Tietoturva
Tietoturva ei ole IT-Elmerissä jälkikäteen lisätty ominaisuus – se on sisäänrakennettu arkkitehtuuriin, prosesseihin ja jokapäiväiseen toimintaan.
Turvallisuusperiaatteet
Security by Design
Tietoturva otetaan huomioon jo suunnitteluvaiheessa, ei korjauksena jälkikäteen. Jokainen arkkitehtuurinen päätös arvioidaan tietoturvan näkökulmasta.
Minimiperiaate
Käyttäjillä ja prosesseilla on ainoastaan ne oikeudet, joita he tehtäviensä suorittamiseen tarvitsevat. Tarpeettomia pääsyoikeuksia ei myönnetä.
Puolustus syvyyssuunnassa
Useat päällekkäiset suojauskerrokset varmistavat, että yksittäinen haavoittuvuus ei vaaranna koko järjestelmää.
Jatkuva parantaminen
Tietoturva-asennetta ylläpidetään säännöllisillä arvioinneilla, koulutuksella ja seuraamalla alan kehitystä.
Tekninen tietoturva
Salattu tiedonsiirto
Kaikki liikenne palvelimen ja selaimen välillä on salattu. Salaamaton yhteys ohjataan automaattisesti salattuun. Käytämme nykyistä vahvinta laajalti tuettua TLS-versiota.
Organisaatioeristys
Jokaisen organisaation data on täysin eriytetty muista. Kirjautuminen toisen organisaation ympäristöön on estetty usealla itsenäisellä tasolla.
Kattava audit-loki
Kaikki kriittiset tapahtumat – kirjautumiset, tiketin luonti, tilanmuutokset – kirjataan aikaleimalla varustettuun lokiin. Mahdollistaa tukitoimien jäljittämisen ja tukee sisäistä raportointia.
Suojattu tunnistautuminen
Salasanat tallennetaan yksisuuntaisesti hajautettuina vahvalla algoritmilla. Istunnot hallitaan palvelinpuolen tokeneilla, jotka sisältävät käyttäjän roolimääritykset. Istunto vanhenee automaattisesti.
Roolipohjainen pääsynhallinta
Käyttäjäroolit rajoittavat toiminnot tehtävän mukaan. Peruskäyttäjä näkee omat tikettinsä, käsittelijä hallitsee organisaationsa ympäristöä. Roolitarkistus tehdään jokaisessa pyynnössä palvelinpuolella.
Infrastruktuuri
Suomalainen konesali
Kaikki data sijaitsee Helsingissä. Tieto ei poistu Suomesta eikä EU/ETA-alueelta. Konesali noudattaa alan standardeja fyysisen turvallisuuden osalta.
Päivittäiset varmuuskopiot
Automaattiset varmuuskopiot tehdään päivittäin. Nopea palautus tarvittaessa. Varmuuskopiot säilytetään erillisessä sijainnissa.
Verkkoturvallisuus
Verkkoliikenne on rajattu palomuurein. Julkisesti auki on ainoastaan välttämätön HTTP/HTTPS-liikenne. Hallintayhteydet on suojattu erikseen.
Pääsynhallinta tuotantoon
Pääsy tuotantoympäristöön on rajoitettu nimetyille henkilöille. Kaikki tuotantoon kohdistuvat toimenpiteet lokitetaan.
Pääsy tuotantoon
- —Tuotantoympäristöön on pääsy ainoastaan palvelun kehittäjällä ja ylläpitäjällä
- —Pieni pääsypinta-ala vähentää sisäpiiririskin mahdollisuutta merkittävästi
- —Vähimmäisoikeusperiaate — tarpeettomia pääsyoikeuksia ei myönnetä
Tietoturvatapahtumiin reagointi
Tietoturvatapahtumissa toimitaan välittömästi: vaikutukset rajataan, juurisyy selvitetään ja palvelu palautetaan normaalitilaan mahdollisimman nopeasti. Asiakkaille tiedotetaan tapahtumasta viipymättä.
GDPR-ilmoitusvelvollisuus: Merkittävistä tietoturvatapahtumista ilmoitetaan Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa havaitsemisesta (GDPR Art. 33) ja rekisteröidyille, jos tapahtumasta aiheutuu heihin kohdistuva korkea riski (Art. 34).
Vastuullinen tietoturvaraportointi
Kannustamme tietoturvatutkijoita ja käyttäjiä raportoimaan havaitsemistaan haavoittuvuuksista vastuullisesti. Otamme raportit vakavasti ja käsittelemme ne kiireellisinä.
Ilmoita havaitsemastasi haavoittuvuudesta:
security@it-elmeri.fiÄlä julkaise haavoittuvuustietoa ennen kuin olemme vahvistaneet ja korjanneet ongelman.