Home > Turvallisuus > Vaatimustenmukaisuus
Tietosuoja tietoturva-käytännöissä
Tietoturvan noudattaminen ja datan vaatimustenmukaisuus toimii saumattomasti Oneflowlla.
Sisäänrakennettu tietosuoja
Tämä on tuotekehityksemme “pohjantähti”, joka ohjaa kaikkea, mitä rakennamme alustalle. Seuraavassa on joitakin kysymyksiä, joita kysymme itseltämme aina jokaisen tuotekehityspäätöksen yhteydessä:
- Arkaluonteiset tiedot – Paljastuuko koodista arkaluonteisia tietoja?
- Asiayhteyden määritys – Täyttääkö koodin tarkoitus hyväksyttävät riskiparametrit?
- Tunkeutumisen vaikeuttaminen – Ovatko koodin ja järjestelmän kaikki osatekijät turvassa? Vaikuttaako uusi koodi kielteisesti jo olemassa olevaan koodiin?
- Häiriöiden vaikeuttaminen – Onko järjestelmä ja koodi joustava eikä altis palvelunestohyökkäyksille ja palvelun käyttömäärän äkillisestä kasvusta aiheutuville häiriöille?
- Tunkeutumisen havaitseminen – Onko koodi ja järjestelmä suunniteltu siten, että epäilyttävä toiminta voidaan havaita helposti (esim. onko käytössä asianmukainen kirjaaminen ja seuranta?)
- Tunkeutumisen vaikutusten vähentäminen – Onko järjestelmä kehitetty siten, että se minimoi tunkeutumisen vaikutukset? Onko toiminnallisuus jäsennelty siten, että estetään tarpeettomat yhteydet järjestelmän muihin osiin?
- Suojaus yleisiltä haavoittuvuuksilta – Onko järjestelmät kehitetty turvallisesti useimpia haavoittuvuuksia vastaan (esim. OWASP Top 10)?
Tietosi ovat meidän vastuullamme
Oneflowlla on kattava liiketoiminnan jatkuvuus- ja katastrofivalmiuspolitiikka, joka tarkistetaan vuosittain tai aina merkittävien muutosten yhteydessä.
Oneflow on rakennettu siten, että sen infrastruktuurin jokaisella tasolla on varajärjestelmä. Alusta, tietokannat, tallennus- ja lisäpalvelut sijaitsevat useilla eri alueilla Irlannissa ja EU:ssa, jotta satunnaiset häiriöt voidaan ottaa huomioon ilman, että käytettävyys, toiminnot tai asiakastiedot heikkenevät. Järjestelmälokeja ja todennuslokeja säilytetään 90 päivän ajan (mukaan lukien 30 päivän varmuuskopiot). Varmuuskopioita otetaan myös säännöllisin väliajoin, ja ne tallennetaan Ruotsissa sijaitseviin tietokeskuksiin.
Oneflow on turvallinen alusta, jossa on haku-, seuranta- ja valvontaominaisuudet. Henkilötiedot ovat turvassa yhdessä paikassa sen sijaan, että ne olisivat hajautuneet sähköpostiin, palvelimille ja kiintolevyille. Oneflowssa käsitellyt ja tallennetut asiakastiedot (mukaan lukien henkilötiedot) ovat luottamuksellisia, ja niihin pääsee käsiksi vain asiakas.
Tietojen salaus
Tieto salataan siirron aikana ja levossa; tiedot salataan siirron aikana, julkisesta internetistä CDN:n reunapisteisiin ja aina sisäverkkoon asti ennen käsittelyä TLS 1.2:n avulla. Tietokannat, palvelimet ja tiedostovarastot salaavat myös kaikki tiedot ennen niiden tallentamista levossa, ja niissä käytetään AES 256 -algoritmilla tehtyä huippuluokan salausta.
Käytännöt tietoturvan osalta
Oneflow noudattaa ISO 27001 -standardia ja NIST-kehystä, ja sillä on useita sisäisiä käytäntöjä, menettelyjä ja ohjeita. Nämä muodostavat tietoturvan hallintajärjestelmämme ja ohjaavat lähestymistapaamme tietoturvaan ja yksityisyyden suojaan. Alla on valikoima toimintatapojamme. Ota meihin yhteyttä, jos haluat tutustua johonkin käytäntöön yksityiskohtaisemmin.
• Tietoturvalpolitiikka
• Hyväksyttävän käytön politiikka
• Muutostenhallintapolitiikka
• Käytöstäpoisto- ja hävittämispolitiikka
• Tietoturvariskien hallintapolitiikka
• Tietoturvatapahtumien hallintamenettely
• Toiminnan jatkuvuutta ja katastrofien korjaamista koskeva politiikka
• Toimittajien turvallisuuspolitiikka
• Turvallinen kehityspolitiikka
• Työpaikan politiikka
Jaetun vastuun malli
Jotta Oneflow voi tarjota turvallisen alustan, turvallisuus ja vaatimustenmukaisuus jaetaan Oneflown ja asiakkaan kesken. Jaetun vastuun mallin tavoitteena on, että Oneflow voi keskittyä tarjoamaan asiakkailleen turvallisen alustan, mutta samalla asiakkaat voivat osallistua omaisuutensa suojaamiseen ennakoivasti.
Oneflown vastuu
Oneflow on vastuussa alustan, infrastruktuurin ja palvelun tarjoamiseen käytettävän verkon turvallisuudesta. Oneflown tallentamien ja käsittelemien tietojen luottamuksellisuuden, eheyden ja saatavuuden säilyttämiseksi tiedot salataan siirron aikana ja levossa. Sovellukseen tehdään säännöllisiä päivityksiä, jotta varmistetaan aina korkein mahdollinen suojaustaso. Lisäksi Oneflown alustaa isännöidään useissa maantieteellisesti toisistaan erillään olevissa paikoissa, minkä ansiosta palvelu on luotettava.
Oneflow vastaa myös monenlaisten turvallisuutta parantavien toimintojen tarjoamisesta, jotta asiakkaiden tärkeimpää omaisuutta voidaan suojata entistä paremmin. Nämä toiminnot voidaan aktivoida riskien, toiminnallisten vaatimusten ja vaatimustenmukaisuusvelvoitteiden mukaisesti.
Asiakkaan vastuu
Asiakkaat ovat vastuussa Oneflown alustan turvallisuudesta hallinnassaan olevien elementtien osalta. Asiakkaiden vastuulla on esimerkiksi varmistaa, että tunnistautumistiedot, kuten salasanat, pidetään turvassa ja että ne eivät joudu luvattomien henkilöiden käsiin.
Oneflow tarjoaa laajan valikoiman turvatoimintoja, mutta asiakkaan vastuulla on kuitenkin käyttää näitä toimintoja, esimerkiksi kaksivaiheista todennusta, kertakirjautumista ja tietojen säilyttämiskäytäntöjä. Asiakas voi valvoa pääsyä sopimuksiin käyttämällä kehittyneitä roolipohjaisia käyttöoikeuksia, ja näin ollen asiakas on vastuussa siitä, että käyttöoikeudet myönnetään vain niille, jotka tarvitsevat niitä organisaatiossaan. Lisäksi asiakkaan vastuulla on varmistaa, että sopimus lähetetään oikealle vastaanottajalle.
Oneflown alustan ulkopuolelle ladatut tai viedyt sopimukset ovat asiakkaan yksinomaisella vastuulla; asiakkaat voivat silti käyttää sopimusta Oneflowssa, kunhan asiakas ei ole poistanut sitä.