Tietoturvakuvaus

Tietoturvakuvaus Apprix Oy:n käyttämistä palvelimista ja palvelinkeskuksista

Yleistä

Apprix Oy:n käyttämät palvelimet sijaitsevat Suomessa, Hetzner Online GmbH:n palvelinkeskuksessa “Hetzner Data Center Park Helsinki”.

Hetzner on yksi Euroopan johtavista palvelukeskustoimijoista.

Palvelimet

Palvelinkeskus on sertifioitu ISO/IEC 27001 -standardin mukaisesti 

Fyysinen suojaus:

• Korkean turvatason palvelinympäristö, 
• Esim. videovalvonta, elektroninen kulunvalvonta, jäähdytys, sähkönsyötön varavoimalähde.

Tietoverkon suojaus:

• Monitasoisesti varmistetut yhteydet

Palvelinten suojaus:

• Palvelunestohyökkäysten (DDoS) esto
• Palomuuri 
  • Vain tarkasti valitut portit avoimena 
  • IP-rajoitukset käytössä
• Haavoittuvuuksien tunnistaminen
• Tunkeutumisen esto
• Virustorjunta
• Tietokantatunkeutumisen (mm. SQL injection) esto

Palvelinten ohjelmistopäivitykset:

• Automaattiset päivitykset, 
• Serverit sertifioituja “Common Criteria EAL2” -tietoturvastandardin mukaisesti
• Prosessi palvelinten säännölliseen päivittämiseen

Palvelinten hallinta:

• Keskitetty palvelinten hallinta
• Pääsy palvelinten ylläpitoon ainoastaan VPN-yhteyden kautta.
• Suojatut SSH/TSL -yhteydet palvelimille nimettyjen Apprix-ylläpitäjien käytössä
• Säännölliset Heartbeat-tyyliset palvelinten toimivuuden tarkistukset

Apprix Oy:n toteuttamat ohjelmistot

Palvelujen tiedonsiirron suojaus

• Kaikki web-käyttöliittymän kautta kulkeva liikenne salattu (https, SHA-256).
• Salaus käytössä myös kaikessa muussa palvelimille tapahtuvassa tiedonsiirrossa.

Tietojen varmistus ja palautus

• Kaikki ohjelmakoodi tallennetaan versionhallintaan, josta se on palautettavissa uusimpaan tai aikaisempaan versioon.
• Tietokanta- ja sovelluspalvelimesta otetaan automaattinen varmuuskopio kerran vuorokaudessa 
  • Säilytetään 7 vuorokautta taaksepäin. 
  • Lisäksi säilytetään yksi kuukausittainen varmuuskopio taaksepäin. 
• Palvelinten levyistä IAAS:n toimesta synkronoidut kopiot, joista mahdollista käynnistää nopeasti uusi identtinen palvelin esim. laiterikon tapauksessa.
• Helposti toteuttava manuaalinen varmuuskopiointi erikoistilanteita varten.
• Tietojen palauttamista testataan säännöllisesti kerran kvartaalissa.

Palvelun siirrettävyys

• Palvelu voidaan sovittaessa asentaa yhteensopivalle palvelimelle (tietokannat ja ohjelmisto) 

Palvelun tietojen sijainti ml. henkilötiedot ja siirron rajoitukset

• Palvelu ja sen tiedot ml. henkilötiedot varmistuksineen sijaitsevat Suomessa Hetzner Ag:n tietokonesalissa.
• GDPR-direktiivi on huomioitu. 
  • Tietoja ei siirretä EU-alueen ulkopuolelle missään palvelun tietojen käsittely-, ylläpito- tai siirtovaiheessa.

Tietojen poisto

• Järjestelmän sisältämät tiedot poistetaan palvelun käytön päättyessä järjestelmän palvelimelta ja varmuuskopiopalvelimilta.

Palvelujen turvallisuusauditointi

• Palvelun tietoturva auditoidaan ulkoisen ammattilaistahon toimesta.

Palvelujen ylläpitäjät, käyttäjät, roolit ja vastuut

• Palvelujen pääylläpitäjä on Apprix Oy:n kyseisestä palvelusta vastaava henkilö. 
  • Pääylläpitäjällä on pääsy- ja hallintaoikeus kaikkiin palvelun osioihin ja tietoihin.
• Asiakkaan ylläpitäjillä on pääsy ja hallintaoikeus kaikkiin heille luodun palvelun osioihin ja tietoihin.
• Ylläpitäjät voivat myöntää itse järjestelmään rajoitettuja, rooleihin perustuvia käyttöoikeuksia järjestelmän omilla käyttövaltuuksien hallintatoiminnoilla. 
  • Kaikki tunnukset tehdään henkilökohtaisesti, yhteiskäyttötunnuksia ei käytetä
• Kaikissa järjestelmissä on käyttäjätunnuksiin ja salasanoihin perustuva pääsynhallinta

Tietoturvaan liittyvät sopimukset

Salassapito (NDA)

• Apprix Oy:n ja asiakkaan välille solmitaan molemminpuolinen tietojen salassapitovelvollisuus
• Jokaisella Apprixilla asiakastietoja käsittelevän henkilön kanssa (omat työntekijät ja alihankkijat) on tehty henkilökohtainen NDA-sopimus.

Henkilötietojen käsittelysopimus (DPA)

• Henkilötietojen osalta huomioidaan  Euroopan tietosuojadirektiivi (GDPR, EU General Data Protection Regulation).
• Apprix Oy:n ja Hetzner Online GmbH:n välillä on solmittu DPA-sopimus.
• Henkilötietoja käsiteltäessä asiakkaiden kanssa solmitaan erilliset DPA-sopimukset.

Palvelutasosopimus (SLA)

• Apprix Oy:n ja käyttäjäorganisaation välille tehdyssä palvelutasosopimuksessa sovitaan tukipalvelusta (mm. vasteajat erilaisissa poikkeustilanteissa) ja määritetään SLA-tavoitetasot.

Tuetut päätelaitteet

Apprixin järjestelmät ovat käytettävissä moderneilla www-selaimilla. Palvelut tukevat seuraavia selaimia ja versioita: