Vi er forpliktet til datasikkerhet og Compliance for programvaren vi utvikler, og alt vårt arbeid med våre kunder og deres data
Greenstep er ISO27001-sertifisert, og i samsvar med GDPR, NIS2, Anti Money Laundering og KYC EU-lover. Vi er revidert av lokale økonomistyringsforeninger i Finland (Taloushallintoliitto), Sverige (SRF), Norge (Finanstilsynet) og er medlem av Estonian Accountants Association (Eesti Raamatupidataje Kogu).
Vi er også sertifisert rådgiver på Nasdaq Helsinki Stock Exchange og medlem av den finske venturekapitalforeningen. På vegne av våre kunder rapporterer vi også til FIN-FSA (Financial Supervisory Authority in Finland) og EVCA (European Venture Capital Association).
Sikkerhet er kjernen i alt vi gjør, og vi jobber også for bedre regulering og prosesser på regnskapsområdet som aktive medlemmer i styringsgruppen for finansadministrasjonen for finansforvaltningen i Finland.
"ISO27001-sertifikatet er et bevis på kvaliteten på retningslinjene, prosedyrene og prosessene hos Greenstep" Anne Kulla, Partner & Head of Compliance
Våre retningslinjer inkluderer:
Sikker utviklingspolicy - Hos Greenstep følger alle utviklere våre retningslinjer for sikker utvikling. Kulturen vår verdsetter og belønner oppdagelse og reduksjon av sårbarheter. Ta kontakt med oss hvis du ønsker å vite mer om vår praksis for sikker utvikling.
Code of conduct
Informasjonssikkerhetspolicy
Personalledelsespolitikk
Sikker arkitektur og ingeniørpolitikk
Bedriftskontinuitetspolitikk
Kontorpolicy/ Fysisk sikkerhetspolicy
Kryptografipolitikk
Ansvarlig avsløringspolitikk
Retningslinjer for tilgangskontroll
Leverandørpolicy
Testpolitikk
Enhetspolicy for endepunkt
Sikkerhetskopieringspolicy
Personvernerklæring
Retningslinjer for oppbevaring av informasjon
Passordpolicy
Loggingspolicy
Informasjonsklassifiseringspolicy
Sikker utviklingspolitikk Forsikringspolise
Penetrasjonstestingspolitikk
Overholdelse av disse retningslinjene følges gjennom våre kontroller som følger ISO27001.2002-rammeverket og revideres årlig.
NIS2-direktivet (Direktiv (EU) 2022/2555)) («NIS2») har som mål å oppnå et høyt felles nivå av cybersikkerhet i hele EU. Det er for datasikkerhet hva General Data Protection Regulation (GDPR) er for personopplysninger og databeskyttelse. NIS2 vil bli innført i lokal lovgivning i oktober 2024.
Fra bedriftens synspunkt er den viktigste nye nasjonale reguleringen vedtatt på grunnlag av NIS2 Cybersecurity Act. Den nye lovgivningen setter for eksempel en registreringsplikt for enkelte selskaper, helst innen 1. januar 2025, samt plikt til cybersikkerhetsrelatert risikostyring og hendelsesrapportering. Ved manglende overholdelse av risikostyring eller rapportering, kan vedkommende myndighet ilegge en administrativ bot i samsvar med NIS2 og tilhørende gjeldende lovgivning. I tillegg kan en sektorspesifikk tilsynsmyndighet føre ex ante og ex post tilsyn med selskapets virksomhet basert på virksomhetsklassifisering som en viktig eller vesentlig enhet.
Omfanget av anvendeligheten er ganske bredt. For eksempel, i Finland anslås Cybersecurity Act å gjelde for 2500 til 5000 enheter. Av disse organisasjonene faller bare rundt 10 til 20 % inn under forpliktelsen i det tidligere NIS1-direktivet (Direktiv (EU)2016/1148).
Omfang: essensielle og digitale tjenester av en viss bedriftsstørrelse
Samlet sett er omfanget av NIS2 stort, inkludert flere sektorer. Hovedmålet for denne forskriften er operatører knyttet til nødforsyning, som strøm, energi og vann. Denne EU-loven utvider imidlertid kravene også til andre bransjer som farmasøytisk industri, finansinstitusjoner og programvareleverandører, men i noen grad også til for eksempel regnskapsbyråer.
Som hovedregel gjelder NIS2 for tilbydere av digitale tjenester. Et programvareselskap som utvikler og produserer en skytjeneste er helt klart innenfor rammen av NIS2. Dersom et regnskapsbyrå tilbyr sine kunder egenutviklet programvare som en skytjeneste, er det naturligvis også innenfor rammen av NIS2, akkurat som alle andre programvarefirmaer. I tillegg, hvis et regnskapsbyrå tilbyr sine kunder regnskaps- eller lønnsprogramvare eller annen programvare produsert og vedlikeholdt av et programvareselskap, er det omfattet av NIS2, dersom det tar seg av for eksempel tilgangsrettsforvaltning, tilbyr tilgangskontroll til programvare gjennom identifikasjon av sin egen nettside, eller på annen måte administrerer bruken av en skytjeneste. Innen skytjenester vil det være en utpekt myndighet som kan føre tilsyn med virksomhetens drift.
NIS2 pålegger spesifikke størrelsesgrenser som bestemmer dens anvendelighet for selskaper. Disse grensene er kategorisert i to hovedklassifiseringer: viktige enheter og essensielle enheter:
Et selskap klassifiseres som en viktig enhet hvis det oppfyller minst ett av følgende kriterier: selskapet sysselsetter minst 50 ansatte, eller både den årlige omsetningen og balansesummen overstiger EUR 10 millioner.
Et selskap klassifiseres som en vesentlig enhet hvis det overskrider taket for mellomstore bedrifter, nærmere bestemt: mer enn 250 ansatte eller en omsetning på 50 millioner euro og en balanse på mer enn 43 millioner euro. Regelverket for viktige enheter er strengere sammenlignet med regelverket for viktige enheter. I tillegg er disse underlagt forhåndstilsyn.
Anvendelse for Greenstep
Når det gjelder Greenstep-konsernet, er morselskapet Greenstep Oy (Finland) basert på ovenstående ansett som en vesentlig enhet under NIS2 og er underlagt forhåndstilsyn. I motsetning til dette er for eksempel ikke Renance - Automated Financial Services Oy (Bezala) innenfor omfanget av NIS2 på grunn av størrelsesbegrensningen. På samme måte gjelder ikke NIS2 for vår virksomhet i Estland eller Nederland. I tillegg er det viktig å merke seg at Norge og Storbritannia for øyeblikket er delvis utenfor NIS2.
Når det gjelder Greenstep Oy, inkluderer tjenestene spesifikt innenfor rammen av NIS2 regnskap og lønn.
Overholdelsesteamet skal fortsette å overvåke utviklingen av den NIS2-relaterte reguleringen på landnivå for å sikre at det ikke er noen samsvarshull. Selv om ikke alle individuelle selskaper innenfor Greenstep-gruppen faller inn under de spesifikke NIS2-definisjonene, følger de konsernets omfattende informasjons- og cybersikkerhetspraksis. Disse praksisene er strukturert i henhold til styringsmodellen skissert i ISO 27001:2022-standarden og er utformet for å støtte implementeringen av NIS2-regelverket.
Tre-trinns rapportering av betydelige cybersikkerhetshendelser
NIS2 inkluderer en tre-trinns rapporteringsplikt for betydelige cybersikkerhetshendelser. For det første skal en hendelse rapporteres uten unødig forsinkelse og i alle fall innen 24 timer (tidlig varsling) til vedkommende myndighet. Den tidlige varslingen bør følges av en hendelsesvarsling. De berørte enhetene bør sende inn en hendelsesmelding uten unødig forsinkelse og under alle omstendigheter innen 72 timer etter at de ble kjent med den betydelige hendelsen. Sluttrapport skal leveres senest én måned etter hendelsesmeldingen.
Greenstep overholder allerede generelle krav til hendelsesrapportering på grunnlag av GDPR, kundeavtaler og ISO27001-standarden. De NIS2-spesifikke prosedyrene, f.eks. maler, skal utarbeides etter behov.
I tillegg til GDPR er det lokale lover som vi må følge, som i noen tilfeller går over GDPR. For eksempel har ikke en ansatt hos vår kunde rett til å bli glemt umiddelbart i enkelte land når det gjelder lønn, da de lokale lønns- og regnskapslovene tilsier hvor lenge materialet skal lagres.
Som medlem av Financial Management Association of Finland revideres vi årlig på våre regnskapsprosesser som organisasjon og som enkeltpersoner. Vi har over 40 autorisert personell innen både regnskap og lønn.
Greenstep er autorisert i Sverige
Vi er reviderte medlemmer av den svenske foreningen av regnskaps- og lønnskonsulenter. Flere av våre ansatte er autoriserte regnskapsførere som må følge den svenske standarden for regnskap, kalt Rex. Enkeltpersoner skal gjennomgå jevnlige kvalitetskontroller utført av SRF-konsulterna hvert sjette år. Autorisasjonen er et stempel fra SRF og garanterer regnskapsførerne høy kompetanse og erfaring.
Greenstep har rett til å føre regnskap i Norge
Finanstilsynet har gitt Greenstep rett til å føre regnskap i Norge.
Greenstep er et støttemedlem av regnskapsførerforeningen i Estland
Know your Customer (KYC) er en essensiell prosess for Greenstep som et regnskapsfirma for å verifisere identiteten til sine klienter og overholde anti-hvitvaskingsbestemmelser (AML)
Greenstep følger anti-hvitvaskingsdirektivet (2015/849; «AML-direktivet») som utgjør hovedrettslig instrument. AML-direktivet er kodifisert inn i medlemslandenes lovgivning og følges i hvert Greenstep-land. I Finland, Åland, Sverige, Norge og Estland er Greenstep registrert som tjenesteleverandør under KYC som regnskapsbyrå. EU-retten gjelder mange felt, men i Greensteps tilfelle er regnskapskontorene ansvarlige og ansvarlige for å forhindre hvitvasking og terrorfinansiering.
For Greenstep strekker omfanget av KYC-kravene seg til alle våre kunder. Det er ulike nivåer av due diligence, og det avhenger av risikofaktorene identifisert under onboarding og kontinuerlig overvåking. ?
Bare i svært sjeldne tilfeller kan vi se bort fra kravet til KYC. Ofte, selv i tilfeller som et børsnotert selskap, vil vi fullføre KYC, men med informasjonen vi er i stand til å samle inn fra offentlige kilder.
Procountor er et markedsledende SaaS online regnskapssystem i Finland, Sverige og Norge.Tripletex er et SaaS ERP-system med mange moduler som fakturering, prosjekt, logistikk og lønn.
Product
Country
Description
More Info
NetSuite
Global
Ledende global ERP med utmerkede regnskapsfunksjoner.
Netvisor er et markedsledende SaaS online regnskapssystem i Finland, som tilbyr tjenester for regnskap, salgs- og innkjøpsreskontro og lønn. Netvisor-tjenester kan benyttes via nettleser og mobilapp.
Greenstep fremmer ansvarlige forretningsmetoder og fremmer en etisk måte å handle på. Vi tar alle ulovlige, uetiske eller andre handlinger som strider mot våre retningslinjer på alvor. Vi oppfordrer deg til å gjøre oss oppmerksom på disse hver gang det er mistanke om uredelighet.
Det er avgjørende at de ansatte, samarbeidspartnere og andre interessenter i Greenstep informerer oss om deres bekymringer og mistanker angående uredelighet som ikke er i tråd med organisasjonens retningslinjer. Derfor oppfordrer vi primært deg til å kontakte en veileder i vår organisasjon. Men hvis dette ikke er et alternativ, kan du rapportere en bekymring via rapporteringskanalen.
Du trenger ikke å ha sikre bevis på feil oppførsel; rapporter bør imidlertid sendes ærlig og i god tro. Bevisst rapportering av falsk informasjon er strengt forbudt.
Unngå å avsløre personlig informasjon, spesielt ømfintlig informasjon, mens du sender inn en rapport. Hvis meldingen inneholder informasjon som er forbudt ved lov, kan det hende vi ikke får lov til å behandle den.
Du kan legge igjen navn og kontaktinformasjon under rapporteringen, men vi gir deg denne muligheten til å uttrykke din bekymring anonymt gjennom denne konfidensielle kanalen. I tillegg fjerner tjenesten alle metadata automatisk i tilfelle det er noen vedlegg lagt til rapporten.
Lexia Asianajotoimisto Oy er ansvarlig for tjenestepakken samt for lovlig behandling av rapporter.
Etter å ha sendt rapporten vil du motta en unik token på skjermen som gjør at du kan fortsette å kommunisere anonymt med oss i fremtiden. Lagre dette på en sikker måte. Ved behov kan vi sende inn oppfølgingsspørsmål via rapporteringskanalen og informere deg om hvordan etterforskningen foregår.
Alle rapporter undersøkes konfidensielt og i henhold til spesifiserte prosedyrer. Mulige resulterende skritt tas først etter at etterforskningen er avsluttet. Informasjonen fra rapporten eller undersøkelsen kan bare nås av personene som trenger den for å fullføre undersøkelsen.
Våre interne verktøy er kompatible, utviklet med sikkerhet som høyeste prioritet, og grundig testet
NetSuite
Prosjektoppretting, oppgavestyring, tidsregistrering (ekstern og intern), prosjektfakturering, egenfakturering, HR-funksjoner. Finansiell og konsolidert rapportering, morselskapets økonomi, datterselskapsøkonomi, masterdatastyring, salgsfakturering og kjøpsdatastyring. Vi utvikler våre egne verktøy og prosesser på toppen av NetSuite.
BI Book
Gjennomgå Power BI-dashbord for ledelsesrapportering, KPIer, APM-er, budsjettering, prognoser og People Analytics.
Bezala
Utgiftsrapportering i samsvar med lokal lovgivning i 20+ land.
Sikker kommunikasjon gjennom Greenstep Hub
GS HUB er en plattform for sikker klientkommunikasjon, fildeling og automatisering bygget fra grunnen av Greenstep. Viktige sikkerhetsfunksjoner:
SSO håndheves for alle brukere
Administratortilgang er strengt kontrollert og fullt logget
Alle skytjenesteleverandører er ISO27001-sertifisert
Data blir kontinuerlig sikkerhetskopiert
Data er alltid innenfor EU og i henhold til GDPR-krav.
Andre bemerkelsesverdige overholdelses- og sikkerhetsinnsats og -prestasjoner
Greenstep deltar aktivt i Oracles On-Line Presence Security-program
Oracle har fikset 112 sårbarheter rapportert gjennom deres On-Line Presence Security-program så langt i år. 14 av disse ble rapportert av Greensteps-teammedlemmer, noe som gjør oss til den desidert største bidragsyteren, og rapporterte 12,5 % av de totale sårbarhetene i 2023. I tillegg fant vi 3 sårbarheter i fjor.
Greenstep er et aktivt medlem av National Emergency Supply Agency i Finland
I tillegg til å ivareta vår egen sikkerhet, jobber vi også aktivt for å forbedre sikkerheten til hele vårt forretningsfelt, inkludert konkurrentene. Vi er et aktivt medlem i det finske nasjonale nødforsyningsverket (Huoltovarmuuskeskus), som sikrer at lønns- og regnskapstjenester vil bli levert selv i usikre tider. Lønn og regnskap anses som kritiske prosesserhat must survive any uncertain times. We help ensure that people and business get paid no matter what.
Over 4000 automation tester
Flere av våre utviklingsteam har en testdrevet utviklingstilnærming, det vil si at tester skrives før utviklingsarbeidet startes. Dette har resultert i at vi har over 4000 automatiseringstester, som sikrer at programvaren vi utvikler fungerer selv etter at nye funksjoner er testet og lansert.
Spørsmål om datasikkerhet og Compliance hos Greenstep?
Ta kontakt med Anne Kulla!
Velg Greenstep som din partner
Hos Greenstep vil virksomheten din være i trygge og kompatible hender. Vi jobber etter våre felles verdier. Våre verdier inkluderer ønsket om å glede kunden, viljen til å fornye og utvikle seg, entusiasmen til å produsere og oppnå suksess sammen, og ærlighet og verdsettelse av andre mennesker.