Tekniset ja organisatoriset tietoturva­toimenpiteet

Voimassa 1. toukokuuta 2024 alkaen.

Tietoturva on olennainen osa Visiosto palveluita. Tällä sivulla kuvataan Visioston tietoturvaohjelma sekä tekniset ja organisatoriset toimenpiteet, joilla Visiosto turvaa asiakkaan tietoja luvattomalta pääsyltä, tuhoamiselta, muokkaamiselta, käytöltä ja julkaisulta (tietoturvatoimenpiteet). Jollei tässä asiakirjassa ole määritelty toisin, kaikilla käytetyillä termeillä on sama määritelmä kuin Visioston asiakassopimuksessa ja tietoturvasopimuksessa on annettu.

Tietoturvan organisointi

• Tietoturvan omistus: Visiosto on nimittänyt yhden tai useamman henkilön, joka vastaa tietoturvakäytäntöjen ja -menettelyjen koordinoinnista.

• Tietoturvaroolit ja -vastuut: Visioston edustajia, joilla on pääsy asiakkaan tietoihin, sitoo salassapitovelvollisuus.

• Riskien arviointi: Visiosto arvioi säännöllisesti alikäsittelijöihin liittyviä riskejä ja sen omiin tietoturvatoimintoihin liittyviä riskejä.

Tietovarojen hallinta

• Luettelo tietovaroista: Visiosto ylläpitää luetteloa kaikista välineistä, joihin on tallennettu asiakkaan tietoja ja henkilötietoja. Näihin tallennusvälineluetteloihin on pääsy ainoastaan Visioston edustajilla, joilla on siihen oikeus.

• Tietovarojen käsittely:

  • Visiosto luokittelee asiakkaan tiedot, jotta ne voidaan tunnistaa ja pääsyä niihin rajoittaa asianmukaisesti.
  • Visiosto korostaa edustajilleen tietosuojaan liittyvää vastuuta.

Edustajien tietoturva

• Tietoturvakoulutus: Visiosto kouluttaa edustajiaan aika ajoin tietoturvasta sekä korostaa edustajilleen tietoturvan olevan toiminnan perusta.

Tietojen ympäristön turvallisuus

• Suojautuminen häiriöiltä: Visiosto käyttää alan standardikäytäntöjä suojautuakseen sähkökatkoksista tai linjahäiriöistä johtuvilta tietojen menetyksiltä.

• Komponenttien hävittäminen: Visiosto käyttää alan standardikäytäntöjä asiakkaan tietojen poistamiseen, kun niitä ei enää tarvita.

Viestintä ja toiminnanohjaus

• Toimintatavat: Visiosto ylläpitää asiakirjoja, joissa kuvataan sen tietoturvatoimenpiteet ja -menettelyt sekä niiden henkilöiden, joilla on pääsy asiakkaan tietoihin ja henkilötietoihin, vastuut.

• Rajat ylittävät tiedot: Visiosto salaa tai antaa asiakkaan salata asiakkaan tiedot, jotka siirretään julkisen verkon kautta.

Pääsyn valvonta

• Pääsykäytännöt: Visiosto ylläpitää rekisteriä niiden henkilöiden oikeuksista, joilla on pääsy asiakkaan tietoihin.

• Pääsyn valtuutus:

  • Visiosto ylläpitää rekisteriä henkilöstöstä, jolla on oikeus käyttää asiakkaan tietoja sisältäviä järjestelmiä.
  • Visiosto tunnistaa ne henkilöt, jotka voivat myöntää, muuttaa tai peruuttaa pääsyn tietoihin ja resursseihin.
  • Visiosto varmistaa, että jos useammalla kuin yhdellä henkilöllä on pääsy asiakkaan tietoja sisältäviin järjestelmiin, yksilöillä on järjestelmiin erilliset tunnukset, jos se on teknisesti ja arkkitehtuurisesti mahdollista ja kaupallisesti kohtuullista.

• Pienin oikeus:

  • Teknistä tukea tarjoavilla tahoilla on pääsy asiakkaan tietoihin vain tarvittaessa.
  • Visiosto rajoittaa pääsyn asiakkaan tietoihin vain niille, jotka tarvitsevat pääsyä tehtäviensä hoitamiseen.

• Eheys ja luottamuksellisuus:

  • Visiosto ohjeistaa edustajiaan päättämään hallinnolliset istunnot, kun tietokoneet jätetään ilman valvontaa.
  • Visiosto tallentaa salasanat niin, että ne ovat salattuja tai käsittämättömiä niiden voimassaoloaikana.

• Todennus:

  • Visiosto käyttää alan standardikäytäntöjä tunnistaakseen ja todentaakseen käyttäjät, jotka yrittävät päästä tietojärjestelmiin.
  • Kun todennusmekanismit perustuvat pelkästään salasanoihin, Visiosto edellyttää, että salasanan on oltava vähintään kahdeksan merkkiä pitkä.
  • Visiosto varmistaa, että käytöstä poistettuja tai vanhentuneita tunnuksia ei myönnetä muille henkilöille.
  • Visiosto valvoo tai antaa asiakkaan valvoa toistuvia yrityksiä päästä tietojärjestelmään virheellisellä salasanalla.
  • Visiosto käyttää alan vakiomenettelyjä, joilla korruptoituneet tai tahattomasti paljastetut salasanat poistetaan käytöstä.
  • Visiosto käyttää alan standardin mukaisia salasanasuojauskäytäntöjä, myös käytäntöjä, joiden tarkoituksena on säilyttää salasanojen luottamuksellisuus ja eheys salasanoja myönnettäessä ja jaettaessa sekä säilytyksen aikana.

Tietoturvaloukkausten hallinta

• Loukkauksiin vastaaminen:
  • Visiosto pitää kirjaa tietoturvaloukkauksista. Kirjaukset sisältävät kuvauksen vaaratilanteista, ajanjakson, vaaratilanteen seuraukset, ilmoittajan nimen, kenelle vaaratilanteesta ilmoitettiin ja yksityiskohtaiset tiedot vaaratilanteen käsittelystä.
  • Jos Visiosto vahvistaa tai epäilee perustellusti, että asiakas on joutunut tietomurron kohteeksi, se ilmoittaa tästä asiakkaalle ilman aiheetonta viivytystä.
  • Visiosto seuraa tai antaa asiakkaan seurata asiakkaan tietojen luovutuksia, myös sitä, mitä tietoja on luovutettu, kenelle ja mihin aikaan.