Varaa esittely

Näin varmistat riittävän tietosuojan ja tietoturvan

Tietoturva ja tietosuoja ovat nykyään kaiken toiminnan keskiössä. Yritysten ja organisaatioiden vastuulla on huolehtia siitä, että heidän käyttämänsä ratkaisut ovat tietoturvallisia ja asiakkaiden yksityisyys on kunnossa. Vastuu on sekä lakisääteinen että moraalinen. Näitä asioita ei koskaan voi kokonaan ulkoistaa toimittajien hoidettavaksi.

Vastuuseen sisältyy sellaisen kumppanin valitseminen, joka pystyy toteuttamaan ja osoittamaan investoinnit turvallisuuteen sekä tietosuojaan.

Toimittajan turvalupausten ja investointien on toteuduttava myös käytännössä. Laadukkaimmat toimittajat käyttävät kehittyneitä suojausmenetelmiä ja aktiivisesti testaavat turvallisuusratkaisujaan yhdessä parhaimpien asiantuntijatahojen kanssa.

Artikkelin lopussa löydät käytännönläheiset tietosuojan, tietoturvan ja vastuullisuuden tarkistuslistat. Voit vapaasti käyttää näitä, kun suunnittelet uuden ohjelmistopalvelun tai järjestelmän hankintaprosessin aloittamista.

Asiakkaiden tietosuoja on meille ensiarvoisen tärkeää

Neptonilla on useita merkittäviä julkishallinnon, terveysalan, finanssialan ja lakitoimistoalan asiakkaita. Hansel on valinnut meidät julkishallinnon puitesopimustoimittajaksi. Nepton toteuttaa mm. EU tietosuojasääntelyn sekä julkishallinnon tiedonhallintalain vaatimukset.

Konsernimme toimintaa ohjaa kansainvälinen ISO 27001 -standardi tietoturvallisuuden hallintaan. Standardi sisältää muun muassa riskienhallintapolitiikan sekä yleisiä tietoturvakäytänteitä. Nämä ovat apunamme hahmottamaan tietoturvamme tilannetta, hallitsemaan tietoturvakokonaisuutta sekä toimimaan järjestelmällisesti.

Turvallisuustietoa kerätään jatkuvasti

Käytämme tietoturvan kokonaishallintaratkaisua, joka on normaalia virustorjuntaa huomattavasti kehittyneempi. Ratkaisu tarkkailee palveluidemme infrastruktuuria ja työntekijöidemme IT-ympäristöä. Sensorit seuraavat päätelaitteiden ja palveluiden tapahtumia sekä keräävät turvallisuustietoa jatkuvasti.

Tiedot analysoidaan tekoälypilvessä, joka havaitsee poikkeavia tapahtumia, varoittaa vaarallisiksi luokitelluista tapahtumaketjuista, sekä tunnistaa uudenlaisia uhkia. Epäilyttävät toiminnat huomataan, vaikka ne vaikuttaisivatkin harmittomilta.

Olemme valinneet tähän tarkoitukseen kehittyneet Advanced Threat Protection (ATP) ja Endpoint Detection and Response (EDR) -menetelmät. Nämä toimivat autonomisena suojauksena nykyaikaisia uhkia, kuten kiristyshaittaohjelmia, tuntemattomia haittaohjelmia ja Zero Day haavoittuvuuksia vastaan.

Tietoturvan toteutuminen varmistetaan

Neptonin sovellusten tietoturvaa ja lähdekoodia auditoidaan säännöllisesti. Tällöin tehdään murtautumistestejä, joissa parhaimmat ulkoiset asiantuntijat yrittävät murtautua palveluun. Näin palvelun mahdolliset heikot kohdat havaitaan ajoissa ja ne voidaan korjata ennen todellisen uhan muodostumista. Uusimman laajan murtautumistestin toteutti Nixu Oyj vuoden 2021 lopussa. Testin tuloksena Neptonin todettiin olevan turvallinen palvelu.


Tietosuojan TOP 5 tarkistuslista hankintaprosessiin

  1. Onko toimittajalla kattava kuvaus EU tietosuojalainsäädännön vaatimusten toteuttamisesta? Onko toimittajan henkilöstö todistettavasti koulutettu tietosuojan periaatteisiin ja toteutukseen toimittajan ympäristössä?
  2. Onko kolmansien osapuolten tietosiirtojen vastuut kuvattu riittävällä tavalla? Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?
  3. Ovatko erityisesti tiedon luottamuksellisuuden, integriteetin, saatavuuden ja resilienssin sekä säännöllisen arvioinnin yksityiskohdat kuvattu riittävän tarkasti? Nämä ovat tärkeitä asioita Suomessa, mutta vieläkin tärkeämpiä erityisesti Keski-Euroopan alueella toimittaessa.
  4. Onko toimittajalla dokumentteja, jotka osoittavat toteutetut investoinnit ja mahdolliset ulkoisten asiantuntijatahojen käytön tietosuoja-asioihin tai niiden tulkintaan liittyen?
  5. Mikäli olet julkinen toimija, niin varmista toimittajan toteuttavan julkishallinnon tiedonhallintalain vaatimukset.

Tietoturvan TOP 5 tarkistuslista hankintaprosessiin

  1. Noudattaako toimittaja kansainvälisiä tietoturvan hallinnan standardeja (esim.  ISO 27001) ja pystyy osoittamaan tämän? Suorittaako toimittaja aktiivista ja kattavaa riskienhallintaa jatkuvasti?
  2. Onko toimittajalla käytössä palveluiden sisäistä ja ulkoista perustason turvallisuutta säännöllisesti skannaava tietoturvan erillisratkaisu?
  3. Käyttääkö toimittaja virustutkia, kehittyneitä ADR/ETP-turva-analytiikan ratkaisuja ja turvapäivitysten keskitettyä jakelua kattavasti omassa ympäristössään? Toteutuvatko nämä asiat myös toimittajan työntekijöiden käyttämillä työasemilla ja kannettavilla tietokoneilla?
  4. Toteutuvatko ohjelmiston versiojulkaisut 100 % automaattisesti? Onko julkaistavan ohjelmiston aina ensin onnistuneesti läpäistävä useita eri testiympäristöjä ja testiskenaarioita? Skannataanko ohjelmiston riippuvuudet suhteessa kolmansien osapuolten komponentteihin jokaisen julkaisun yhteydessä siten, että mahdolliset kolmansien osapuolten tietoturvahaavoittuvuudet havaitaan automatiikan toimesta?
  5. Onko toimittajan palvelu onnistuneesti läpäissyt ulkopuolisen asiantuntijan suorittaman laajan murtautumistestauksen? Katselmoitiinko murtautumistestauksessa myös lähdekoodia? Mikäli oli testaajan johtopäätös palvelun tietoturvan tasoon liittyen?

Vastuullisuuden TOP 3 tarkistuslista hankintaprosessiin

  1. Onko toimittajalla määritettyä vastuullisuusdokumentaatiota? Sisältävätkö nämä käytössäännöstön sekä whistleblower-ohjeistuksen? Onko toimittaja sitoutunut YK:n Global Compact sekä EU:n vihreiden hankintojen periaatteisiin? Onko toimittajan henkilöstö todistettavasti koulutettu ja sitoutunut näihin?
  2. Tuotetaanko toimittajan palveluita vastuullisesti ja energiatehokkaasti? Ovatko toimittajan työtilat, konesalit ja pilvikeskukset soveltuvien standardien mukaisesti energiatehokkaita? Ovatko konesalit ja pilvikeskukset GREEN tai DARK GREEN energiatehokkaita? Käyttävätkö toimistot, konesalit ja pilvikeskukset pelkästään hiilineutraalia sähköä? Toimivatko konesalit ja pilvikeskukset kaupunkilämmön lähteinä ja alueellisen sähköverkon kuormituksen tasaajina? Tukeeko toimittaja henkilöstönsä etätyötä ja vihreää liikkumista tarjoamalla vähäpäästöisiä vaihtoehtoja kulkemiseen?
  3. Miten toimittaja osallistuu yhteiskunnan ja paikallisyhteisöjen kehittämiseen ja kansalaisten yleisen elämänlaadun parantamiseen?

Neptonilla kaikki tietosuojan, tietoturvan ja vastuullisuuden kriteerit täyttyvät. Toteutetaan yhdessä vihreämpi ja turvallisempi tulevaisuus!

Vesa Kivistö

Saarni Cloudin ja Neptonin tietoturva- sekä tietosuojavastaava

Lisää lukemista

Nepton yhtenäisti vuorosuunnittelun ja työajanseurannan HUB logisticsilla 

04/04/2024

Neptonin avulla työajanseuranta ja työvuorosuunnittelu saatiin yhtenäistettyä kaikissa konsernin yksiköissä, kolmen eri alan työehtosopimuksia noudattavissa tehtävissä.

Saarni Nepton ostaa Abloyn Flexim-työajanseurantajärjestelmän liiketoiminnan

02/04/2024

Kaksi merkittävää työaikaratkaisuiden toimijaa Saarni Nepton Oy ja Abloy Oy ovat sopineet liiketoimintakaupasta, jossa Abloyn Flexim Pro/Compact -tuotteen liiketoiminta sekä tuotteen parissa työskentelevä henkilöstö siirtyvät osaksi Saarni Neptonia 1.4.2024 alkaen.

Katso webinaari: Hallitse lomia Neptonissa

15/02/2024

Otamme tässä webinaarissa katsauksen keväällä ajankohtaiseen aiheeseen – lomakauden vaihtumiseen. Käymme läpi webinaarissa, miten vuosilomien ansainta Neptonissa toimii.

Tervetuloa Neptonille Mikko Ruoho

06/02/2024

Pitkään ohjelmistoalalla työskennellyt Mikko tietää, että paras ratkaisu asiakkaalle löydetään silloin, kun ymmärretään sekä tuotetta että asiakkaan liiketoimintaa.

Tilaa uutiskirjeemme ajankohtaisista puheenaiheista​