Tietoturvallisuus on käytännön tekoja
Graniten tietoturvaperiaatteet alustalla ja työssä.

Graniten tietoturvaperiaatteet alustalla ja työssä.
Tietoturvallisuus ja tietosuoja ovat Graniten toiminnan ytimessä alkaen aina toiminnan johtamisesta, palvelutuotannosta, tuotekehityksestä, ja ennen kaikkea henkilöstön toiminnassa.
Noudatamme kattavia teknisiä ja organisatorisia periaatteita ja toimenpiteitä varmistaaksemme tietosuojan ja tietoturvallisuuden toteutumisen.
Niin toimintaamme kuin Graniten alustaa ja palveluita, sekä toimintamme turvallisuuskäytäntöjä auditoidaan säännöllisesti ulkopuolisten asiantuntijoiden toimesta.
Tietoturvallisuuden hallintajärjestelmämme on ISO 27001 tietoturvasertifioitu. Tietosuojakäytäntömme perustuvat EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksiin.
Konesalipalvelun tarjoajina käytämme vain luotettavimpia toimijoita, jotka ovat ISO 27001 tietoturvasertifioituja.
Graniten järjestelmä salaa kaiken datan työkalujen loppukäyttäjien ja tietojesi välillä. Kaikki asiakasdata on salattu lepotilassa ja siirron aikana käyttämällä alan yleisiä standardeja, työkaluja parhaita käytäntöjä kaikessa työssä.
Graniten käyttö- ja tiedonhallinta oikeudet räätälöidään asiakkaan prosessi- ja liiketoimintatarpeiden mukaan.
Graniten järjestelmä tukee SAML 2.0 teknologian käyttöä kertakirjautumiseen (SSO). Keskitetty todennus ja hallinnointi tukee työkalujen kokonaisvaltaista käyttöönottoa ja asiakkaan tavoitteiden toteutumista Graniten alustalla ja työkaluissa.
Graniten järjestelmä on rakennettu Equinix Finland Oy:n, ISO27001 sertifioidulle yksityiselle pilvialustalle (private cloud). Palvelimet ja data sijaitsevat Suomessa.
Graniten koko järjestelmäinfrastruktuuri on rakennettu palomuurien taakse. Ratkaisumme arkkitehtuuri rakentuu kolmeen kerrokseen (asiakas, sovellus ja data). Sisäinen ja ulkoinen pääsy dataan on sitä rajatumpi, mitä lähemmäksi tietojen säilytyspaikkaa tullaan.
Graniten järjestelmään ja työkaluihin on mahdollista muodostaa asiakas- ja kumppanirajapinnat turvallisen RESTful API:n kautta.
Jatkuvuussuunnitelumme päätavoitteena on Graniten jatkuva toimivuus ja sujuvat, toimivat, luotettavat, turvalliset ja kaikkien asiakkaiden saatavilla olevat palvelut.
Jatkuvuusperiaatteisiimme kuuluu, että tiedotamme asiakasta kaikista Graniten liiketoiminnan jatkuvuuteen liittyvistä tapauksista, jotka vaikuttavat mihin tahansa asiakkaisiin. Asiakkaille toimitetaan pyydettäessä heidän tarvitsemansa raportit. Suurissa katastrofeissa hyödynnämme sosiaalista mediaa ja muita kanavia tiedon saamiseksi niin monelle asiakkaalle kuin mahdollista.
Kaikki Graniten työntekijät on ohjeistettu miten heidän tulee toimia jos he havaitsevat poikkeamia tai epäilevät tietoturvaloukkauksia.
Kaikki havainnot dokumentoidaan prosessin mukaisesti ja ilmoitetaan välittömästi Graniten turvallisuusryhmälle.
Ohjeiden ja toimintatapojen päivitystarve arvioidaan jokaisen poikkeamahavainnon jälkeen tapahtuman riskiarvioinnin perusteella
Palvelin- ja datakeskuspalveluntarjoajamme valvovat jatkuvasti keskuksensa tulevaa ja lähtevää dataliikennettä.
Poikkeamat liikenteessä ilmoitetaan välittömästi, tutkitaan ja suoritetaan tarvittavat toimenpiteet.
Muuttuvaan digitaliseen liiketoimintaympäristöön liittyy aina kyberuhkia. Noudatamme parhaita periaatteita voidaksemme tunnistaa ja arvioida muuttuvia uhkia ja riskejä, sekä varautua niihin.
Palvelinhaavoittuvuuksien ja -riippuvuuksien skannaus on irrottamaton ja kriittinen osa Graniten ohjelmistotuotantoa. Tunnistetut haavoittuvuuden hylätään automaattisesti osana haavoittuvuuksien hallintaprosessiamme jossa ne joko korjataan tai niiden aiheuttama riski hyväksytään.
Graniten koodi skannataan OWASP-haavoittuvuuksien ja muiden koodivirheiden tunnistamiseksi ennen kuin se siirretään tuotantoympäristöön.
Hyödynnämme kolmansia osapuolia alustamme haavoittuvuuksien arviointiin.
Koodin skannauksen lisäksi Graniten kehitystiimi testaa automaattisesti uusia ominaisuuksia ja alustapäivityksiä ennen niiden viemistä tuotantoon.
Vaatimustenmukaisuus tietosuojasäädösten ja -lakien kanssa on Graniten toiminnan perusperiaatteita ja noudatamme tiukkaa GDPR:n mukaista protokollaa, jotta asiakkaamme voivat hallita tietojaan tehokkaasti ja turvallisin mielin.
Lisäksi olemme Granite-alustan pääkäyttäjä, hyödymme sitä omassa toiminnassamme ja vaatimustenmukaisuuden ja sertifiointiprosessien hallinnassa.
Granite noudattaa kaikkia sovellettavia tietosuojalakeja, kuten GDPR. Asiakkaiden tietoja Granite-alustalla käsitellään luottamuksellisina, eikä niitä koskaan myydä. Lisätietoa alustamme tietosuoja-asetuksista ja siitä, miten tietojasi käsitellään, löydät tietojen käsittely selosteestamme.
Granitella palkkauksen ehtona on viranomaisten suorittama taustaselvitys. Lisäksi kaikki Graniten työntekijät allekirjoittavat kirjalliset salassapitosopimuksen, joka velvoittaa pitämään asiakastiedot luottamuksellisina.
Vuosittaiset läpäistyt tietoturvallisuuden ja tietosuojan verkkokoulutukset ovat pakollisia kaikille Graniten työntekijöille.
Pääsy asiakkaidemme tietoihin ja dataan on rajattu tarkasti käyttöoikeuksilla. Graniten työntekijät voivat käyttää asiakastietoja tai ympäristöjä vain asiakastyössä ja asiakaskäytön mahdollistamiseksi ja tukemiseksi. Alihankkijoillamme ei ole pääsyä asiakastietoihin.
Tietoturvallisuuden hallintajärjestelmämme (ISMS, Information Security Management System) kattaa Graniten koko toiminnan ja palvelutuotannon. Hallintajärjestelmä on sertifioitu ISO/IEC 27001:2013 standardin mukaisesti.
Tietosuoja ja tietoturva ovat palvelutuotantomme lähtökohtia. Noudatamme tietoturvallisen ohjelmoinnin periaatteita kaikissa tuotekehityksen vaiheissa ja huolehdimme tietosuojan toteutumisesta monin eri kontrollein.
Riskienhallintapolitiikka kattaa liiketoimintaamme liittyvät riskit ja mahdollisuudet. Riskienhallinnalla varmistetaan pitkän aikavälin liiketoiminnan kehittyminen ja jatkuvuus.
Yksi liiketoimintamme perusedellytyksistä on sujuva ja toimiva tiedonhallinta. Tietoturvapolitiikka tukee turvallisen tiedonhallinnan ja ISO 27001 vaatimusten toteutumista yrityksen kaikilla tasoilla.
Olemme varautuneet kattavasti liiketoimintaamme ja palvelutuotantoomme liittyviin häiriötilanteisiin ja niiden hallintaan. Jatkuvuussuunnitelmassa on kuvattu tähän liittyvät periaatteet käytännön tasolla.
Haluamme olla mahdollisimman avoimia asiakkaidemme henkilötietojen käsittelyn periaatteista palvelutuotannossamme. Käsittelemme vain tarpeellisia henkilötietoja ja vain asiakkaalle tuotetun palvelun laajuudessa. Käytäntömme täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset.
Graniten avulla kokonaisvaltaisen tilannekuvan luominen on vaivatonta.
Tommi Simula, Riskienhallintapäällikkö, Valtori
Granite on mahdollistanut riskienhallintatyön kehittymisen.
Rea Oikkonen, Pohjolan Voima, Ympäristöpäällikkö ja riskienhallinnan asiantuntija
Granitella raportointi sujuu mutkattomasti.
Anna Tamminen, Chief Security Officer, Pirkanmaan sairaanhoitopiiri
Granite Partners Oy
info@granite.fi
Kauppakatu 3 A
Tampere 33200
0300472297 (vaihde)
FI19722011