Home > Turvallisuus > UKK – Usein kysyttyjä kysymyksiä
Usein kysyttyjä kysymyksiä turvallisuuteen liittyen
Turvallisuus Oneflowlla
Onko Oneflowlla ISO 27001 -sertifikaatti?
Kyllä! Voit lukea lisää täältä tai ladata sertifikaatin!
Voitteko jakaa soveltuvuusselvityksenne (Statement of Applicability, SoA)?
Kyllä, voit ladata sen täältä. Kaikki SoA:n valvontatoimet on sisällytetty ja toteutettu, emmekä ole jättäneet mitään pois soveltamisalasta.
Voitteko jakaa viimeisimmän tunkeutumistestauksen (pentest) sertifikaatin?
Tottakai! Voit ladata sen täältä.
Voitteko kertoa yksityiskohtaisia tietoja viimeisimmän tunkeutumistestauksen tuloksista?
Ehdottomasti, mutta tämä vaatii salassapitosopimuksen (NDA).
Onko Oneflowlla vikapalkkio-ohjelma?
Oneflow kannustaa vastuulliseen tiedonantoon. Haavoittuvuudet voi ilmoittaa osoitteeseen security@oneflow.com. Oneflowlla ei tällä hetkellä maksa palkkioita ilmoitetuista haavoittuvuuksista.
Miten ilmoitan tietoturva-aukosta?
Jos haluat ilmoittaa tietoturva-aukosta, lähetä tiedot sähköpostitse osoitteeseen security@oneflow.com.
Tukeeko Oneflow kertakirjautumista (SSO)? Jos tukee, miten se on toteutettu?
Oneflow tukee tällä hetkellä seuraavia alustoja SSO:n käyttöä varten:
- Azure
- ADFS
- ForgeRock
- Google Workspace
- Duo
- OneTouch
Jos käytät jotain muuta alustaa, voit ottaa yhteyttä ja me autamme sinua. Voit lukea, miten SSO otetaan käyttöön täällä.
Oletteko saanut tietoturvaan ja/tai henkilötietojen suojaamiseen liittyvän sertifioinnin?
Kyllä, meillä on ISO 27001 -sertifikaatti! Voit lukea lisää siitä täältä tai ladata sertifikaatin.
Miten asiakastiedot varmuuskopioidaan? Mikä on varmuuskopiointipolitiikkanne?
Oneflow käyttää monitasoisia varmuuskopioita sekä tietojen että asiakirjojen osalta. Tietokantojen osalta meillä on päivittäiset tietokantatallenteet, päivittäiset tietokannan tilannekuvat 7 päivän ajalta ja pistemäinen palautus 5 minuutin takaiseen ajankohtaan asti. Asiakirjojen osalta meillä on reaaliaikainen peilisynkronointi erilliselle AWS-alueelle (Tukholma), ja jokainen asiakirja versioidaan, jotta se voidaan suojata poistoilta molemmilla alueilla. Voit lukea lisää täältä.
Onko Oneflowlla tietoturvapolitiikka? Onko henkilöstö koulutettu tietoturvapolitiikkaan?
Oneflow ylläpitää kattavaa tietoturvapolitiikkaa. Tietoturva- ja tietosuojakoulutukset pidetään vähintään kerran vuodessa, ja kaikki uudet työntekijät osallistuvat tähän aloittaessaan Oneflowlla.
Mitä fyysisiä turvatoimia Oneflowlla on?
Oneflown toimisto sijaitsee jaetussa toimistorakennuksessa, jossa on käytössä yhteiset turvatoimet. Oneflow käyttää AWS:ää Oneflow-sovelluksen isännöintiin. Fyysistä turvaa hallinnoi AWS, jolla on käytössä useita turvatoimenpiteitä. Lue lisää AWS:n hostingista täältä.
Millä aikataululla tietoturva-aukot korjataan?
Oneflow sitoutuu noudattamaan seuraavaa aikataulua:
- Kriittinen vakavuusaste: Korjaaminen aloitetaan välittömästi tunnistamisen jälkeen, käyttöönotto 1 viikon kuluessa.
- Korkea vakavuusaste: Käyttöönotto 2-4 viikon kuluessa.
- Keskivaikea vakavuusaste: Käyttöönotto 1-2 kuukauden kuluessa.
- Vähäinen vakavuusaste: Pyrimme korjaamaan 6 kuukauden kuluessa, kun vaikutustenarviointi osoittaa, että tämä haavoittuvuus vaikuttaa järjestelmiimme ja on siksi priorisoitava.
Mikä on ohjelmistokehityksen elinkaari (SDLC) eli ohjelmistomuutosten valvontaprosessi?
Oneflow käyttää ohjelmistokehityksen elinkaaressa (SDLC) ketteriä menetelmiä joustavuuden ja jatkuvan parantamisen varmistamiseksi. Kaikille ohjelmistomuutoksille tehdään perusteellinen vertaisarviointi ennen julkaisua. Ylläpidämme useita täysin toimivia ympäristöjä testausta ja validointia varten tuotantoympäristön ulkopuolella, mikä helpottaa tiukkoja laadunvarmistusprosesseja. Muutokset hyväksytään tuotantoon vasta, kun ne ovat läpäisseet vertaisarvioinnin ja ohjelmiston automaattisen testisarjan. Tämä ketterä lähestymistapa parantaa kykyämme reagoida nopeasti muutoksiin ja hallita kehitysprosessia tehokkaasti.
Mitä tietojen salausstandardeja Oneflow käyttää?
Oneflow käyttää kehittyneitä salausstandardeja asiakastietojen suojaamiseen. Tähän kuuluu AES-256-salaus levossa oleville tiedoille ja TLS 1.2 tai korkeampi siirrossa oleville tiedoille. Tämä varmistaa, että kaikki asiakastiedot on salattu turvallisesti sekä tallennuksen että siirron aikana.
Onko Oneflowlla suunnitelma tietoturvaloukkausten varalta?
Oneflowlla on kattava reagoimissuunnitelma häritötilanteiden osalta, jonka avulla tietoturvaloukkauksiin voidaan puuttua viipymättä. Suunnitelmassa esitetään menettelyt vaaratilanteiden välitöntä rajoittamista, tutkimista ja korjaamista varten, jotta varmistetaan mahdollisimman vähäinen vaikutus asiakkaisiimme ja kaikkien asiaankuuluvien ilmoitusvelvoitteiden noudattaminen.
Noudattaako Oneflow digitaalisia sopimuksia koskevia alakohtaisia säännöksiä?
Oneflow on sitoutunut noudattamaan digitaalisiin sopimuksiin sovellettavia alakohtaisia säännöksiä. Tähän sisältyy sähköisiä allekirjoituksia ja transaktioita koskevien EU:n eIDAS-standardien noudattaminen ja sen varmistaminen, että palvelumme täyttävät digitaalisia sopimuksia koskevat lakisääteiset vaatimukset eri lainkäyttöalueilla.
Mitä käyttäjien pääsyn -ja todennuksen valvontaa Oneflowlla on käytössä?
Oneflow käyttää vankkaa käyttäjien käyttöoikeuksien ja todennuksen valvontaa, kuten monivaiheista tunnistautumista (MFA), roolipohjaista käyttöoikeuksien valvontaa (RBAC) ja käyttäjäoikeuksien säännöllistä tarkastusta. Näillä toimenpiteillä varmistetaan, että vain valtuutetut käyttäjät pääsevät käsiksi arkaluonteisiin tietoihin ja että käyttäjien käyttöoikeuksia rajoitetaan asianmukaisesti heidän organisaatiossa olevan roolinsa perusteella.