Turvallisuus
Yleistä
Turvallinen tietojenkäsittely on keskeinen osa Vitec Avoinen liiketoimintaa. Me Vitec Avoinella teemme päivittäin työtä varmistaaksemme asiakkaidemme palveluiden turvallisuuden sekä yksityisyyden suojan. Panostamme jatkuvasti tietoturvaan prosesseissa, ohjelmistokehityksessä sekä teknologisissa ratkaisuissa.
EU:n tietosuojalainsäädäntö sekä tätä täydentävä Suomen lainsäädäntö (esim. tietosuojalaki) ohjaavat keskeisesti Avoinen toimintaa tietoturvan sekä tietosuojan toteuttamisen osalta.
Avoinella seurataan jatkuvasti lainsäädännön kehittymistä ja muutoksiin reagoidaan aktiivisesti. Seurantatoimintaa tuetaan Vitec Software Groupin tietohallinnon tasolta.
Riskienhallinta
Avoinella on tietoturvaan ja tietosuojaan keskittynyt ohjausryhmä, joka ylläpitää tietoturvan sekä tietosuojan riskikarttaa sekä ohjaa tietoturvatoimintaa. Tietoturvaryhmään kuuluvat Avoinen toimitusjohtaja, tietohallintopäällikkö sekä tekniset avainhenkilöt.
Jatkuvuus ja varautuminen
Varautumissuunnittelua tehdään osana tietoturvaryhmän toimintaa. Avoinella jatkuvuuden varmistamisessa käytettyjä menetelmiä ja ratkaisuja ovat:
- henkilöriskien minimointi
- varmuuskopioinnit
- palveluiden- ja varmuuskopioiden maantieteellinen hajauttaminen
- päivystys ja tekninen valvonta
- skenaariosuunnittelu ja varautuminen keskeisille uhkakuville
- kriisiviestintä ja raportointi
- kumppanivalinnat sekä -turvallisuusarvioinnit (esim. saatavilla olevat sertifioinnit)
Turvallisuusluokittelut
Avoinen sisäisessä dokumentaatiossa on luokiteltu toiminnassa käsiteltävät tiedot kriittisyysasteen mukaan. Jokaiselle kriittisyysluokalle on määritelty erikseen tiedonkäsittelyn ja turvaamisen periaatteet. Turvallisuusluokittelut ja näiden mukainen toiminta koulutetaan jokaiselle työntekijälle.
Turvallisuusvelvoitteet sopimuksissa
Tietoturvaan sekä tietosuojaan liittyvän lainsäädännön lisäksi Avoinen toimintaa ohjaavat asiakkaiden kanssa erikseen allekirjoitetut tai yleisiin toimitusehtoihin perustuvat sopimukset, joissa määritellään vaatimukset sekä käytännöt tiedon käsittelylle.
Avoine edellyttää kaikilta alihankkijoiltaan henkilötietojenkäsittelysopimusta, joka toteutetaan joko erikseen allekirjoitettuna sopimuksena tai alihankkijan yleisten henkilötietojen käsittelyn ehtojen mukaisesti. Alihankkijasopimuksissa määritellään myös esimerkiksi vaatimukset luottamuksellisuudesta. Kaikkiin asiakassopimuksiin on määritelty asiakkaan oikeus auditoida Avoinen asiakkaalle tuottama palvelu.
Johtaminen ja koulutus
Tietoturvatoimintaa Avoinella koordinoi tietoturvaryhmä, jonka toimintaan Avoinen johto osallistuu. Tietoturvatoiminta tapahtuu Vitec Software Group AB tietojohtamisen yleisessä viitekehyksessä, jossa määritellään yleinen tietoturvapolitiikka sekä valvotaan käytäntöjen toteutumista osana ryhmän sisäistä auditointia. Avoinen tietoturvaryhmä tarkentaa ja täydentää määritykset ottamaan huomioon oman toimintakentän erityisvaatimukset turvallisuudelle.
Henkilöstöä koulutetaan tietoturva-asioissa jatkuvasti huomioiden eri työtehtävissä ilmenevät vaatimukset. Kaikki Avoinen työntekijät ovat allekirjoittaneet salassapitosopimuksen sekä perehtyneet yhtiön tietoturvaohjeistuksiin.
Valvonta ja uhka-arviot
Avoinen tuottamien palveluiden valvonta- ja päivystystoiminta on toteutettu erillisen kriittisyysluokittelun mukaisesti. Yleisiä turvallisuusuhkia seurataan aktiivisesti, esimerkiksi Kyberturvallisuuskeskuksen tiedotteiden kautta. Avoinen palveluita koskeviin uhkatilanteisiin tehdään seuranta, arviot ja toimenpidesuunnitelmat kriittisyyden perusteella.
Tapahtumaraportointi
Uhkatilateet sekä tilanteet, joissa järjestelmien tietoturva on voinut vaarantua, käsitellään sisäisen toimintaohjeistuksen mukaisesti. Näissä tilanteissa yhtiön johto osallistuu aina tilanteen käsittelyyn sekä päätöksentekoon.
Henkilötietoja koskeva asiakasviestintä toteutetaan aina henkilötietojen käsittelysopimusten mukaisesti. Tietosuojavaltuutetulle tehdään ilmoitukset tarvittaessa.
Jatkuva kehittäminen ja resursointi
Osana toiminnan jatkuvuuden varmistamista sekä kestävän kehityksen tavoitteita, Avoine investoi jatkuvasti osaamisen kehittämiseen, henkilötyöaikaan sekä teknisiin ratkaisuihin tietoturvan kehittämiseksi.
Sovellettuja suojausmenetelmiä
Avoinella käytetään useita erilaisia suojausmenetelmiä, joita sovelletaan tapauskohtaisesti. Esimerkkejä sovelletuista menetelmistä ovat:
- tietojen salaus
- suojattu tietojen siirto
- turvallinen tunnistautuminen
- käyttöoikeuksien minimointi (vain työtehtävän vaatimat oikeudet)
- palomuurit
- ohjelmistopäivityksistä huolehtiminen
- varmuuskopiointi maantieteellisesti hajautettuna
- keskitetty lokien hallinta