Näin varmistat riittävän tietosuojan ja tietoturvan

Tietoturva ja tietosuoja ovat nykyään kaiken toiminnan keskiössä. Yritysten ja organisaatioiden vastuulla on huolehtia siitä, että heidän käyttämänsä ratkaisut ovat tietoturvallisia ja asiakkaiden yksityisyys on kunnossa. Vastuu on sekä lakisääteinen että moraalinen. Näitä asioita ei koskaan voi kokonaan ulkoistaa toimittajien hoidettavaksi.

Vastuuseen sisältyy sellaisen kumppanin valitseminen, joka pystyy toteuttamaan ja osoittamaan investoinnit turvallisuuteen sekä tietosuojaan.

Toimittajan turvalupausten ja investointien on toteuduttava myös käytännössä. Laadukkaimmat toimittajat käyttävät kehittyneitä suojausmenetelmiä ja aktiivisesti testaavat turvallisuusratkaisujaan yhdessä parhaimpien asiantuntijatahojen kanssa.

Artikkelin lopussa löydät käytännönläheiset tietosuojan, tietoturvan ja vastuullisuuden tarkistuslistat. Voit vapaasti käyttää näitä, kun suunnittelet uuden ohjelmistopalvelun tai järjestelmän hankintaprosessin aloittamista.

Asiakkaiden tietosuoja on meille ensiarvoisen tärkeää

Neptonilla on useita merkittäviä julkishallinnon, terveysalan, finanssialan ja lakitoimistoalan asiakkaita. Hansel on valinnut meidät julkishallinnon puitesopimustoimittajaksi. Nepton toteuttaa mm. EU tietosuojasääntelyn sekä julkishallinnon tiedonhallintalain vaatimukset.

Konsernimme toimintaa ohjaa kansainvälinen ISO 27001 -standardi tietoturvallisuuden hallintaan. Standardi sisältää muun muassa riskienhallintapolitiikan sekä yleisiä tietoturvakäytänteitä. Nämä ovat apunamme hahmottamaan tietoturvamme tilannetta, hallitsemaan tietoturvakokonaisuutta sekä toimimaan järjestelmällisesti.

Turvallisuustietoa kerätään jatkuvasti

Käytämme tietoturvan kokonaishallintaratkaisua, joka on normaalia virustorjuntaa huomattavasti kehittyneempi. Ratkaisu tarkkailee palveluidemme infrastruktuuria ja työntekijöidemme IT-ympäristöä. Sensorit seuraavat päätelaitteiden ja palveluiden tapahtumia sekä keräävät turvallisuustietoa jatkuvasti.

Tiedot analysoidaan tekoälypilvessä, joka havaitsee poikkeavia tapahtumia, varoittaa vaarallisiksi luokitelluista tapahtumaketjuista, sekä tunnistaa uudenlaisia uhkia. Epäilyttävät toiminnat huomataan, vaikka ne vaikuttaisivatkin harmittomilta.

Olemme valinneet tähän tarkoitukseen kehittyneet Advanced Threat Protection (ATP) ja Endpoint Detection and Response (EDR) -menetelmät. Nämä toimivat autonomisena suojauksena nykyaikaisia uhkia, kuten kiristyshaittaohjelmia, tuntemattomia haittaohjelmia ja Zero Day haavoittuvuuksia vastaan.

Tietoturvan toteutuminen varmistetaan

Neptonin sovellusten tietoturvaa ja lähdekoodia auditoidaan säännöllisesti. Tällöin tehdään murtautumistestejä, joissa parhaimmat ulkoiset asiantuntijat yrittävät murtautua palveluun. Näin palvelun mahdolliset heikot kohdat havaitaan ajoissa ja ne voidaan korjata ennen todellisen uhan muodostumista. Uusimman laajan murtautumistestin toteutti Nixu Oyj vuoden 2021 lopussa. Testin tuloksena Neptonin todettiin olevan turvallinen palvelu.


Tietosuojan TOP 5 tarkistuslista hankintaprosessiin

  1. Onko toimittajalla kattava kuvaus EU tietosuojalainsäädännön vaatimusten toteuttamisesta? Onko toimittajan henkilöstö todistettavasti koulutettu tietosuojan periaatteisiin ja toteutukseen toimittajan ympäristössä?
  2. Onko kolmansien osapuolten tietosiirtojen vastuut kuvattu riittävällä tavalla? Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?
  3. Ovatko erityisesti tiedon luottamuksellisuuden, integriteetin, saatavuuden ja resilienssin sekä säännöllisen arvioinnin yksityiskohdat kuvattu riittävän tarkasti? Nämä ovat tärkeitä asioita Suomessa, mutta vieläkin tärkeämpiä erityisesti Keski-Euroopan alueella toimittaessa.
  4. Onko toimittajalla dokumentteja, jotka osoittavat toteutetut investoinnit ja mahdolliset ulkoisten asiantuntijatahojen käytön tietosuoja-asioihin tai niiden tulkintaan liittyen?
  5. Mikäli olet julkinen toimija, niin varmista toimittajan toteuttavan julkishallinnon tiedonhallintalain vaatimukset.

Tietoturvan TOP 5 tarkistuslista hankintaprosessiin

  1. Noudattaako toimittaja kansainvälisiä tietoturvan hallinnan standardeja (esim.  ISO 27001) ja pystyy osoittamaan tämän? Suorittaako toimittaja aktiivista ja kattavaa riskienhallintaa jatkuvasti?
  2. Onko toimittajalla käytössä palveluiden sisäistä ja ulkoista perustason turvallisuutta säännöllisesti skannaava tietoturvan erillisratkaisu?
  3. Käyttääkö toimittaja virustutkia, kehittyneitä ADR/ETP-turva-analytiikan ratkaisuja ja turvapäivitysten keskitettyä jakelua kattavasti omassa ympäristössään? Toteutuvatko nämä asiat myös toimittajan työntekijöiden käyttämillä työasemilla ja kannettavilla tietokoneilla?
  4. Toteutuvatko ohjelmiston versiojulkaisut 100 % automaattisesti? Onko julkaistavan ohjelmiston aina ensin onnistuneesti läpäistävä useita eri testiympäristöjä ja testiskenaarioita? Skannataanko ohjelmiston riippuvuudet suhteessa kolmansien osapuolten komponentteihin jokaisen julkaisun yhteydessä siten, että mahdolliset kolmansien osapuolten tietoturvahaavoittuvuudet havaitaan automatiikan toimesta?
  5. Onko toimittajan palvelu onnistuneesti läpäissyt ulkopuolisen asiantuntijan suorittaman laajan murtautumistestauksen? Katselmoitiinko murtautumistestauksessa myös lähdekoodia? Mikäli oli testaajan johtopäätös palvelun tietoturvan tasoon liittyen?

Vastuullisuuden TOP 3 tarkistuslista hankintaprosessiin

  1. Onko toimittajalla määritettyä vastuullisuusdokumentaatiota? Sisältävätkö nämä käytössäännöstön sekä whistleblower-ohjeistuksen? Onko toimittaja sitoutunut YK:n Global Compact sekä EU:n vihreiden hankintojen periaatteisiin? Onko toimittajan henkilöstö todistettavasti koulutettu ja sitoutunut näihin?
  2. Tuotetaanko toimittajan palveluita vastuullisesti ja energiatehokkaasti? Ovatko toimittajan työtilat, konesalit ja pilvikeskukset soveltuvien standardien mukaisesti energiatehokkaita? Ovatko konesalit ja pilvikeskukset GREEN tai DARK GREEN energiatehokkaita? Käyttävätkö toimistot, konesalit ja pilvikeskukset pelkästään hiilineutraalia sähköä? Toimivatko konesalit ja pilvikeskukset kaupunkilämmön lähteinä ja alueellisen sähköverkon kuormituksen tasaajina? Tukeeko toimittaja henkilöstönsä etätyötä ja vihreää liikkumista tarjoamalla vähäpäästöisiä vaihtoehtoja kulkemiseen?
  3. Miten toimittaja osallistuu yhteiskunnan ja paikallisyhteisöjen kehittämiseen ja kansalaisten yleisen elämänlaadun parantamiseen?

Neptonilla kaikki tietosuojan, tietoturvan ja vastuullisuuden kriteerit täyttyvät. Toteutetaan yhdessä vihreämpi ja turvallisempi tulevaisuus!

Vesa Kivistö

Saarni Cloudin ja Neptonin tietoturva- sekä tietosuojavastaava

Lisää lukemista

Alisa Pankki tehostaa työajanhallintaa Neptonin avulla  

lisa Pankki päätti ottaa käyttöön Neptonin työajanseurantajärjestelmän parantaakseen työnajanhallintaa ja sujuvoittaakseen palkanlaskentaprosessejaan.

Neptonin tarina

Nepton sai alkunsa 1. lokakuuta 2000, kun aiemmin ICT-alan konsulttina itsensä työllistänyt Jukka Kivistö perusti yrityksen.

Nepton mukana Tili- ja veropäivillä 20.–21.1.2025

Nepton on mukana taloushallinnon sekä palkka-​​ ja henkilöstöhallinnon asiantuntijoiden vuoden ykköstapahtumassa.

Webinaari: Nepton News joulukuu 2024

Katso vuoden 2024 viimeisen Nepton News -webinaarin nauhoite, jossa käymme läpi kuluneen vuoden kohokohdat ja suuntaamme katseet tulevaan!