Tietoturva
Tietoturva ei ole IT-Elmerissä jälkikäteen lisätty ominaisuus – se on sisäänrakennettu arkkitehtuuriin, prosesseihin ja jokapäiväiseen toimintaan.
Turvallisuusperiaatteet
Security by Design
Tietoturva otetaan huomioon jo suunnitteluvaiheessa, ei korjauksena jälkikäteen. Jokainen arkkitehtuurinen päätös arvioidaan tietoturvan näkökulmasta.
Minimiperiaate
Käyttäjillä ja prosesseilla on ainoastaan ne oikeudet, joita he tehtäviensä suorittamiseen tarvitsevat. Tarpeettomia pääsyoikeuksia ei myönnetä.
Puolustus syvyyssuunnassa
Useat päällekkäiset suojauskerrokset varmistavat, että yksittäinen haavoittuvuus ei vaaranna koko järjestelmää.
Jatkuva parantaminen
Tietoturva-asennetta ylläpidetään säännöllisillä arvioinneilla, koulutuksella ja seuraamalla alan kehitystä.
Tekninen tietoturva
Salattu tiedonsiirto
Kaikki liikenne palvelimen ja selaimen välillä on salattu. Salaamaton yhteys ohjataan automaattisesti salattuun. Käytämme nykyistä vahvinta laajalti tuettua TLS-versiota.
Tenant-eristys kahdella tasolla
Asiakasympäristöt on eristetty sekä sovellustasolla (pyyntöjen reititys ja sessiotarkistus) että tietokantatasolla (tenant-tunniste jokaisessa kyselyssä). Riski cross-tenant -tietovuodolle on minimoitu arkkitehtuurin tasolla.
Muuttumaton audit-loki
Kaikki kriittiset tapahtumat – kirjautumiset, tiketin luonti, tilanmuutokset, ylläpitotoimet – kirjataan aikaleimalla varustettuun lokiin. Loki tukee jäljitettävyysvaatimuksia.
Suojattu tunnistautuminen
Salasanat tallennetaan yksisuuntaisesti hajautettuina. Istunnot hallitaan palvelinpuolen tokeneilla, jotka sisältävät käyttäjän roolimääritykset. Istunto vanhenee automaattisesti.
Roolipohjainen pääsynhallinta
Kolmitasoinen roolimalli (SUPER_ADMIN / TENANT_ADMIN / USER) rajoittaa toiminnot käyttäjän tehtävän mukaan. Roolitarkistus tehdään jokaisen pyynnön yhteydessä palvelinpuolella.
Infrastruktuuri
Suomalainen konesali
Kaikki data sijaitsee Helsingissä. Tieto ei poistu Suomesta eikä EU/ETA-alueelta. Konesali noudattaa alan standardeja fyysisen turvallisuuden osalta.
Päivittäiset varmuuskopiot
Automaattiset varmuuskopiot tehdään päivittäin ja testataan palautumiskyvyn varmistamiseksi. Varmuuskopiot säilytetään erillisessä sijainnissa.
Verkkoturvallisuus
Verkkoliikenne on rajattu palomuurein. Julkisesti auki on ainoastaan välttämätön HTTP/HTTPS-liikenne. Hallintayhteydet on suojattu erikseen.
Pääsynhallinta tuotantoon
Pääsy tuotantoympäristöön on rajoitettu nimetyille henkilöille. Kaikki tuotantoon kohdistuvat toimenpiteet lokitetaan.
Henkilöstötietoturva
- —Kaikki tuotantojärjestelmiin pääsevät henkilöt ovat sitoutuneet salassapitosopimukseen
- —Säännöllinen tietoturvakoulutus ja tietoisuuden ylläpito
- —Vähimmäisoikeusperiaate myös sisäisten käyttäjien osalta
Tietoturvatapahtumiin reagointi
Meillä on kirjallinen toimintasuunnitelma tietoturvatapahtumien varalta. Suunnitelma kattaa havaitsemisen, luokittelun, rajoittamisen, poistamisen ja palautumisen.
GDPR-ilmoitusvelvollisuus: Merkittävistä tietoturvatapahtumista ilmoitetaan Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa havaitsemisesta (GDPR Art. 33) ja rekisteröidyille, jos tapahtumasta aiheutuu heihin kohdistuva korkea riski (Art. 34).
Vastuullinen tietoturvaraportointi
Kannustamme tietoturvatutkijoita ja käyttäjiä raportoimaan havaitsemistaan haavoittuvuuksista vastuullisesti. Otamme raportit vakavasti ja käsittelemme ne kiireellisinä.
Ilmoita havaitsemastasi haavoittuvuudesta:
security@it-elmeri.fiÄlä julkaise haavoittuvuustietoa ennen kuin olemme vahvistaneet ja korjanneet ongelman.