Sitedrive Oy:n tietoturvalupaus

Tämä tietoturvalupaus antaa lisätietoja tietoturvakäytännöistämme ja teknisistä ratkaisuista. Henkilötietojen käsittelyssä noudatamme Sitedrive Oy:n tietosuojapolitiikkaa.

TIETOTURVAPOLITIIKKA

Noudatamme Sitedrive Oy:n tietoturvapolitiikkaa, joka määrittelee tietoturvaan liittyvät vastuut ja organisoinnin, tietoturvakäytännöt ja yhteistyömallin sidosryhmien kanssa.

HENKILÖSTÖN KOULUTUKSET

Koko henkilöstömme suorittaa pakollisen tietoturva- ja tietosuojakoulutukset kerran vuodessa. Koulutukset kuuluvat myös uusien työntekijöidemme perehdytysohjelmaan. Näiden koulutuksen lisäksi pidämme roolikohtaisia tietoturvakoulutuksia.

PÄÄSYNHALLINTA

Sitedrive Oy on erillinen liiketoiminta, joka asettaa erityisvaatimuksia sen käyttämiin ja tuottamiin järjestelmiin ja dataan. Varmistamme organisatorisesti ja tietoteknisesti, että pääsyoikeudet asiakkaidemme omistamaan tai muuten asiakkaidemme liiketoiminnalle kriittiseen dataan on rajattu ainoastaan Sitedrive Oy:n liiketoiminnan johtamiseen, asiakassuhteen hoitamiseen tai palveluidemme tuottamiseen liittyvään henkilöstöön. Edellä mainittua dataa ei jaeta Sitedrive Oyn ulkopuolelle.

Voimme toimittaa asiakkaillemme asiakaskohtaisia ratkaisuja yhteistyössä kolmansien osapuolten kuten softakehityskumppanien kanssa. Tällaisissa tapauksissa projektiryhmä sovitaan yhdessä asiakkaan kanssa ja projektiin osallistuvan henkilöstön kanssa allekirjoitetaan tarvittaessa erillinen NDA.

JÄRJESTELMIEN TEKNISET YMPÄRISTÖT

Hyödynnämme palveluissamme laajasti käytössä olevia pilvipalveluita, kuten Google Cloud Platform ja Amazon WebServices. Olemme laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Pilvipalveluiden tietoturvan suunnittelussa ja toteutuksessa hyödynnämme tietoturvaan erikoistuneita palveluntarjoajia.

Teknisiin ympäristöihin tehtävät muutokset käyvät läpi muutoshallintaprosessin ja muutokset ympäristöihin kirjataan automaattisesti lokeihin. Pääsy muutoslokeihin on rajattu.

KUMPPANIT

Tukeudumme toiminnassamme kumppaneihin ja toimittajiin, jotka jakavat Sitedrive Oyn arvomaailman sekä eettisyyden että toiminnan jatkuvuuden varmistamiseksi. Käymme säännöllisesti läpi kumppaneidemme taustat ja varmistamme sopimuksellisesti, että luottamuksellisuus ja korkean tietoturvan taso toteutuu yhteistyössämme.

KEHITYSPROSESSI

Olemme huomioineet tietoturvaan ja tietosuojaan liittyvät toimenpiteet ohjelmistokehitysprosessimme ja laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Tietoturva huomioidaan kaikissa sovelluksen elinkaaren vaiheissa. Ohjelmistokehityskumppanimme sitoutuvat sopimuksellisesti toteuttamaan Sitedrive Oy:n määrittelemän tietoturvan tason.

KÄYTÖN SEURANTA

Keräämme automaattisesti lokitietoa kirjautumista ja käyttäjän toimenpiteistä kehittämiemme ohjelmistojen pilviympäristöissä. Pääsy näihin lokeihin rajattu.

TIETOTURVA-AUDITOINNIT

Auditoimme säännöllisesti asiakkaille tuottamamme tietojärjestelmät. Löydetyt haavoittuvuudet analysoidaan riskiperustaisesti ja korjataan asianmukaisella tavalla.

JÄRJESTELMIEN AJANTASAISUUS

Huolehdimme, että käyttöjärjestelmien, varusohjelmistojen ja verkkokomponenttien versiot ovat ajan tasalla tietoturvahaavoittuvuuksien minimoimiseksi. Käyttämiemme julkisten pilvipalveluiden tarjoajat varmistavat infrastruktuurin ajantasaisuuden.

VERKKOYHTEYDET

Käytämme oletuksena HTTPS-salausta selainsovelluksissamme. Salaamme liikenteen myös järjestelmäkomponenttien välisissä yhteyksissä muun muassa järjestelmäintegraatioissa.

POIKKEAMIEN HALLINTA

Olemme määritelleet poikkeustilanteiden varautumissuunnitelman ja sovellamme sitä myös vakavien tietoturvapoikkeamien osalta. Prosessi määrittelee avainroolit ja tehtävät poikkeustilanteessa.

Cookie	Kesto	Kuvaus
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Kesto	Kuvaus
_fbp	3 months	Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website.
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
_hjFirstSeen	1 hour	Hotjar sets this cookie to identify a new user’s first session. It stores the true/false value, indicating whether it was the first time Hotjar saw this user.
_hjRecordingEnabled	session	Hotjar sets this cookie when a Recording starts and is read when the recording module is initialized, to see if the user is already in a recording in a particular session.
_hjSession_*	1 hour	Hotjar sets this cookie to ensure data from subsequent visits to the same site is attributed to the same user ID, which persists in the Hotjar User ID, which is unique to that site.
CONSENT	2 years	YouTube sets this cookie via embedded YouTube videos and registers anonymous statistical data.