Sitedrive Oy:n tietoturvalupaus

Tämä tietoturvalupaus antaa lisätietoja tietoturvakäytännöistämme ja teknisistä ratkaisuista. Henkilötietojen käsittelyssä noudatamme Sitedrive Oy:n tietosuojapolitiikkaa.

TIETOTURVAPOLITIIKKA

Noudatamme Sitedrive Oy:n tietoturvapolitiikkaa, joka määrittelee tietoturvaan liittyvät vastuut ja organisoinnin, tietoturvakäytännöt ja yhteistyömallin sidosryhmien kanssa.

HENKILÖSTÖN KOULUTUKSET

Koko henkilöstömme suorittaa pakollisen tietoturva- ja tietosuojakoulutukset kerran vuodessa. Koulutukset kuuluvat myös uusien työntekijöidemme perehdytysohjelmaan. Näiden koulutuksen lisäksi pidämme roolikohtaisia tietoturvakoulutuksia.

PÄÄSYNHALLINTA

Sitedrive Oy on erillinen liiketoiminta, joka asettaa erityisvaatimuksia sen käyttämiin ja tuottamiin järjestelmiin ja dataan. Varmistamme organisatorisesti ja tietoteknisesti, että pääsyoikeudet asiakkaidemme omistamaan tai muuten asiakkaidemme liiketoiminnalle kriittiseen dataan on rajattu ainoastaan Sitedrive Oy:n liiketoiminnan johtamiseen, asiakassuhteen hoitamiseen tai palveluidemme tuottamiseen liittyvään henkilöstöön. Edellä mainittua dataa ei jaeta Sitedrive Oyn ulkopuolelle.

Voimme toimittaa asiakkaillemme asiakaskohtaisia ratkaisuja yhteistyössä kolmansien osapuolten kuten softakehityskumppanien kanssa. Tällaisissa tapauksissa projektiryhmä sovitaan yhdessä asiakkaan kanssa ja projektiin osallistuvan henkilöstön kanssa allekirjoitetaan tarvittaessa erillinen NDA.

JÄRJESTELMIEN TEKNISET YMPÄRISTÖT

Hyödynnämme palveluissamme laajasti käytössä olevia pilvipalveluita, kuten Google Cloud Platform ja Amazon WebServices. Olemme laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Pilvipalveluiden tietoturvan suunnittelussa ja toteutuksessa hyödynnämme tietoturvaan erikoistuneita palveluntarjoajia.

Teknisiin ympäristöihin tehtävät muutokset käyvät läpi muutoshallintaprosessin ja muutokset ympäristöihin kirjataan automaattisesti lokeihin. Pääsy muutoslokeihin on rajattu.

KUMPPANIT

Tukeudumme toiminnassamme kumppaneihin ja toimittajiin, jotka jakavat Sitedrive Oyn arvomaailman sekä eettisyyden että toiminnan jatkuvuuden varmistamiseksi. Käymme säännöllisesti läpi kumppaneidemme taustat ja varmistamme sopimuksellisesti, että luottamuksellisuus ja korkean tietoturvan taso toteutuu yhteistyössämme.

KEHITYSPROSESSI

Olemme huomioineet tietoturvaan ja tietosuojaan liittyvät toimenpiteet ohjelmistokehitysprosessimme ja laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Tietoturva huomioidaan kaikissa sovelluksen elinkaaren vaiheissa. Ohjelmistokehityskumppanimme sitoutuvat sopimuksellisesti toteuttamaan Sitedrive Oy:n määrittelemän tietoturvan tason.

KÄYTÖN SEURANTA

Keräämme automaattisesti lokitietoa kirjautumista ja käyttäjän toimenpiteistä kehittämiemme ohjelmistojen pilviympäristöissä. Pääsy näihin lokeihin rajattu.

TIETOTURVA-AUDITOINNIT

Auditoimme säännöllisesti asiakkaille tuottamamme tietojärjestelmät. Löydetyt haavoittuvuudet analysoidaan riskiperustaisesti ja korjataan asianmukaisella tavalla.

JÄRJESTELMIEN AJANTASAISUUS

Huolehdimme, että käyttöjärjestelmien, varusohjelmistojen ja verkkokomponenttien versiot ovat ajan tasalla tietoturvahaavoittuvuuksien minimoimiseksi. Käyttämiemme julkisten pilvipalveluiden tarjoajat varmistavat infrastruktuurin ajantasaisuuden.

VERKKOYHTEYDET

Käytämme oletuksena HTTPS-salausta selainsovelluksissamme. Salaamme liikenteen myös järjestelmäkomponenttien välisissä yhteyksissä muun muassa järjestelmäintegraatioissa.

POIKKEAMIEN HALLINTA

Olemme määritelleet poikkeustilanteiden varautumissuunnitelman ja sovellamme sitä myös vakavien tietoturvapoikkeamien osalta. Prosessi määrittelee avainroolit ja tehtävät poikkeustilanteessa.