Tieto turvassa
Tietoturvallisuuden toteuttamisen lähtökohtana on tunnistaa ja minimoida tietoturvariskejä.
Tietoturvan tavoite on turvata Asiakastiedon palvelujen ja niissä käsiteltävän tiedon saatavuus, eheys, luottamuksellisuus sekä normaali - että poikkeusolosuhteissa.
Tietoturvan hallinta Asiakastiedossa on kokonaisvaltaista ja sitä kehitetään jatkuvasti.
Asiakastiedon Tietoturvakäytäntö
Tietoturvakäytäntö on hyväksytty Asiakastiedon johtoryhmässä 25.4.2017.
Tietoturvallisuudella tarkoitetaan tiedon, tietojärjestelmien, palveluiden ja tietoliikenteen suojaamista hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietoturvallisuudella pyritään turvaamaan tiedon saatavuus, eheys ja luottamuksellisuus sekä normaali - että poikkeusoloissa.
Suomen Asiakastieto Oy:n (AT) liiketoiminta perustuu tiedon hankintaan, hallintaan, jalostamiseen ja luotettavaan toimittamiseen asiakkaalle. Useat lait, asiakkaat sekä sidosryhmät asettavat tietoturvaan liittyviä vaatimuksia AT:n toiminnalle ja tiedon käsittelylle. Siksi tietoturvan huomioiminen on tärkeää jokaisessa AT:n palvelussa ja liiketoimintaprosessissa.
Henkilöstön tietoturvatietoisuutta edistetään ja ylläpidetään tiedottamisella ja vuosittaisella tietoturvakoulutuksella. Tietoturvaan liittyvät ohjeet ovat jokaisen työntekijän saatavilla AT:n intranet -sivuilla. Tietoturva-asiantuntija huolehtii tietoturvaohjeiden ajantasaisuudesta.
Asiakastiedon pääsynhallinta
Asiakastiedon pääsynhallinta on määritelty oikeuksina nähdä, käsitellä ja muokata henkilötietoja. Nämä oikeudet annetaan henkilöille, joilla on työtehtävän vuoksi tarpeellista käsitellä henkilötietoja. Pääsynhallinta periaatteet on määritelty erillisessä dokumentissa.
Lisäksi pääsynhallinta on määritelty erikseen ohjelmistoille ja teknisille laitteille, kuten palomuureille ja palvelimille. Järjestelmien käyttäjätunnukset ja käyttöoikeudet ovat henkilökohtaisia ja työtehtävien mukaisia. Henkilön lopettaessa Asiakastiedon palveluksessa käyttöoikeudet poistetaan. Pääsy AT:n toimitiloihin on mahdollista vain henkilökohtaisella kulkuluvalla.
Myös asiakkailla on henkilökohtaiset käyttäjätunnukset. Asiakkaiden käyttöoikeudet määritellään aina tarpeiden mukaisesti. Jos käyttöoikeus annetaan luottotietoihin, pitää asiakkaalla olla Luottotietolain mukainen käyttötarkoitus.
Tekninen arkkitehtuuri ja tiedon tarkastukset
Palveluympäristö on suunniteltu mahdollisimman vikasietoiseksi laite-, verkko-, palvelin- ja palvelutasolla. Verkkoyhteys palveluihin on varmistettu kahdentamalla, jos ensisijainen verkkoyhteys katkeaa, siirtyy liikenne automaattisesti varayhteydelle.
Luotettavilla automaattisilla varmistuksilla, on vakavien häiriöiden vaikutusten minimoinnissa ja häiriöistä toipumisessa iso merkitys. Virtuaaliympäristö varmistetaan automaattisesti. IT-tuotantopalveluryhmä valvoo varmistusten toimintaa.
Tuotanto-, testi- ja kehitysverkot ovat erillisiä. Sisäisiin järjestelmiin on pääsy vain sisäverkoista tai salatun etäyhteyden ja vahvan tunnistamisen kautta.
Tiedon keruun yhteydessä Asiakastiedossa tehdään useita tarkastuksia tiedon oikeellisuuden varmistamiseksi.
Tiedon välityksen suojaus
Verkot ja palvelujärjestelmät on suojattu palomuureilla. Liikenne julkisesta verkosta on rajattu vain tarvittaviin osoitteisiin ja portteihin.
Verkkoliikennettä monitoroidaan. Julkisissa verkoissa liikenne on aina TSL/SSL salattua. Asiakkaiden ja Asiakastiedon välisessä tiedonsiirrossa käytetään salattua SFTP protokollaa.
Salatun sähköpostin lähettäminen
Sähköposti pitää aina salata, jos välitetään henkilötunnuksia.
Asiakastiedon sivujen kautta voi lähettää salattua sähköpostia. Asiakastieto ei ota vastaan salaamattomia viestejä, joissa on henkilötunnuksia.
Klikkaamalla alla olevaa kuvaa, pääset käyttämään Asiakastiedon tarjoamaa salattua sähköpostivälitystä.
