Käytännön näkökulmia tietosuojaan ja tietosuoja-asetukseen
Jaa sivu:
Tälle sivulle on koostettu Pro Pilvipalveluiden ja yhteistyökumppaneiden näkemyksiä tietosuojan ja tietosuoja-asetuksen vaikutuksesta ja huomioon ottamisesta pilvipalveluiden, niiden kehittämisen sekä markkinoinnin tiimoilta.
Palvelun kehittäjä ja hallinnoija Pro PK-Pilvipalvelut Oy
Kun aloitimme kehittämään protyöturva.fi -pilvipalvelua kesäkuussa 2016, oli uusi tietosuoja-asetus tullut juuri toukokuussa voimaan. Meillä oli loistava tilaisuus huomioida sen siirtymäaika kehitystyössämme ja ensimmäisissä neuvotteluissa yhteistyökumppaneiden ja asiakkaidemme kanssa. Näissä asiakkaiden kanssa pidetyissä palvelun esittelyissä ja neuvotteluissa meiltä kysyttiin lähes joka kerta, miten palvelumme ottaa huomioon asetuksen ja ”onko se sen mukainen” – eli onko palvelu turvallinen valinta. Koska olimme jo syksyllä 2016 ottaneet mukaan myös juristin, varmistimme koko ajan kaikilta osin sen, ettei asiakkaidemme tarvitse olla huolissaan palvelumme laillisuudesta. Vanhempien palveluiden ja järjestelmien osalta asiakkaalla on velvollisuus ottaa selvää palveluntarjoajan ja heidän tuotteidensa ajantasaisuudesta.
Olemme rakentaneet palvelun kotimaiselle turvalliselle palvelimelle turvallisten kotimaisten toimijoiden kanssa – ja ottaneet koko ajan huomioon 25.5.2018 voimaan tulevat vaatimukset. Myös kaikki sopimukset on teetetty juristilla vastaamaan niihin. Samoin palveluiden rekisteriselosteet ja sopimusehdot ovat ajantasaisia.
On ollut mielenkiintoista seurata, kuinka vakavasti asiakkaat ovat huolissaan asetuksen vaatimusten täyttämisestä. Olemmekin tehneet pk-yritysten, julkisyhteisöiden, yhdistysten ja taloyhtiöiden käyttöön myös Pro Tietosuoja -palvelun, jonka avulla asetuksen vaatimukset täyttävät asiat ja dokumentaatiot on helppoa luoda ja ylläpitää myös tulevaisuudessa. Projektiimme osallistuneet kumppanit ovat tehneet myös omat selvityksensä ja dokumentit sekä kouluttaneet henkilöstönsä sen avulla.
Hannu Hirvonen
yrittäjä
Pro PK-Pilvipalvelut Oy
Palvelun arkkitehtuurista ja ohjelmoinnista vastaava Nolwenture Oy
Pro Pilvipalveluiden arkkitehtuuri pohjautuu viimeisimpiin yleisesti käytössä oleviin teknisiin ratkaisuihin, mikä takaa ajantasaisten tietoturvapäivitysten saatavuuden. Tavoitteena on ollut luoda alusta alkaen tietosuoja-asetuksen (GDPR) vaatimusten mukainen järjestelmä.
Pro Pilvipalvelut on jaettu toimintokohtaisiin palasiin, joista kukin palanen koostuu käyttöliittymä- ja palveluosasta. Näiden osien välinen viestintä on salattua ja autentikoitua. Autentikointi on toteutettu nykyaikaisten käytänteiden mukaisesti käyttäen käyttöoikeustunnistetta (access token), jonka palvelu vahvistaa jokaisen viestin yhteydessä.
Pro Pilvipalveluiden sisältämät tiedot on tallennettu tietokantaan, joka on suojattu asianmukaisesti salasanalla ja joka varmuuskopioidaan ulkoiselle tietovälineelle säännöllisesti. Tietokantaan ei ole pääsyä ulkoverkosta. Palveluiden käyttäjän pääsyä tietoon on mahdollista rajata yksittäisen tietokentän tasolla ABAC-pohjaisella pääsynhallinnalla. Pro Pilvipalveluihin kerätään vain tarvittavia tietoja ja tarpeettomat tiedot poistetaan säännöllisesti. Uusien tallennettavien tietojen osalta käymme suunnitteluvaiheessa läpi tietojen säilytyksen perusteet sekä säilytysajat.
Tuotanto- ja testiympäristöt sijaitsevat suomalaisissa palvelinkeskuksissa. Palveluiden osat paketoidaan konteiksi ennen kohdeympäristöön viemistä. Osat viestivät keskenään virtuaalisessa lähiverkossa, johon ei ole pääsyä ulkopuolelta. Ulkopuolelta on pääsy ainoastaan kuormantasaajalle, jonka tarvitsemat portit on avattu palomuurilta. Tuotanto- ja testiympäristöt on verkkoteknisesti erotettu toisistaan.
Pro Pilvipalveluiden tuotanto- ja testiympäristöjä hallitaan suojatun SSH-yhteyden kautta. Ainoastaan nimetyillä henkilöillä, joilla on työnsä puolesta tarve hallita ympäristöjä, on oikeus ympäristöjen hallintaan. Nämä henkilöt tunnistautuvat ympäristöjen hallintaan heidän yksityisillä SSH-avaimillaan.
Antti Vikman
COO
Nolwenture Oy
Konesalipalveluiden, tietoliikenteen sekä tietoturvan tarjoaja Bittiguru Oy
Bittiguru Oy:n konesalit sijaitsevat vakaassa ja valvotussa ympäristössä. Konesalit on suojattu sähkönsyötön katkeamisen varalta UPS- ja generaattorilaitteistolla sekä asianmukaisella jäähdytyksellä.
Palvelinympäristö koostuu useista vikasietoisista palvelimista sekä levyjärjestelmistä. Palvelimet on klusteroitu keskenään, jolloin laitteistossa toimivat palvelut voidaan siirtää laitteistolta toiselle reaaliajassa hallitusti ilman katkoksia. Palvelinlaitteen mahdollisessa vikatilanteessa palvelut käynnistyvät automaattisesti klusterin muissa palvelinlaitteistoissa.
Levyjärjestelmien levypakat on suojattu yksittäisten levyjen vikaantumisen varalta. Virransyöttö- ja tietoliikennekomponentit ovat kahdennettuja ja näin ollen yksittäisten tallennuslaitteiden tai virtalähteiden hajoaminen ei haittaa laitteiston toimintaa.
Verkkoja sekä siihen kytkettyjä laitteita seurataan automaattisen valvontaohjelmiston avulla. Tietoliikenneyhteydet on toteutettu nopeilla ja luotettavilla valokuituyhteyksillä, joilla voidaan taata riittävä tiedonsiirtokapasiteetti.
Bittiguru Oy tarjoaa kansainvälisesti tunnettujen toimittajien tietoturvaohjelmistoja sekä palomuurilaitteita. Yrityksien tietoturvan osalta palveluissa pyritään keskitettyyn hallintaan, jolla voidaan taata ohjelmistojen toiminta sekä päivityksien ajantasaisuus.
Tietoturvaohjelmistot ja palomuurilaitteet sekä asianmukainen verkon valvonta ovat Bittiguru Oy:n näkökulmasta perusasioita, joista yritysten on huolehdittava jotta tietoturva-asetuksen mukaiset vaatimukset täyttyvät. Tämän vuoksi on tärkeää huomioida, että yrityksissä on käytössä alan standardien mukaiset laitteet ja ohjelmistot, ja että tietoliikenne on suojattu asiaan kuuluvalla tavalla.
Energian kulutuksessa sekä kierrätyksessä pyrimme noudattamaan mahdollisimman pitkälle vihreitä arvoja.
Ari Hakulinen
CEO
Bittiguru Oy
Palveluiden, sopimusten ja muun juridiikan osaaja Legalwise Oy
Tietosuojakysymysten ja sitä koskevan sääntelyn nousu on nykyaikaa, ja edellyttää myös meiltä toimenpiteitä. Jotta henkilötietojen käsittely täyttäisi asetuksen ja muun sääntelyn vaatimukset mahdollisimman hyvin sekä dokumentaation että käytännön tasolla, on kaikkien toimijoiden huomioitava se omalla tontillaan. Se näkyy niin tekniikassa, sisällöissä kuin sopimuksissakin sekä asiakkaille tuotetussa sisällössä että siinä tavassa, millä me itse palveluita hoidamme. Juridiikan osalta se näkyy sopimusehdoissa suoraan ja epäsuorasti siinä, miten palvelussa ja sen tuottaman datan käsittelyssä on huomioitu vaatimukset. Tavoitteenamme on, että palvelu on alusta pitäen tietosuoja-asetuksen vaatimusten mukainen ja siis turvallinen kumppani myös tulevaisuudessa.
Tuomas Liinamaa
OTM, luvan saanut oikeudenkäyntiavustaja
Legalwise Oy