Graniten tietoturva- ja tietosuojaperiaatteet

Tietoturvallisuus ja tietosuoja ovat Graniten toiminnan ytimessä alkaen aina toiminnan johtamisesta, palvelutuotannosta, tuotekehityksestä, ja ennen kaikkea henkilöstön toiminnassa.

Noudatamme kattavia teknisiä ja organisatorisia periaatteita ja toimenpiteitä varmistaaksemme tietosuojan ja tietoturvallisuuden toteutumisen. Niin toimintaamme kuin Granite-alustaa ja palveluita, sekä toimintamme turvallisuuskäytäntöjä auditoidaan säännöllisesti ulkopuolisten asiantuntijoiden toimesta.

Tietoturvallisuuden hallintajärjestelmämme on ISO/IEC 27001 tietoturvasertifioitu. Tietosuojakäytäntömme perustuvat EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksiin.

Konesalipalvelun tarjoajina käytämme vain luotettavimpia toimijoita, jotka ovat ISO/IEC 27001 -tietoturvasertifioituja.

 

Tietoturva

Graniten työkalut ja alusta on kehitetty käsittelemään kaikkia asiakkaan tietoja kriittisenä tietona. Kaiken Granitessa käsitellyn tiedon keskiössä on tietoturva. Noudatamme muun muassa seuraavia tietoturvaperiaatteita:

Tiedon salaus siirron aikana ja lepotilassa
Granite-alusta salaa kaiken datan työkalujen loppukäyttäjien ja tietojesi välillä. Kaikki asiakasdata on salattu lepotilassa (“data at rest”) ja siirron aikana (“data in transit”) käyttämällä alan standardeja ja parhaita käytäntöjä.
Käyttöoikeudet ja kulunvalvonta
Graniten käyttö- ja tiedonhallintaoikeudet räätälöidään asiakkaan prosessi- ja liiketoimintatarpeiden mukaan. Granitessa noudatetaan minimioikeuksien periaatetta.
Autentikointi
Granite-alusta tukee SAML 2.0 teknologian käyttöä kertakirjautumiseen (SSO). Keskitetty todennus ja hallinnointi tukevat työkalujen kokonaisvaltaista käyttöönottoa ja asiakkaan tavoitteiden toteutumista Granite-alustalla ja työkaluissa.
Pilvipalvelu ja asiakaskohtaiset tietokannat
Pilviarkkitehtuuri pohjautuu pääsyrajoitettuun ja tietoturvalliseen private cloud -toteutukseen. Granite-alusta on rakennettu Equinix Finland Oy:n, ISO/IEC 27001 sertifioidulle yksityiselle pilvialustalle. Palvelimet ja data sijaitsevat Suomessa. Asiakasdata on lisäksi asiakaskohtaisissa tietokannoissa.
API-rajapinta
Granite-alustaan ja työkaluihin on mahdollista muodostaa asiakas- ja kumppanirajapinnat (Application Programming Interface) turvallisen, modernin ja dokumentoidun RESTful API:n kautta.

Jatkuvuussuunnittelu ja poikkeamanhallinta

Jatkuvuussuunnittelu ja jatkuvuudenhallinta ovat kriittinen osa turvallisuusinfrastruktuuriamme.

Jatkuvuudenhallinnan laajuus ja tavoitteet
Jatkuvuussuunnittelumme päätavoitteena on Graniten jatkuva toimivuus ja sujuvat, toimivat, luotettavat, turvalliset ja kaikkien asiakkaiden saatavilla olevat palvelut.
Viestintä ja tiedottaminen häiriötilanteesta
Jatkuvuusperiaatteisiimme kuuluu, että tiedotamme asiakasta kaikista Graniten liiketoiminnan jatkuvuuteen liittyvistä tapauksista, jotka vaikuttavat asiakkaisiin. Asiakkaille toimitetaan pyydettäessä heidän tarvitsemansa raportit.
Poikkeamanhallinnan  periaatteet 
Kaikki Graniten työntekijät on ohjeistettu, miten heidän tulee toimia, jos he havaitsevat poikkeamia tai epäilevät tietoturvaloukkauksia. Kaikki havainnot dokumentoidaan prosessin mukaisesti ja ilmoitetaan välittömästi Graniten turvallisuusryhmälle. Ohjeiden ja toimintatapojen päivitystarve arvioidaan jokaisen poikkeamahavainnon jälkeen tapahtuman riskiarvioinnin perusteella. Palvelin- ja datakeskuspalveluntarjoajamme valvovat jatkuvasti keskuksensa tulevaa ja lähtevää dataliikennettä. Jos liikenteessä havaitaan poikkeamia, niistä ilmoitetaan välittömästi, ne tutkitaan, sekä suoritetaan tarvittavat toimenpiteet.

Haavoittuvuuksien hallinta ja testaus

Muuttuvaan digitaliseen liiketoimintaympäristöön liittyy aina kyberuhkia. Noudatamme parhaita käytäntöjä voidaksemme tunnistaa ja arvioida muuttuvia uhkia ja riskejä, sekä varautua niihin.

>Haavoittuvuuksien skannaus
Haavoittuvuuksien skannaus on irrottamaton ja kriittinen osa Graniten ohjelmistotuotantoa. Käytämme useita automaattisia skannaustyökaluja ja teemme analyyseja mm. OWASP-haavoittuvuuksien ja muiden koodivirheiden tunnistamiseksi. Lisäksi teemme kattavaa automaatiotestausta koko Granite-alustasta. Tunnistetut haavoittuvuudet käsitellään osana haavoittuvuuksien hallintaprosessiamme.
Kolmannen osapuolen tietoturvatestaus
Hyödynnämme kolmansia osapuolia alustamme haavoittuvuuksien arviointiin. Toteutamme vuosittain kattavan teknisen ja manuaalisen tietoturvatestauksen ulkopuolisen tietoturvayrityksen toimesta.

Tietosuoja ja vaatimustenmukaisuus

Vaatimustenmukaisuus tietosuojasäädösten ja -lakien kanssa on Graniten toiminnan perusperiaatteita ja noudatamme tiukkaa GDPR:n mukaista protokollaa, jotta asiakkaamme voivat hallita tietojaan luottamuksellisesti.

Tietosuoja
Granite noudattaa toiminnassaan ja tietojenkäsittelyssään kaikkia sovellettavia tietosuojalakeja, kuten erityisesti EU:n tietosuoja-asetusta (GDPR). Asiakkaiden tietoja Granite-alustalla käsitellään luottamuksellisina, eikä niitä koskaan hyödynnetä missään muussa tarkoituksessa kuin palveluntuottamisessa asiakkaille. Lisätietoa alustamme tietosuoja-asetuksista ja tietojenkäsittelystä löydät tietojenkäsittelyselosteestamme.
Henkilöstön turvallisuusselvitykset
Granitella palkkauksen ehtona on viranomaisten suorittama turvallisuusselvitys. Lisäksi kaikki Graniten työntekijät allekirjoittavat kirjallisen salassapitosopimuksen, joka velvoittaa pitämään asiakastiedot luottamuksellisina.
Tietoturvatietoisuus ja henkilöstön kouluttaminen
Vuosittaiset tietoturvallisuuden ja tietosuojan verkkokoulutukset ovat pakollisia kaikille Graniten työntekijöille.
Kolmansien osapuolten pääsynhallinta

Pääsy asiakkaidemme tietoihin ja dataan on rajattu tarkasti käyttöoikeuksilla. Graniten työntekijät voivat käyttää asiakasympäristöjä vain asiakastyössä kyseisen asiakkaan käytön mahdollistamiseksi ja tukemiseksi.

Tietoturvan dokumentaatio

Tietoturvallisuuden hallintajärjestelmä

Tietoturvallisuuden hallintajärjestelmämme (ISMS, Information Security Management System) kattaa Graniten koko toiminnan ja palvelutuotannon. Hallintajärjestelmä on sertifioitu ISO/IEC 27001:2022 standardin mukaisesti.

Lue lisää


Palvelutuotannon tietosuoja- ja tietoturvakuvaus

Tietosuoja ja tietoturva ovat palvelutuotantomme lähtökohtia. Noudatamme tietoturvallisen ohjelmoinnin periaatteita kaikissa tuotekehityksen vaiheissa ja huolehdimme tietosuojan toteutumisesta monin eri kontrollein.

Lue lisää

Riskienhallintapolitiikka

Riskienhallintapolitiikka kattaa liiketoimintaamme liittyvät riskit ja mahdollisuudet. Riskienhallinnalla varmistetaan pitkän aikavälin liiketoiminnan kehittyminen ja jatkuvuus.

Lue lisää

Tietoturvapolitiikka

Yksi liiketoimintamme perusedellytyksistä on sujuva ja toimiva tiedonhallinta. Tietoturvapolitiikka tukee turvallisen tiedonhallinnan ja ISO 27001 vaatimusten toteutumista yrityksen kaikilla tasoilla.

Lue lisää

Jatkuvuussuunnitelma

Olemme varautuneet kattavasti liiketoimintaamme ja palvelutuotantoomme liittyviin häiriötilanteisiin ja niiden hallintaan. Jatkuvuussuunnitelmassa on kuvattu tähän liittyvät periaatteet käytännön tasolla.

Lue lisää

Seloste käsittelytoimista

Haluamme olla mahdollisimman avoimia asiakkaidemme henkilötietojen käsittelyn periaatteista palvelutuotannossamme. Käsittelemme vain tarpeellisia henkilötietoja ja vain asiakkaalle tuotetun palvelun laajuudessa. Käytäntömme täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset.

Lue lisää

Markkinoinnin ja asiakaspalvelun tietosuojaseloste

Lue lisää