Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

• tietojen paljastaminen ei aiheuta harmia (JULKINEN)
• tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
• tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
• tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

• Lukittu kaappi
• Luotettu siirtokumppani
• Sinetöidyt kirjekuoret
• Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

• Valitun salaustason käyttö
• Salasanasuojaus
• Turvallinen hävittäminen
• Tarkemmin rajatut pääsyoikeudet

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien kriteerien täyttyminen:

• Järjestelmä täyttää uuden, erillisen liiketoimintatarpeen
• Järjestelmä integroituu hyvin muihin käytettyihin järjestelmiin ja tunnistautumistapoihin
• Järjestelmä täyttää turvallisuuden minimivaatimukset kriittisyysluokkansa mukaan
• Järjestelmä ei vaadi liikaa kustomointia ja henkilöstöllä on osaaminen sen käyttöön
• Palveluntarjoaja on kannattava yritys vahvoilla referensseillä ja historialla

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien turvallisuuskriteerien täyttyminen:

Matalan riskin järjestelmä

• Järjestelmä käyttää hyväksyttyjä tunnistautumistapoja
• Palveluntarjoaja toimii kannattavasti ja tiedottaa selvästi muutoksista
• Tietoliikenne on salattu vaaditusti (esim. vähintään TLS 1.1 -salauksella)

Keskiverron riskin järjestelmä

• Järjestelmä tukee kaksivaiheista tunnistautumista tai voidaan integroida keskitettyyn kirjautumisratkaisuun
• Järjestelmä sisältää kattavan käytön valvonnan ja ehdoissa on sitouduttu lokien toimittamiseen asiakkaalle pyynnöstä
• Palveluntarjoaja on sitoutunut sopimuksellisesti palauttamaan ja tuhoamaan asiakkaan tiedot käytön päättyessä

Korkean riskin järjestelmä

• Palveluntarjoaja omaa määritellyt sertifikaatit (esim. ISO27001, SOC2, NIST, PCI DSS)
• Palveluntarjoaja on läpäissyt tarkemman tietoturva- ja tietosuoja-analyysin

Organisaatio tarjoaa työntekijöille VPN-palvelun jonka avulla liikenne julkisissa Wi-Fi -verkoissa tulee salata. Henkilöstöä ohjeistetaan palvelun käytöstä.

Kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa. 

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

• tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
• poistamaan päällekkäisyyksiä
• säästämään turhissa lisenssikustannuksissa
• hallitsemaan toimittajien määrää
• helpottamaan henkilöstön ohjeistamista

Huolella valitut sertifikaatit voivat olla hyviä yleisesti tunnistettuja todisteita tietystä tietoturva- tai tietosuojatasosta.

Organisaatio voi päättää vaatia tärkeiltä kumppaneilta tietyn sertifikaatin omaamista. Yleisesti tunnistettuja digiturvaan liittyviä sertifikaatteja ovat mm.:

• ISO 27001 (yleinen tietoturva)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27017 (digiturva pilvipalveluissa)
• ISO 27018 (tietosuoja pilvipalveluille)
• muita suosittuja digiturvaan liittyviä standardeja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)