Vi er forpliktet til datasikkerhet og Compliance for programvaren vi utvikler, og alt vårt arbeid med våre kunder og deres data

Les mer om Compliance og datasikkerhet hos Greenstep

• ISO27001

  Greenstep ble ISO27001-sertifisert i 2023.

  "ISO27001-sertifikatet er et bevis på kvaliteten på retningslinjene, prosedyrene og prosessene hos Greenstep"
  Anne Kulla, Partner & Head of Compliance
  

  Våre retningslinjer inkluderer:
  

  • Sikker utviklingspolicy - Hos Greenstep følger alle utviklere våre retningslinjer for sikker utvikling. Kulturen vår verdsetter og belønner oppdagelse og reduksjon av sårbarheter. Ta kontakt med oss ​​hvis du ønsker å vite mer om vår praksis for sikker utvikling.
  • Code of conduct
  • Informasjonssikkerhetspolicy
  • Personalledelsespolitikk
  • Sikker arkitektur og ingeniørpolitikk
  • Bedriftskontinuitetspolitikk
  • Kontorpolicy/ Fysisk sikkerhetspolicy
  • Kryptografipolitikk
  • Ansvarlig avsløringspolitikk
  • Retningslinjer for tilgangskontroll
  • Leverandørpolicy
  • Testpolitikk
  • Enhetspolicy for endepunkt
  • Sikkerhetskopieringspolicy
  • Personvernerklæring
  • Retningslinjer for oppbevaring av informasjon
  • Passordpolicy
  • Loggingspolicy
  • Informasjonsklassifiseringspolicy
  • Sikker utviklingspolitikk
    Forsikringspolise
  • Penetrasjonstestingspolitikk

  Overholdelse av disse retningslinjene følges gjennom våre kontroller som følger ISO27001.2002-rammeverket og revideres årlig.
  

  

• NIS2 (Network and Information Security)

  Greenstep-samsvar med NIS2-direktivet
  

  NIS2-direktivet (Direktiv (EU) 2022/2555)) («NIS2») har som mål å oppnå et høyt felles nivå av cybersikkerhet i hele EU. Det er for datasikkerhet hva General Data Protection Regulation (GDPR) er for personopplysninger og databeskyttelse. NIS2 vil bli innført i lokal lovgivning i oktober 2024.

  

  Fra bedriftens synspunkt er den viktigste nye nasjonale reguleringen vedtatt på grunnlag av NIS2 Cybersecurity Act. Den nye lovgivningen setter for eksempel en registreringsplikt for enkelte selskaper, helst innen 1. januar 2025, samt plikt til cybersikkerhetsrelatert risikostyring og hendelsesrapportering. Ved manglende overholdelse av risikostyring eller rapportering, kan vedkommende myndighet ilegge en administrativ bot i samsvar med NIS2 og tilhørende gjeldende lovgivning. I tillegg kan en sektorspesifikk tilsynsmyndighet føre ex ante og ex post tilsyn med selskapets virksomhet basert på virksomhetsklassifisering som en viktig eller vesentlig enhet.
  
  Omfanget av anvendeligheten er ganske bredt. For eksempel, i Finland anslås Cybersecurity Act å gjelde for 2500 til 5000 enheter. Av disse organisasjonene faller bare rundt 10 til 20 % inn under forpliktelsen i det tidligere NIS1-direktivet (Direktiv (EU)2016/1148).
  
  Omfang: essensielle og digitale tjenester av en viss bedriftsstørrelse
  
  Samlet sett er omfanget av NIS2 stort, inkludert flere sektorer. Hovedmålet for denne forskriften er operatører knyttet til nødforsyning, som strøm, energi og vann. Denne EU-loven utvider imidlertid kravene også til andre bransjer som farmasøytisk industri, finansinstitusjoner og programvareleverandører, men i noen grad også til for eksempel regnskapsbyråer.
  
  Som hovedregel gjelder NIS2 for tilbydere av digitale tjenester. Et programvareselskap som utvikler og produserer en skytjeneste er helt klart innenfor rammen av NIS2. Dersom et regnskapsbyrå tilbyr sine kunder egenutviklet programvare som en skytjeneste, er det naturligvis også innenfor rammen av NIS2, akkurat som alle andre programvarefirmaer. I tillegg, hvis et regnskapsbyrå tilbyr sine kunder regnskaps- eller lønnsprogramvare eller annen programvare produsert og vedlikeholdt av et programvareselskap, er det omfattet av NIS2, dersom det tar seg av for eksempel tilgangsrettsforvaltning, tilbyr tilgangskontroll til programvare gjennom identifikasjon av sin egen nettside, eller på annen måte administrerer bruken av en skytjeneste. Innen skytjenester vil det være en utpekt myndighet som kan føre tilsyn med virksomhetens drift.
  
  NIS2 pålegger spesifikke størrelsesgrenser som bestemmer dens anvendelighet for selskaper. Disse grensene er kategorisert i to hovedklassifiseringer: viktige enheter og essensielle enheter:

  • Et selskap klassifiseres som en viktig enhet hvis det oppfyller minst ett av følgende kriterier: selskapet sysselsetter minst 50 ansatte, eller både den årlige omsetningen og balansesummen overstiger EUR 10 millioner.

  • Et selskap klassifiseres som en vesentlig enhet hvis det overskrider taket for mellomstore bedrifter, nærmere bestemt: mer enn 250 ansatte eller en omsetning på 50 millioner euro og en balanse på mer enn 43 millioner euro. Regelverket for viktige enheter er strengere sammenlignet med regelverket for viktige enheter. I tillegg er disse underlagt forhåndstilsyn.

  Anvendelse for Greenstep

  Når det gjelder Greenstep-konsernet, er morselskapet Greenstep Oy (Finland) basert på ovenstående ansett som en vesentlig enhet under NIS2 og er underlagt forhåndstilsyn. I motsetning til dette er for eksempel ikke Renance - Automated Financial Services Oy (Bezala) innenfor omfanget av NIS2 på grunn av størrelsesbegrensningen. På samme måte gjelder ikke NIS2 for vår virksomhet i Estland eller Nederland. I tillegg er det viktig å merke seg at Norge og Storbritannia for øyeblikket er delvis utenfor NIS2.
  
  Når det gjelder Greenstep Oy, inkluderer tjenestene spesifikt innenfor rammen av NIS2 regnskap og lønn.
  
  Overholdelsesteamet skal fortsette å overvåke utviklingen av den NIS2-relaterte reguleringen på landnivå for å sikre at det ikke er noen samsvarshull. Selv om ikke alle individuelle selskaper innenfor Greenstep-gruppen faller inn under de spesifikke NIS2-definisjonene, følger de konsernets omfattende informasjons- og cybersikkerhetspraksis. Disse praksisene er strukturert i henhold til styringsmodellen skissert i ISO 27001:2022-standarden og er utformet for å støtte implementeringen av NIS2-regelverket.
  
  Tre-trinns rapportering av betydelige cybersikkerhetshendelser
  
  NIS2 inkluderer en tre-trinns rapporteringsplikt for betydelige cybersikkerhetshendelser. For det første skal en hendelse rapporteres uten unødig forsinkelse og i alle fall innen 24 timer (tidlig varsling) til vedkommende myndighet. Den tidlige varslingen bør følges av en hendelsesvarsling. De berørte enhetene bør sende inn en hendelsesmelding uten unødig forsinkelse og under alle omstendigheter innen 72 timer etter at de ble kjent med den betydelige hendelsen. Sluttrapport skal leveres senest én måned etter hendelsesmeldingen.
  
  Greenstep overholder allerede generelle krav til hendelsesrapportering på grunnlag av GDPR, kundeavtaler og ISO27001-standarden. De NIS2-spesifikke prosedyrene, f.eks. maler, skal utarbeides etter behov.

  Lovgivning

  EU: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555

  Finland: https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_57+2024.aspx

  Sverige: Nya regler om cybersäkerhet - Regeringen.se

  Estland: Implementation of the NIS Directive in Estonia | Shaping Europe’s digital future (europa.eu)

  Norge: the NIS2 Directive is not included in the EEA Agreement

  Nederland: Cyberbeveiligingswet (NIS2-richtlijn) | Wet beveiliging netwerk- en informatiesystemen (Wbni) | Rijksinspectie Digitale Infrastructuur (RDI)

  UK: Introduction to the Cyber Assessment Framework - NCSC.GOV.UK

• Håndtering av personopplysninger (GDPR) og retningslinjer for personvern

  Greenstep er GDPR-kompatibel

  I tillegg til GDPR er det lokale lover som vi må følge, som i noen tilfeller går over GDPR. For eksempel har ikke en ansatt hos vår kunde rett til å bli glemt umiddelbart i enkelte land når det gjelder lønn, da de lokale lønns- og regnskapslovene tilsier hvor lenge materialet skal lagres.

  

  Personvernerklæring

  Du kan lese vår personvernerklæring her: Privacy policy (greenstep.com)
  

• Financial Management Association memberships

  Greenstep er autorisert i Finland

  Som medlem av Financial Management Association of Finland revideres vi årlig på våre regnskapsprosesser som organisasjon og som enkeltpersoner. Vi har over 40 autorisert personell innen både regnskap og lønn.

  

  Greenstep er autorisert i Sverige

  Vi er reviderte medlemmer av den svenske foreningen av regnskaps- og lønnskonsulenter. Flere av våre ansatte er autoriserte regnskapsførere som må følge den svenske standarden for regnskap, kalt Rex. Enkeltpersoner skal gjennomgå jevnlige kvalitetskontroller utført av SRF-konsulterna hvert sjette år. Autorisasjonen er et stempel fra SRF og garanterer regnskapsførerne høy kompetanse og erfaring.

  

  Greenstep har rett til å føre regnskap i Norge

  Finanstilsynet har gitt Greenstep rett til å føre regnskap i Norge.

  

  Greenstep er et støttemedlem av regnskapsførerforeningen i Estland

  

• KYC - Know Your Customer

  Know your Customer (KYC) er en essensiell prosess for Greenstep som et regnskapsfirma for å verifisere identiteten til sine klienter og overholde anti-hvitvaskingsbestemmelser (AML)

  Greenstep følger anti-hvitvaskingsdirektivet (2015/849; «AML-direktivet») som utgjør hovedrettslig instrument. AML-direktivet er kodifisert inn i medlemslandenes lovgivning og følges i hvert Greenstep-land. I Finland, Åland, Sverige, Norge og Estland er Greenstep registrert som tjenesteleverandør under KYC som regnskapsbyrå. EU-retten gjelder mange felt, men i Greensteps tilfelle er regnskapskontorene ansvarlige og ansvarlige for å forhindre hvitvasking og terrorfinansiering.
  
  For Greenstep strekker omfanget av KYC-kravene seg til alle våre kunder. ​Det er ulike nivåer av due diligence, og det avhenger av risikofaktorene identifisert under onboarding og kontinuerlig overvåking. ?
  
  Bare i svært sjeldne tilfeller kan vi se bort fra kravet til KYC. Ofte, selv i tilfeller som et børsnotert selskap, vil vi fullføre KYC, men med informasjonen vi er i stand til å samle inn fra offentlige kilder.

  
  Veiledning fra myndighetene:

  • Aluehallintovirasto i Finland Rahanpesulain valvonta - Raha ja omaisuus - Valvonta ja kantelut - Yritys-tai yhteisö - Aluehallintovirasto (avi.fi)
  • Rahanpesu - Poliisi
    
  • Ekobrotsmyndigheten i Sverige Penningtvättsbrott | Ekobrottsmyndigheten
    
  • Finanstillsynet i Norge Hvitvasking og terrorfinansiering - Finanstilsynet.no
    
  • Finantsinspektsioon i Estland Forebygging av hvitvasking generelt. Prevention of money laundering in general | FSA (fi.ee)
    
• Produkter og databehandlere etter kategori

  Accounting Softwares:

  Procountor er et markedsledende SaaS online regnskapssystem i Finland, Sverige og Norge.Tripletex er et SaaS ERP-system med mange moduler som fakturering, prosjekt, logistikk og lønn.

  Product	Country	Description	More Info
  NetSuite	Global	Ledende global ERP med utmerkede regnskapsfunksjoner.	NetSuite Application and Operational Security | NetSuite
  Netvisor	Finland	Netvisor er et markedsledende SaaS online regnskapssystem i Finland, som tilbyr tjenester for regnskap, salgs- og innkjøpsreskontro og lønn. Netvisor-tjenester kan benyttes via nettleser og mobilapp.	Visma Trust Centre - Netvisor
  Procountor	Finland, Sverige, Norge		Tietosuojaseloste - Procountor
  Merit Accounting & Payroll	Estland	Merit tilbyr programvare for regnskap og lønn designet for mikro- og småbedrifter i Estland.	Visma Trust Centre - Merit Accounting
  Tripletex	Norge	Tripletex er et SaaS ERP-system med mange moduler som fakturering, prosjekt, logistikk og lønn.	Visma Trust Centre - Tripletex

  
  
  

  Payroll Softwares

  Product	Country	Description	More Info
  Mepco	Global / Finland	Leading Payroll software in Finland with global HR features.	Mepo Privacy Policy
  Hogia	Sverige	Leading Payroll software in Sweden	Hogia Säkerhet

  
  
  

• Whistleblowing

  Greenstep fremmer ansvarlige forretningsmetoder og fremmer en etisk måte å handle på. Vi tar alle ulovlige, uetiske eller andre handlinger som strider mot våre retningslinjer på alvor. Vi oppfordrer deg til å gjøre oss oppmerksom på disse hver gang det er mistanke om uredelighet.

  Det er avgjørende at de ansatte, samarbeidspartnere og andre interessenter i Greenstep informerer oss om deres bekymringer og mistanker angående uredelighet som ikke er i tråd med organisasjonens retningslinjer. Derfor oppfordrer vi primært deg til å kontakte en veileder i vår organisasjon. Men hvis dette ikke er et alternativ, kan du rapportere en bekymring via rapporteringskanalen.
  
  Du trenger ikke å ha sikre bevis på feil oppførsel; rapporter bør imidlertid sendes ærlig og i god tro. Bevisst rapportering av falsk informasjon er strengt forbudt.
  
  Unngå å avsløre personlig informasjon, spesielt ømfintlig informasjon, mens du sender inn en rapport. Hvis meldingen inneholder informasjon som er forbudt ved lov, kan det hende vi ikke får lov til å behandle den.
  
  Du kan legge igjen navn og kontaktinformasjon under rapporteringen, men vi gir deg denne muligheten til å uttrykke din bekymring anonymt gjennom denne konfidensielle kanalen. I tillegg fjerner tjenesten alle metadata automatisk i tilfelle det er noen vedlegg lagt til rapporten.
  
  Lexia Asianajotoimisto Oy er ansvarlig for tjenestepakken samt for lovlig behandling av rapporter.
  
  Etter å ha sendt rapporten vil du motta en unik token på skjermen som gjør at du kan fortsette å kommunisere anonymt med oss ​​i fremtiden. Lagre dette på en sikker måte. Ved behov kan vi sende inn oppfølgingsspørsmål via rapporteringskanalen og informere deg om hvordan etterforskningen foregår.
  
  Alle rapporter undersøkes konfidensielt og i henhold til spesifiserte prosedyrer. Mulige resulterende skritt tas først etter at etterforskningen er avsluttet. Informasjonen fra rapporten eller undersøkelsen kan bare nås av personene som trenger den for å fullføre undersøkelsen.

  Du lager en hendelse herfra: https://app.easywhistle.com/report/greenstep/about