Tekninen kuvaus
Tämä kuvaus on tarkoitettu hankintapäättäjille, tietoturvavastaaville ja järjestelmäintegraatioista vastaaville henkilöille.
1. Arkkitehtuuri
IT-Elmeri on palveluna toimitettava (SaaS) web-sovellus, joka on rakennettu monivuokra-arkkitehtuurille (multi-tenant). Jokainen asiakasorganisaatio toimii omassa loogisesti erotetussa ympäristössään – saman teknisen alustan päällä, mutta täysin toisistaan eristettyinä. Organisaatiot eivät näe toistensa tietoja.
Subdomain-reititys
Jokainen asiakasympäristö tunnistetaan yksilöllisestä alidomainista (esim. organisaatio.it-elmeri.fi). Kirjautuminen toiseen ympäristöön on teknisesti estetty.
Palvelinpuolen renderöinti
Sovellus hyödyntää palvelinpuolen renderöintiä, mikä parantaa suorituskykyä ja hakukonenäkyvyyttä sekä vähentää asiakkaan selaimen laskentataakkaa.
Roolipohjainen pääsynhallinta
Käyttäjäroolit määrittelevät pääsyoikeudet jokaisessa pyynnössä palvelinpuolella. Peruskäyttäjä näkee omat tikettinsä, käsittelijä hallitsee organisaationsa ympäristöä.
2. Tietoturva
Tietoturva on sisäänrakennettu järjestelmän jokaiselle tasolle – se ei ole jälkikäteen lisätty ominaisuus. Järjestelmä on suunniteltu noudattamaan Security by Design- ja Defense in Depth -periaatteita.
Salattu tiedonsiirto
Kaikki liikenne salataan vahvimmalla laajalti tuetulla protokollalla. Salaamaton HTTP-liikenne ohjataan automaattisesti HTTPS-yhteyteen.
Organisaatioeristys
Jokaisen organisaation data on täysin eriytetty muista. Kirjautuminen toisen organisaation ympäristöön on estetty usealla itsenäisellä tasolla.
Kattava audit-loki
Jokainen toiminto – tiketin luonti, tilan muutos, kommentti – kirjataan aikaleimalla varustettuun lokiin. Mahdollistaa tukitoimien jäljittämisen ja tukee sisäistä raportointia.
Suojattu tunnistautuminen
Salasanat tallennetaan yksisuuntaisesti hajautettuina. Istunnot hallitaan palvelinpuolen JWT-tokeneilla, joihin on sisällytetty käyttäjän tenant- ja roolimääritykset.
3. Infrastruktuuri ja jatkuvuus
IT-Elmeri hyödyntää yksinomaan Suomessa sijaitsevia konesaleja. Data ei missään tilanteessa siirry EU/ETA-alueen ulkopuolelle. Infrastruktuuri on rakennettu korkeaa saatavuutta ja nopeaa palautumista silmällä pitäen.
Helsinki, Suomi
Kotimainen konesali, Suomen lainsäädännön piirissä.
Päivittäiset automaattiset
Automaattinen varmuuskopiointi kerran vuorokaudessa. Nopea palautus tarvittaessa.
4. Säädöstenmukaisuus
Järjestelmä on suunniteltu täyttämään suomalaisen julkishallinnon ja pk-yritysten vaatimukset.
GDPR / Tietosuoja-asetus
Henkilötietoja käsitellään EU:n yleisen tietosuoja-asetuksen mukaisesti. Tietosuojaseloste ja käsittelyn oikeusperusteet on dokumentoitu.
Tietoturvaperiaatteet
Tietoturvatyö noudattaa alan yleisiä parhaita käytäntöjä, mukaan lukien minimiperiaate, pääsynhallinta ja säännölliset tietoturva-arvioinnit.
Auditointipolku
Kaikki kriittiset toiminnot kirjautuvat lokiin aikaleimoineen. Lokitiedot tukevat sisäistä seurantaa ja mahdollisia selvitystilanteita.
Vastuullinen tietoturva
Otamme vastaan vastuullisia tietoturvaraportteja (responsible disclosure). Yhteysosoite: security@it-elmeri.fi
5. Pääsy asiakasdataan ja päivityskäytäntö
Kuka pääsee asiakasdataan
Pääsy asiakasdataan on minimoitu. Tuotantodataa käsitellään ainoastaan teknisen tuen ja vikaselvityksen yhteydessä asiakkaan pyynnöstä. Dataa ei käytetä markkinointiin tai muihin tarkoituksiin.
Päivityskäytäntö
Tietoturvapäivitykset asennetaan viipymättä havaitsemisen jälkeen. Suunnitellut huoltokatkot ilmoitetaan asiakkaille etukäteen sähköpostitse.
6. Integraatiot
Sähköposti (SMTP)
Automaattiset ilmoitukset tiketin elinkaaren tapahtumista. Tikettejä voidaan luoda myös sähköpostitse — vastaukset kirjautuvat kommentteina tikettiin.
Microsoft-kirjautuminen (Azure AD / Entra ID)
Henkilöstö kirjautuu olemassa olevilla Microsoft-tunnuksillaan. Ei erillisiä salasanoja hallittavaksi — organisaation käyttäjähallinta toimii kuten ennenkin. Sisältyy palveluun.
7. Yhteyshenkilö
Teknisiin kysymyksiin ja hankintaprosessia koskeviin tiedusteluihin vastaa: elmeri@it-elmeri.fi