuksista löytyy myös API-rajapinnasta. Muutos kutsun voimassaoloajasta koskee kuitenkin toistaiseksi vain käyttöliittymän kautta lähetettyjä kutsuja. Päivitetty kuvaus löytyy aina täältä: https://sign.visma.net/api/docs/v1

 

Jos dokumenttia ei lähetetä sähköpostitse, niin miten vastaanottaja saa sen?

Dokumentin saa menemällä vismasign.fi osoitteeseen ja rekisteröitymällä palveluun samalla sähköpostilla, jolla on dokumentin allekirjoittanut. 

 

Kauanko organisaation dokumentit säilyikään arkistossa?

7 vuotta, jos organisaatio on rekisteröitynyt palveluun. Muussa tapauksessa 30 päivää.

 

Hei, onko HETU aina suomalainen? Mietin ulkomaalaisia allekirjoittajia, joilla ei ole Suomen pankkitunnuksia.

Henkilötunnusta ei tarvitse allekirjoitukseen, se kyllä saadaan aina pankista. Kutsua lähetettäessä voidaan kuitenkin päättää tallennetaanko hetu selkokielisenä allekirjoituksen yhteyteen.

 

Miten allekirjoitetaan ilman vahvaa tunnistautumista?

Allekirjoitus tapahtuu joko sormella tai hiirellä piirtämällä. Kokonaisuus allekirjoitusprosessi on samanlainen huolimatta siitä, allekirjoitetaanko vahvalla tunnistautumisella vai ilman. Lisätietoja saat esimerkiksi tukiportaalimme artikkelista tai aihetta käsittelevästä webinaaristamme. 

 

Jos allekirjoitus pyydetään organisaation nimissä, niin tuleeko organisaation nimi näkyviin lopulliseen dokumenttiin?

Kyllä tulee.

 

Voiko olla päällä "lähetä allekirjoitettu sähköpostilla", mutta ilman valintaa "lähetä tieto, kun kaikki ovat allekirjoittaneet"?
Kyllä. Toinen toiminnallisuus lähettää itse dokumentin ja toinen vain tiedotteen allekirjoitustapahtumasta.

 

Onko arkistoinnin osalta integraatio Microsoft Teamsiin olemassa?

Valitettavasti ei ole.

 

Voiko pääkäyttäjältä estää pääsyn esim. HR-kansioon?

Pääkäyttäjä on haasteellinen tässä. Pitää olla yksi käyttäjä, joka pääsee kaikkialle hallinnoimaan. Joskus olemme avanneet yrityksen HR:lle oman tilin, jolloin tilille on pääsy vain HR-käyttäjillä.

 

 

Mitä jos esim. 14 vrk aika menee umpeen, ja osa on allekirjoittanut ja osa ei? Pitääkö asiakirja laittaa sitten kaikille uudestaan allekirjoitettavaksi? Vai miten toimitaan?

Kyllä. Toinen vaihtoehto on tehdä erillinen lisäpöytäkirja, jossa mainitsee alkuperäisen dokumentin ja allekirjoituttaa lisäpöytäkirjan niillä, jotka ei alkuperäistä ehtinyt allekirjoittaa. Suosittelemme laittamaan voimassaoloajan tarvittaessa tarpeeksi pitkälle. 

 

Jos laittaa kutsulle voimassaoloajan, niin muistuttaako järjestelmä automaattisesti määräajan lähestyessä?

Tällä hetkellä suosittelemme laittamaan kutsulle muistutuksen, jos sen määräaika alkaa pian umpeutua. Automaattiset muistutukset eivät ole vielä mahdollisia, mutta ne ovat tulossa palveluun pian.

 

Miten tulisi toimia, jos allekirjoittaja ei allekirjoita ajoissa, tai yksi neljästä ei allekirjoita ajoissa? Täytyykö lähettää koko asiakirja kaikille uudelleen, vai kuinka?

Tässä tapauksessa suosittelemme laittamaan kutsulle muistutuksen, jos sen määräaika alkaa pian umpeutua. Mikäli kutsu ehtii umpeutua, on kaksi vaihtoehtoa kuinka toimia:
  1. Kutsun umpeuduttua voit lähettää kokonaan uuden kutsun
  2. Tehdä erillinen lisäpöytäkirja, jossa mainitsee alkuperäisen dokumentin ja allekirjoituttaa lisäpöytäkirjan niillä, jotka ei alkuperäistä ehtinyt allekirjoittaa

 

Jos valittuna allekirjoita organisaationa, niin voiko ainoastaan organisaation virallisen prokuran omaava allekirjoittaa?

Allekirjoittajan nimenkirjoitusoikeutta ei toistaiseksi tarkisteta.

 

Jos kutsun lähettäjä ei valitse allekirjoita organisaationa valintaa, niin miten vastapuoli voi sen muuttaa, että asiakirja tallentuisi yrityksen arkistoon?

Tämä on hyvä kehityskohde. Otamme työn alle. 

 

Miten saamme kutsupohjan kaikkien käyttäjäryhmien oletuskäyttöön?

Kutsupohja on käyttäjäryhmäkohtainen. Tämän takana on ajatus siitä, että kutsupohjan pitää täsmätä kansion oikeuksiin.

 

Voiko kansioihin määritellä niin, että edes pääkäyttäjä ei näe sen dokumentteja (esim. työsopimukset)?

HR:lle voidaan tehdä oma “ alitili”, jolloin tilille on pääsy vain HR-ihmisillä.

 

Kauanko allekirjoitetut asiakirjat pysyvät arkistossa?

7 vuotta.

 

Missä VismaSign-arkistot sijaitsevat, siis missä palvelimet ovat? Onko varmasti turvallista arkistoida dokumentteja, joissa on henkilötunnuksia?

Palvelimet sijaitsevat Suomessa. Meillä on lukuisia pankkeja, vakuutusyhtiöitä ja jopa valtion hallintoa asiakkaana. Tallentaminen on turvallista.

 

Tarkistetaanko jotenkin se, että henkilöllä on oikeus esiintyä yrityksen nimissä?

Toistaiseksi ei tarkisteta. Tästä on oma kehityshanke menossa.

 

 

Logga in eller Registrera digför att publicera en kommentar