Tietoturvallisuus on käytännön tekoja

Graniten tietoturvaperiaatteet alustalla ja työssä.

Kokonaisvaltainen riskienhallinta vaatii kehittyvää tietoturvallisuutta ja tietoturvallista yrityskulttuuria

Tietoturvallisuus ja tietosuoja ovat Graniten toiminnan ytimessä alkaen aina toiminnan johtamisesta, palvelutuotannosta, tuotekehityksestä, ja ennen kaikkea henkilöstön toiminnassa.

Noudatamme kattavia teknisiä ja organisatorisia periaatteita ja toimenpiteitä varmistaaksemme tietosuojan ja tietoturvallisuuden toteutumisen.
Niin toimintaamme kuin Graniten alustaa ja palveluita, sekä toimintamme turvallisuuskäytäntöjä auditoidaan säännöllisesti ulkopuolisten asiantuntijoiden toimesta.

Tietoturvallisuuden hallintajärjestelmämme on ISO 27001 tietoturvasertifioitu. Tietosuojakäytäntömme perustuvat EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksiin.

Konesalipalvelun tarjoajina käytämme vain luotettavimpia toimijoita, jotka ovat ISO 27001 tietoturvasertifioituja.

Tietosuoja

Graniten työkalut ja alusta on kehitetty käsittelemään kaikkia asiakkaan tietoja kriittisenä tietona. Kaiken Granitessa käsitellyn tiedon keskiössä on tietosuoja. Noudatamme muun muassa seuraavia tietosuojaperiaatteita:
Tiedon salaus siirron aikana ja lepotilassa

Graniten järjestelmä salaa kaiken datan työkalujen loppukäyttäjien ja tietojesi välillä. Kaikki asiakasdata on salattu lepotilassa ja siirron aikana käyttämällä alan yleisiä standardeja, työkaluja parhaita käytäntöjä kaikessa työssä.

Käyttöoikeudet ja kulunvalvonta

Graniten käyttö- ja tiedonhallinta oikeudet räätälöidään asiakkaan prosessi- ja liiketoimintatarpeiden mukaan.

Autentikointi

Graniten järjestelmä tukee SAML 2.0 teknologian käyttöä kertakirjautumiseen (SSO). Keskitetty todennus ja hallinnointi tukee työkalujen kokonaisvaltaista käyttöönottoa ja asiakkaan tavoitteiden toteutumista Graniten alustalla ja työkaluissa.

Pilvipalvelu (Cloud-Hosted Services)

Graniten järjestelmä on rakennettu Equinix Finland Oy:n, ISO27001 sertifioidulle yksityiselle pilvialustalle (private cloud). Palvelimet ja data sijaitsevat Suomessa.

Kolminkertainen arkkitehtuuri (Three-Tier Architecture)

Graniten koko järjestelmäinfrastruktuuri on rakennettu palomuurien taakse. Ratkaisumme arkkitehtuuri rakentuu kolmeen kerrokseen (asiakas, sovellus ja data). Sisäinen ja ulkoinen pääsy dataan on sitä rajatumpi, mitä lähemmäksi tietojen säilytyspaikkaa tullaan.

API-rajapinta (Application Programming Interface, API)

Graniten järjestelmään ja työkaluihin on mahdollista muodostaa asiakas- ja kumppanirajapinnat turvallisen RESTful API:n kautta.

Jatkuvuussuunnitelu ja poikkeamanhallinta

Jatkuvuussuunnittelu ja jatkuvuudenhallinta on kriittinen osa turvallisuusinfrastruktuuriamme, joka pyrkii mahdollistamaan asiakkaidemme tavoitteet.
Jatkuvuudenhallinnan laajuus ja tavoitteet

Jatkuvuussuunnitelumme päätavoitteena on Graniten jatkuva toimivuus ja sujuvat, toimivat, luotettavat, turvalliset ja kaikkien asiakkaiden saatavilla olevat palvelut.

Viestintä ja tiedottaminen häiriötilanteesta

Jatkuvuusperiaatteisiimme kuuluu, että tiedotamme asiakasta kaikista Graniten liiketoiminnan jatkuvuuteen liittyvistä tapauksista, jotka vaikuttavat mihin tahansa asiakkaisiin. Asiakkaille toimitetaan pyydettäessä heidän tarvitsemansa raportit. Suurissa katastrofeissa hyödynnämme sosiaalista mediaa ja muita kanavia tiedon saamiseksi niin monelle asiakkaalle kuin mahdollista.

Poikkeamanhallinnan  periaatteet 

Kaikki Graniten työntekijät on ohjeistettu miten heidän tulee toimia jos he havaitsevat poikkeamia tai epäilevät tietoturvaloukkauksia.
Kaikki havainnot dokumentoidaan prosessin mukaisesti ja ilmoitetaan välittömästi Graniten turvallisuusryhmälle.

Ohjeiden ja toimintatapojen päivitystarve arvioidaan jokaisen poikkeamahavainnon jälkeen tapahtuman riskiarvioinnin perusteella

Palvelin- ja datakeskuspalveluntarjoajamme valvovat jatkuvasti keskuksensa tulevaa ja lähtevää dataliikennettä.
Poikkeamat liikenteessä ilmoitetaan välittömästi, tutkitaan ja suoritetaan tarvittavat toimenpiteet.

Haavoittuvuuksien hallinta ja testaus

Muuttuvaan digitaliseen liiketoimintaympäristöön liittyy aina kyberuhkia. Noudatamme parhaita periaatteita voidaksemme tunnistaa ja arvioida muuttuvia uhkia ja riskejä, sekä varautua niihin.

Haavoittuvuuksien skannaus

Palvelinhaavoittuvuuksien ja -riippuvuuksien skannaus on irrottamaton ja kriittinen osa Graniten ohjelmistotuotantoa. Tunnistetut haavoittuvuuden hylätään automaattisesti osana haavoittuvuuksien hallintaprosessiamme jossa ne joko korjataan tai niiden aiheuttama riski hyväksytään.

Koodin tarkastelu

Graniten koodi skannataan OWASP-haavoittuvuuksien ja muiden koodivirheiden tunnistamiseksi ennen kuin se siirretään tuotantoympäristöön.

Kolmannen osapuolen läpäisytestaus (Third-Party Penetration Testing)

Hyödynnämme kolmansia osapuolia alustamme haavoittuvuuksien arviointiin.

Automaatiotestaus

Koodin skannauksen lisäksi Graniten kehitystiimi testaa automaattisesti uusia ominaisuuksia ja alustapäivityksiä ennen niiden viemistä tuotantoon.

Yksityisyys, henkilötietojen suoja ja vaatimustenmukaisuus

Vaatimustenmukaisuus tietosuojasäädösten ja -lakien kanssa on Graniten toiminnan perusperiaatteita ja noudatamme tiukkaa GDPR:n mukaista protokollaa, jotta asiakkaamme voivat hallita tietojaan tehokkaasti ja turvallisin mielin. 

Lisäksi olemme Granite-alustan pääkäyttäjä, hyödymme sitä omassa toiminnassamme ja vaatimustenmukaisuuden ja sertifiointiprosessien hallinnassa.

Yksityisyyden suojaus

Granite noudattaa kaikkia sovellettavia tietosuojalakeja, kuten GDPR. Asiakkaiden tietoja Granite-alustalla käsitellään luottamuksellisina, eikä niitä koskaan myydä. Lisätietoa alustamme tietosuoja-asetuksista ja siitä, miten tietojasi käsitellään, löydät tietojen käsittely selosteestamme.

Henkilöstön taustaselvitykset

Granitella palkkauksen ehtona on viranomaisten suorittama taustaselvitys. Lisäksi kaikki Graniten työntekijät allekirjoittavat kirjalliset salassapitosopimuksen, joka velvoittaa pitämään asiakastiedot luottamuksellisina.

Tietoturvatietoisuus ja henkilöstön kouluttaminen 

Vuosittaiset läpäistyt tietoturvallisuuden ja tietosuojan verkkokoulutukset ovat pakollisia kaikille Graniten työntekijöille.

Kolmansien osapuolten pääsynhallinta (Third-Party Access)

Pääsy asiakkaidemme tietoihin ja dataan on rajattu tarkasti käyttöoikeuksilla. Graniten työntekijät voivat käyttää asiakastietoja tai ympäristöjä vain asiakastyössä ja asiakaskäytön mahdollistamiseksi ja tukemiseksi. Alihankkijoillamme ei ole pääsyä asiakastietoihin.

Tietoturvan dokumentaatio

Tietoturvallisuuden hallintajärjestelmä

Tietoturvallisuuden hallintajärjestelmämme (ISMS, Information Security Management System) kattaa Graniten koko toiminnan ja palvelutuotannon. Hallintajärjestelmä on sertifioitu ISO/IEC 27001:2013 standardin mukaisesti.

Lue lisää


Palvelutuotannon tietosuoja- ja tietoturvakuvaus

Tietosuoja ja tietoturva ovat palvelutuotantomme lähtökohtia. Noudatamme tietoturvallisen ohjelmoinnin periaatteita kaikissa tuotekehityksen vaiheissa ja huolehdimme tietosuojan toteutumisesta monin eri kontrollein.

Lue lisää

Riskienhallintapolitiikka

Riskienhallintapolitiikka kattaa liiketoimintaamme liittyvät riskit ja mahdollisuudet. Riskienhallinnalla varmistetaan pitkän aikavälin liiketoiminnan kehittyminen ja jatkuvuus.

Lue lisää

Tietoturvapolitiikka

Yksi liiketoimintamme perusedellytyksistä on sujuva ja toimiva tiedonhallinta. Tietoturvapolitiikka tukee turvallisen tiedonhallinnan ja ISO 27001 vaatimusten toteutumista yrityksen kaikilla tasoilla.

Lue lisää

Jatkuvuussuunnitelma

Olemme varautuneet kattavasti liiketoimintaamme ja palvelutuotantoomme liittyviin häiriötilanteisiin ja niiden hallintaan. Jatkuvuussuunnitelmassa on kuvattu tähän liittyvät periaatteet käytännön tasolla.

Lue lisää

Seloste käsittelytoimista

Haluamme olla mahdollisimman avoimia asiakkaidemme henkilötietojen käsittelyn periaatteista palvelutuotannossamme. Käsittelemme vain tarpeellisia henkilötietoja ja vain asiakkaalle tuotetun palvelun laajuudessa. Käytäntömme täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset.

Lue lisää

Markkinoinnin tietosuojakäytäntö

Tietosuojakäytäntömme tarkoituksena on informoida verkkosivujemme ja palvelujemme käyttäjiä siitä, kuinka heidän henkilötietojaan käsitellään ja suojataan.

Lue lisää

Ota yhteyttä

Graniten avulla kokonaisvaltaisen tilannekuvan luominen on vaivatonta.

Tommi Simula, Riskienhallintapäällikkö, Valtori

Granite on mahdollistanut riskienhallintatyön kehittymisen.

Rea Oikkonen, Pohjolan Voima, Ympäristöpäällikkö ja riskienhallinnan asiantuntija

Granitella raportointi sujuu mutkattomasti.

Anna Tamminen, Chief Security Officer, Pirkanmaan sairaanhoitopiiri