Admicomin ohjelmistojen tietoturva
Mietityttääkö Admicom-konsernin ohjelmistojen tietoturva? Ei hätää! Olemme varmistaneet ensiluokkaisilla tietoturvaratkaisuilla, että ohjelmistoissamme yrityksesi tärkeät tiedot ovat turvassa myös häiriötilanteissa. Tutustu alta tarkemmin!
Admicom Ultiman (ent. Adminet) tietoturva
Tietoliikenneturvallisuus
Kiinteät tietoliikenneyhteydet on suojattu kaikissa toimipisteissä keskitetysti hallittujen palomuuri- ja valvontajärjestelmien avulla. Verkon aktiivilaitteiden säännöstöjen muutokset ja ajantasaisuus katselmoidaan säännöllisesti.
Tietoverkkojen kaapelointi pyritään toteuttamaan aina siten, että fyysisten muutosten tekeminen ei ole mahdollista ilman asianmukaisia pääsyoikeuksia tiloihin / sähkökaappeihin. Aktiivilaitteiden konfiguroinnissa huomioidaan mahdolliset tunkeutumisriskit.
Mahdollisia tunkeutumisia tietoverkkoihin valvotaan monikerroksellisesti erilaisia teknisiä ratkaisuja hyödyntäen verkon ulkoreunalta yksittäiseen sisäverkossa liikennöivään päätelaitteeseen.
Laitteistoturvallisuus
Laitteistoturvallisuudella tarkoitetaan kaikkea laitteistojen elinkaareen liittyvää hallinnointia sisältäen kartoituksen, hankinnan, käyttöönoton, käytön ja ylläpidon sekä käytöstä poiston.
Tavoitteena on varmistaa tietojenkäsittely- ja tietoliikennelaitteiden käytettävyys ja estää omaisuuden häviäminen sekä vahingoittuminen.
Kaikki yrityksen laitteet ja niiden käyttäjät on dokumentoitu laiterekisteriin. päätelaitteiden kokoonpanoa ja niissä mahdollisesti havaittuja poikkeamia, päivityksiä ja asennuksia valvotaan keskitetysti ja suunnitelmallisesti. Laitteiden poisto tehdään tietoturvallisesti siten, ettei tietojen palauttaminen ole mahdollista.
Ohjelmistoturvallisuus
Käytämme omien järjestelmiemme lisäksi vain yrityskäyttöön lisensoituja ohjelmistoja ja pilvipalveluita. Ohjelmistoasennukset, niiden päivitykset, sekä lisensointi on keskitettyä ja dokumentoitua.
Haittaohjelmien esiintymiseen on varauduttu turvamekanismein (mm. virustorjunta, palomuurit, verkovalvonta jne.). Kaikissa ohjelmistoasennuksissa huomiodaan organisaation tietoturvallisuusvaatimukset.
Tietoliikenneyhteydet
Admicomin käyttämästä konesalista on korkealaatuiset valokaapeliyhteydet valtakunnan runkoverkkoihin ja kaikki sisään tulevat ja ulos lähtevät tietoliikenneyhteydet on kahdennettu. Yhteys asiakkaan laitteilta palvelimille on salattu korkeatasoisella salauksella.
Työntekijöiden yhteydet omiin yritysverkkoihin on vahvennettu kahdennetulla atentikoitumisella ja vahvalla salauksella.
Laitesali ja palvelinympäristö
Kansallinen palveluntarjoaja vastaa Adminetin konesalista, jonka kulunvalvonta, paloturvallisuus, murtosuojaus, sekä täysin omavaraiset sähkö- ja jäähdytysjärjestelmät täyttävät mm. TIER 3- ja VAHTI-standardien vaatimukset.
Tuotantoympäristön palvelimet kahdennetaan reaaliaikaisesti ja lisäksi varmistuksia tehdään myös fyysisesti omasta tuotantoympäristöstä erilliseen sijaintiin.
Henkilöstöturvallisuus
Rekrytointiprosessin yhteydessä tehdään tarvittavat tarkistukset henkilön työ- ja koulutushistoriaan liittyen soveltuvuuden varmistamiseksi, sekä roolin niin vaatiessa myös vähintään suppea henkilöturvallisuusselvitys.
Aloittava henkilöstö käy aina läpi yrityksen perehdyttämisohjelman. Lisäksi työtehtäviin, tietoturvallisuuteen, sekä tietosuojaan liittyen tarjotaan koulutusta säännöllisesti sen varmistamiseksi, että työntekijöillä on edellytykset huolehtia omalta osaltaan tietoturvallisuuteen liittyvistä velvoitteista yrityksessä.
Käyttövaltuudet
Käyttövaltuuksilla tarkoitetaan tietojärjestelmien käyttäjille myönnettyjä yksilöityjä oikeuksia nimettyjen osajärjestelmien käyttöön tai tietojen saantiin. Tavoitteena on estää luvaton käyttö tietojärjestelmiin, tietoaineistoihin ja toimitiloihin.
Yrityksessä on määritelty roolikohtaisesti työn tekemisen kannalta välttämättömät käyttövaltuudet järjestelmiin. Valtuudet määritellään uudestaan mikäli käyttäjän rooli yrityksessä muuttuu.
Tietoaineistoturvallisuus
Yrityksen käyttämät järjestelmät ja palvelut täyttävät tietosuoja-asetuksen vaatimukset ja henkilöstöämme koulutetaan säännöllisesti tietosuojaan liittyen. Henkilötietoja sisältävistä rekistereistä laaditaan asianmukaiset rekisteriselosteet ja henkilötietojen käsittelyssä noudatetaan lainsäädännön vaatimuksia.
Yrityksessämme noudatetaan puhtaan pöydän ja puhtaan näytön periaatetta. Paperimuodossa olevat dokumentit säilytetään niitä varten sovituilla paikoilla ja työaseman näytöt pidetään lukittuina poissa ollessa.
Tarpeeton tietoaineisto hävitetään luotettavalla, turvaluokituksen edellyttämällä tavalla.
Tietoturvallisuuden ja -suojan ylläpito ja kehittäminen
Henkilöstön kouluttamisella ja tietoisuuden lisäämisellä pyritään havaitsemaan poikkeamia ja kehityskohteita tehokkaasti kaikista yrityksen toiminnoista.
Yrityksemme riskienhallintaprosessit pohjaavat kansainvälisiin viitekehyksiin mahdollisimman objektiivisen laadullisen mittaamisen mahdollistamiseksi.
Turvallisuusalan asiakkaan kommentit tietoturvaamme
Lesec Oy on turvallisuusalan asiantuntijayritys, jolle myös yhteistyökumppaneiden turvallisuus ja luotettavuus ovat keskeisiä elementtejä kaikessa toiminnassa. Toimitusjohtaja Timo Iivarinen kävi tutustumassa Admicomin tietoturvaratkaisuihin ja piti näkemästään.
”Pidämme huolta asiakkaidemme turvallisuusteknistä järjestelmistä ja olemme osa heidän turvallisuusratkaisujaan. Keskeinen luottamus on tässä toiminnassa ensiarvoisen tärkeää. Admicom on ymmärtänyt toiminnanohjausjärjestelmän toimittajana toimialaamme liittyvät erityiset tarpeet osaltaan hyvin ja osoittanut kantavansa yhteistyökumppanina osansa turvallisuuteen liittyvästä vastuusta.
Admicomin käyttämä konesali on rakenteellisesti esimerkillisesti suojattu, se on tehokkaasti kulunvalvottu ja teknisesti kattavasti valvottu. Olen vakuuttunut servereiden olevan hyvin suojattu myös tietoturvaan liittyvien asioiden osalta. Voin kertoa asiakkaillemme tarvittaessa asioiden olevan tällä saralla hyvin hoidossa meillä sekä yhteistyökumppanillamme Admicomilla.
Omat palvelimet yhteistyökumppanin toimiston nurkassa eivät ole hakemamme turvallisuuteen liittyvä kestävä ratkaisu. Kiitos Admicomille vakuuttavista tietoturvaan liittyvistä turvallisuusratkaisuista sekä siihen liittyvästä asianmukaisesta selvityksestä.”
Admicom Visionin tietoturva
Asetustenmukaisuus
Admicom Vision (ent. Kotopro) noudattaa henkilötietojen käsittelyssä Suomessa voimassa olevaa tietosuojalainsäädäntöä ja käsittelee kaikkia henkilötietoja luottamuksellisesti sekä vastuullisesti.
Käyttöoikeudet ja tunnistautuminen
Käyttäjän tunnistautumiseen käytetään sähköpostiosoitetta ja salasanaa. Jokaisella yrityksellä on oma käyttöympäristö ja jokaiselle käyttäjälle määritellään käyttöoikeustaso käyttöympäristössä. Käyttöoikeuksilla rajataan käyttäjän yleiset käyttöoikeudet yrityksessä, sekä yksittäisten kohteiden osalta omistus-, katselu-, ja muokkausoikeudet. Käyttöympäristön kohteita on mahdollista jakaa yrityksen ulkopuolisille käyttäjille, jotka saavat käyttöoikeuden vain jaettuun kohteeseen.
Lokitiedot
Ohjelma tallentaa lokitietoja ja analytiikkaa ohjelman käytöstä. Lokitietoihin tallentuu kellonaika, käyttäjätiedot, mitä kohtaa ohjelmassa on katsottu tai muokattu sekä IP- osoite, mistä ohjelmaa on käytetty.
Tiedonsiirron suojaus
Tiedonsiirto asiakkaan laitteen ja sovelluspalvelimen välillä tehdään aina suojatulla HTTPS/TLS- yhteydellä, käyttäen nykyaikaisia salausalgoritmeja 2048-bittisellä salausavaimella. Ohjelmiston palvelimien välinen tiedonsiirto on myös aina salattua.
Varmuuskopiot
Kaikki ohjelmistoon tallennettu tieto varmuuskopioidaan säännöllisesti tai on automaattisesti varmennettu useaan paikkaan hajautetulla järjestelmällä. Varmuuskopioista voidaan palauttaa yksittäisiä kohteita tai tarvittaessa koko järjestelmä riippuen vahingon laadusta.
Palvelut ja kolmannet osapuolet
Admicom Vision käyttää palvelun tuottamiseen ulkopuolisia luotettavia ja turvallisia palveluntarjoajia, jotka vastaavat palvelimien fyysisestä turvallisuudesta, tietoturvapäivityksistä sekä vaatimustenmukaisuudesta. Olemme tehneet asianmukaiset sopimukset palveluntarjoajien kanssa. Admicom vastaa omalta osaltaan tietoturvapäivityksistä ja käyttöoikeuksien hallinnasta. Järjestelmät päivitetään säännöllisesti.
Palvelumme sijaitsevat pääosin EU:n alueella. Admicomin käyttämiä palveluntarjoajia ovat Amazon Web Services, MongoDB Atlas ja Elastic Cloud. Näiden lisäksi käytämme EU-alueen ulkopuolella seuraavia Yhdysvaltalaisia palveluita: Sendgrid (sovelluksen sisäiset sähköpostit), DocRaptor (PDF-tulostuspalvelu) ja Help Scout (helpdesk-järjestelmä).