Tietoturva

Kaikki Vaivatta-palvelun ydinjärjestelmät ja asiakastiedot sijaitsevat Hetzner Online GmbH:n Helsingin konesalissa Tuusulassa. Tietosi eivät koskaan poistu EU/ETA-alueelta — eivät edes varmuuskopioissa tai analytiikassa.

Hetzner Data Center Park Helsinki, Huurrekuja 10, 04360 Tuusula

• Liikenne: kaikki yhteydet salataan TLS 1.3 -protokollalla
• Levyllä: palvelinten levyt ovat salattuja — fyysisen levyn varastaminen ei paljasta tietojasi
• Salasanat: omat tunnuksesi tallennetaan hajautettuina (Argon2id) — emme voi lukea niitä
• Asiakaskohtaiset salasanat: säilytetään organisaatiokohtaisessa Passbolt-vakassa, johon meillä on hallittu käyttöoikeus vain sopimuksen mukaisia tehtäviä varten

• Tuotantopääsy on rajoitettu nimettyyn pieneen ydintiimiin
• Hallintapääsy edellyttää aina kaksivaiheista tunnistautumista (TOTP tai laitteistopohjainen avain)
• Käyttöoikeudet myönnetään vähimmän oikeuden periaatteella ja tarkistetaan vuosittain
• Kaikki tuotantopääsyt kirjautuvat — pyynnöstä toimitamme yhteenvedon sinun organisaatiotasi koskeneista pääsyistä

• Palveluiden tilaa valvotaan ympäri vuorokauden automaattisilla terveystarkistuksilla
• Tärkeät tapahtumat — kirjautumiset, käyttöoikeusmuutokset, sopimustasoiset toimet — kirjataan tarkastettavaan auditointilokiin
• Lokit säilytetään 12 kuukautta ja niitä tarkastellaan poikkeustilanteiden yhteydessä
• Hälytykset poikkeustilanteista ohjautuvat päivystysvuorossa olevalle insinöörille

• Tietoturvapäivitykset asennetaan viipymättä — kriittiset 24 tunnin sisällä julkaisusta
• Riippuvuudet skannataan automaattisesti tunnetuista haavoittuvuuksista jokaisen julkaisun yhteydessä
• Säännölliset turvakatselmukset ja koodikatselmukset osana kehitysprosessia

Tietokanta- ja tiedostotason varmuuskopiointi on osa palvelusopimustasi. Varmuuskopioiden tiheys (esim. päivittäin tai useammin), säilytysaika ja palautusaika kirjataan sopimukseen. Varmuuskopiot säilytetään salattuina toisessa EU-alueen sijainnissa, jotta yhden konesalin häiriö ei vaaranna palautumiskykyä.

Jos havaitsemme tietoturvaloukkauksen, joka voi vaikuttaa henkilötietoihisi, ilmoitamme siitä sinulle viipymättä — viimeistään 72 tunnin kuluessa havaitsemisesta GDPR:n mukaisesti. Ilmoitus sisältää kuvauksen tapahtuneesta, vaikutusarvion, jo tehdyt toimenpiteet ja yhteyshenkilön jatkokysymyksiä varten.

Päivitetty alihankkijaluettelo on aina luettavissa Tietojenkäsittelysopimuksesta. Mosparo-botinesto ja asiakaskohtainen Passbolt-salasanavakka toimivat omilla palvelimillamme Hetznerin konesalissa, eivätkä ole erillisiä alihankkijoita.

• Käytä vahvaa, uniikkia salasanaa Vaivatta-tilillesi
• Älä jaa kirjautumislinkkejä tai tunnuksia muille
• Ota käyttöön kaksivaiheinen tunnistautuminen heti, kun se on saatavilla
• Ilmoita meille välittömästi, jos epäilet tilisi joutuneen vääriin käsiin

Jos havaitset tietoturvaongelman tai haavoittuvuuden palvelussamme, ilmoita siitä meille välittömästi. Käsittelemme tietoturvailmoitukset ensisijaisina ja pidämme ilmoittajan ajan tasalla korjaustoimenpiteistä.

Tietoturvailmoitukset

[email protected]

Tietoturvakäytäntömme on suunniteltu ISO/IEC 27001 -standardin kontrollikategorioiden mukaisesti. Vaikka emme ole tällä hetkellä sertifioituja, sovellamme standardin periaatteita kaikessa kehitys- ja operointitoiminnassamme.