Tietoturvakuvaus Stratman Oy:n käyttämistä palvelimista, palvelinkeskuksista ja liiketoimintajärjestelmistä

Yleistä

Stratman Oy:n liiketoimintajärjestelmissä ja muissa nettipalveluissa käyttämät palvelimet sijaitsevat Suomessa tai Saksassa Hetzner Online GmbH:n tehokkaissa ja hyvin turvatussa palvelinkeskuksissa.

  • Data Center Park Helsinki (Tuusula), Suomi
  • Data Center Park Nuremberg, Saksa
  • Data Center Park Falkenstein, Saksa

Hetzner on yksi Euroopan johtavista palvelukeskustoimijoista. Stratman Oy:n ja Hetzner Online GmbH:n välillä on solmittu myös Euroopan tietosuojadirektiivin (GDPR, EU General Data Protection Regulation) mukaiset sopimukset.

Palvelimet

  • ISO/IEC 27001 - standardin mukaisesti sertifioitu tietoturva ja tietoturvan hallintajärjestelmä (Information Security Management System, ISMS)
  • fyysinen suojaus (Hetzner):
    • videovalvottu tietokonepuiston ympäröivä aitaus, elektroninen kulunvalvonta antureilla ja henkilökorteilla
    • 24/7 h seuranta kulkuteillä, sisäänkäynneissä, ovikuluissa ja palvelinsaleissa
  • tietoverkon suojaus (Hetzner / DE-CIX):
    • monitasoisesti varmistetut nopeat yhteydet Juniper Networks reitittimillä DE-CIX internet-keskuksen kautta
  • palvelimen suojaus:
    • uusinta ennaltaehkäisevää DDoS-hyökkäysten (kuormitushyökkäysten) torjuntateknologiaa hyödyntävä järjestelmä. Toimii infrastuktuuri-, palvelin-, verkkosovellustasolla.
    • palvelinkohtainen virustorjunta (ClamAV): troijalaiset, virukset, haittaohjelmat.
    • palvelinkohtainen tunkeutumisen esto: denyhost, fail2ban
    • palvelinkohtainen tietokantatunkeutumisen (SQL injection) -esto

Stratman Oy:n tarjoamat liiketoimintajärjestelmät ja nettipalvelut

Palvelujen tiedonsiirron suojaus

  • SSL-suojattu (128-bit) tiedonsiirto (https:/xxxx.xxx.xx). Tarvittaessa myös ftp-palveluille ja muille tietoyhteyksille.
  • SSL-suojaus mahdollisuus myös asiakasportaalillejoissa loppuasiakkaalle näkyvät tiedot voidaan määritellä
  • Järjestelmien-käyttäjäoikeuksien ja tietojen käyttöoikeuksien hallinta roolit, profiilit, ryhmät, tietojen yksityisyyden jakamissäännöt. Voidaan tarvittaessa toteuttaa myös kenttäkohtaisella tasolla.

Tietojen varmistus

  • tietokantatiedot tallennetaan joka vuorokausi yöllä ja kopioidaan fyysisesti erilliselle palvelimelle. Tiedot ovat palautettavissa viikon ajalta joka edelliseltä päivältä, edelliseltä viikonlopulta, edellisen kuukauden lopulta ja edellisen vuoden lopulta. Tarvittaessa voidaan sopia muukin järjestely.
  • järjestelmän päivitykset tehdään asiakkaan kanssa sovittuna aikana. Päivitystarve ja yhteensopivuudet tarkistetaan ennen päivitysten toteuttamista.
  • mikäli erikseen ei ole sovittu itse järjestelmä ja sen tietokanta sijaitsevat samalla palvelimella
  • koko palvelin voidaan palauttaa tarvittaessa snapshotista aikaisempaan tilaan. Tiedot voidaan palauttaa uudemmista tietokannoista ja ohjelmistoversiotasoista.

Palvelun siirrettävyys

  • palvelu voidaan sovittaessa siirtää (tietokannat ja ohjelmisto) yhteensopivalle palvelimelle

Palvelun tietojen sijainti ml. henkilötiedot ja siirron rajoitukset

  • palvelu ja sen tiedot ml. henkilötiedot varmistuksineen sijaitsevat EU:n alueella Hetzner Ag:n tietokonesaleissa
  • GDPR-direktiivi huomioidaan. Tietoja ei siirretä EU-alueen ulkopuolelle missään palvelun tietojen käsittely-, ylläpito- tai siirtovaiheessa.

Tietojen poisto

  • Järjestelmäpalvelun sisältämät tiedot poistetaan palvelun päättyessä järjestelmän palvelimelta ja varmuuskopiopalvelimilta.

Palvelujen ylläpitäjät, käyttäjät, roolit ja vastuut

  • Palvelujen pääylläpitäjä on Stratman Oy:n kyseisetä palvelusta vastaava henkilö. Pääylläpitäjällä on pääsy- ja hallintaoikeus kaikkiin palvelun osioihin ja tietoihin.
  • Asiakkaalla on yksi pääkäyttäjä, jolla on pääsy ja hallintaoikeus kaikkiin itse järjestelmän osioihin ja tietoihin. Palvelimille pääsy- tai hallintaoikeus voidaan myötää erikseen sopimalla.
  • Palvelun pääkäyttäjä voi myöntää itse järjestelmään rajoitettuja rooleihin perustuvia käyttöoikeuksia järjestelmän omilla käyttövaltuuksien hallintatoiminnoilla
  • Kaikissa järjestelmissä on käyttäjätunnuksiin salasanoihin perustuva pääsynhallinta

Stratman Oy:n ja asiakkaan väliset tietoturvaan liittyvät sopimukset

Salassapito (NDA)

  • Stratman Oy:n ja asiakkaan välillä on molemminpuolinen tietojen salassapitovelvollisuus
  • Stratman Oy:n toimittajan ja käyttäjä organisaation välille tehdään tarvittaessa myös salassapitosopimus
  • Erityisesti henkilötietojen osalta huomioidaan GDPR-direktiivi. 

Palvelutaso (SLA) 

  • Palvelutaso 99.9%. Pois lukien toimitussopimuksessa tai tilausvahvistuksessa mainitut huolto- ja päivitystapahtumat.
  • Stratman Oy:n ja käyttäjäorganisaation välille tehdään tarvittaessa tarkempi SLA-tavoitetasot kuvaava palvelutasosopimus