Tietoturva Fastroilla ja miten se on huomioitu Hilkka- ja Nappula-ohjelmistoissa

Tietoturva ja yksityisyys ovat aina olleet tärkeitä sekä toiminnassamme että tuotteidemme suunnittelussa. Uhkakuvat ja asiakastarpeet ovat toki aikojen saatossa muuttuneet.

Teemme määrätietoisesti töitä järjestelmiemme tietoturvan eteen sekä tietoteknisessä, että henkilöstön osaamisen kehittämisessä. Viime vuoden näkyvin ilmentymä tekemästämme työstä on Fastroin saavuttama kansainvälinen ISO 27001 -tietoturvasertifikaatti.

Sertifiointi vaati meiltä muun muassa runsaasti uusien toiminta- ja menettelytapojen, ohjeiden ja kuvauksien dokumentointia ja soveltamista, henkilöstön koulutusta, fyysisen turvallisuuden huomiointia, verkkoturvallisuuden toimenpiteitä, salaustekniikoiden tarkistamista sekä kaikkien näiden todentamista.

Tuotteidemme käyttäjät voivat luottaa siihen, että heidän tietojaan käsitellään ja säilytetään turvallisesti. Fastroilla on lisäksi ISO 9001 -laatujohtamisjärjestelmän ja ISO 14001 -ympäristöjärjestelmän sertifioinnit.

Voit lukea lisää sertifikaatista ISO 27001-oppaasta tai mitä sen saavuttaminen vaatii blogistamme

Tietoturva käsitteenä

Tietoturva koostuu kolmesta osa-alueesta: saatavuus, eheys ja luottamuksellisuus. Saatavuudella tarkoitetaan sitä, että järjestelmä on käytettävissä käyttötarkoitukseensa. Eheydellä sitä, ettei järjestelmässä esiinny väärää tietoa tai suoranaista disinformaatiota, eikä tietoa voida tuhota luvattomasti. Luottamuksellisuus tarkoittaa sitä, että tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus.

Mitkä ovat palveluntuottajien vastuut ja velvollisuudet tietosuojan sekä tietoturvan huomioimisessa? 

Asiakkaamme eli Palveluntuottajat toimivat joko rekisterinpitäjänä itse maksavien asiakkaidensa osalta tai tietojen käsittelijänä rekisterinpitäjän (esim. kunnan) asiakkaiden osalta kirjatessaan asiakkaiden asioita Fastroin järjestelmiin.

Järjestelmiemme tietoturvaratkaisuilla pyritään takaamaan, että henkilötietojen luottamuksellinen ja turvallinen käsittely on teknisesti mahdollista. Järjestelmää käyttävä Palveluntuottaja on vastuussa, että tietoja kerätään ja käsitellään lainsäädännön mukaisesti. Olemme koonneet Fastroin tietopaketin EU:n yleisestä tietosuoja-asetuksesta asiakkaillemme.

Palveluntuottajien on myös pidettävä sosiaalihuollon Omavalvontasuunnitelma ajan tasalla. Lisäksi palvelutuottajien on huolehdittava myös, että erillinen tietosuoja ja tietojärjestelmien omavalvontasuunnitelma on laadittu, jos organisaatiolla on käytössä sähköinen potilas- tai asiakastietojärjestelmä. Omavalvonnan tarkoituksena on varmistaa tietoturvan ja tietojenkäsittelyn asianmukainen toteutuminen toimintayksiköissä. Tietosuojan ja tietojärjestelmien omavalvontasuunnitelmaa ei sellaisenaan edellytetä liitettäväksi julkisena pidettävään omavalvontasuunnitelmaan, vaan se on esitettävä valvontaviranomaiselle pyydettäessä.

Järjestelmien fyysinen tietoturva ja palvelimet

Järjestelmiemme palvelimet sijaitsevat Suomessa eikä tietoja siirretä EU:n ulkopuolelle. Järjestelmiemme fyysisestä turvallisuudesta huolehtii Fastroin käyttämät palvelinsalitoimittajat Fastroin kanssa tehdyn palvelusopimuksen mukaisesti. Palvelinsalitoimittajamme ovat ISO 27001 -sertifioituja. Palvelimen suojasta haittaohjelmia tai suoraa teknistä murtautumista vastaan suojaudutaan ensisijaisesti ajan tasalla olevilla ohjelmistoilla sekä tietoliikenteen osalta erilaisilla palomuuriratkaisuilla. Tiedon eheys ja saatavuus varmistetaan lisäksi päivittäisellä varmuuskopioinnilla, palvelimen fyysisesti turvatulla ja verkkoyhteyksiltään kahdennetulla sijaintipaikalla sekä jatkuvalla järjestelmän teknisen toiminnan valvonnalla.

Järjestelmien lokitiedot

Sekä asiakkaiden että käyttäjien tietosuojan ja oikeusturvan varmistamiseksi, jokaisesta Hilkka- tai Nappula-järjestelmään tehdystä tiedon käsittelystä jää lokiin merkintä, josta näkee kuka on katsellut tai muokannut tietoja ja milloin tämä on tapahtunut. 

Miten tietoturva on huomioitu Hilkka-järjestelmässä?

Hilkka-järjestelmän tietoturvaratkaisuilla pyritään takaamaan, että henkilötietojen luottamuksellinen ja turvallinen käsittely on teknisesti mahdollista. Järjestelmää käyttävä palveluntuottaja on vastuussa siitä, että tietoja kerätään ja käsitellään lainsäädännön mukaisesti. 

Tiedonsiirto selaimen tai mobililaitteen ja palvelintemme välillä salataan TLS-protokollalla (“https”). Tämä voidaan todentaa lukon kuvana selaimen osoitekentässä. Samaa salausmenetelmää käytetään mm. verkkopankkien ja verkkokauppojen tiedonsiirron salaamiseen. Hilkka-palvelin varmentaa itsensä käyttäjille, joten käyttäjä voi varmistua palvelimen oikeellisuudesta. Työasemien ja mobiililaitteiden pääsyä Hilkka-ympäristöön voidaan myös rajata käyttäen erilaisia verkkosuodatuksia.

Tiedon salauksen lisäksi luottamuksellisuus ja eheys varmistetaan käyttäjien henkilökohtaisilla käyttäjätunnuksilla. Organisaatio voi määritellä Hilkka-järjestelmässä salasanan turvatason, vaihtovälin sekä sen montako epäonnistunutta kirjautumisyritystä sallitaan ennen kuin tunnus lukitaan. Lisäksi Hilkka-järjestelmässä on istunnon automaattinen aikakatkaisu, mikäli Hilkka-järjestelmää ei käytetä päätelaitteelta halutun ajan kuluessa. Organisaatio voi itse määritellä ajan, jonka jälkeen Hilkka kirjaa käyttäjän automaattisesti ulos ellei järjestelmää käytetä. Kanta-palveluiden käytössä edellytetään lisäksi sähköisen varmennekortin käyttöä.

Miten tietoturva on huomioitu Nappula-järjestelmässä?

Nappula järjestelmän tietoturvaratkaisuilla pyritään takaamaan, että henkilötietojen luottamuksellinen ja turvallinen käsittely on teknisesti mahdollista.  Järjestelmää käyttävä palveluntuottaja on vastuussa siitä, että tietoja kerätään ja käsitellään lainsäädännön mukaisesti. Nappulan käyttöoikeutta hallitaan henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla sekä työasema- ja järjestelmä (client) kohtaisilla varmenteilla. 

Koska Nappulassa tietoa siirretään käyttäjän päätelaitteen ja palvelimen välillä, autentikoidaan tiedonsiirron päätepisteet vahvasti ja siirrettävä tieto salataan. Yhteydenotto Nappula-palvelimelle edellyttää, että päätelaitteelle, josta Nappulaa käytetään on asennettu varmenne. Varmenteen avulla palvelin varmistaa, että yhteydenotto palvelimelle tapahtuu hyväksytyn tahon toimesta ja salaa yhteyden yli siirrettävät tiedot. Autentikointi ja salaus on toteutettu Nappulassa TLS- protokollalla ja siihen läheisesti liittyvillä muilla protokollilla. Yhteydenmuodostus päätelaitteen ja palvelimen välillä ei onnistu, mikäli varmennetta ei esitetä tai se on väärennetty. 

Osana Nappulaa käyttävien organisaatioiden omavalvontaa on tärkeää huolehtia, ettei organisaatioilla ole niin kutsuttuja yhteiskäyttötunnuksia tai käyttäjätunnuksia ja salasanoja saatavilla siten, että ne voivat päätyä vääriin käsiin. Salasanoille voidaan Nappulassa asettaa vaatimuksia muun muassa pituuden ja merkkien osalta. Lisäksi Nappulassa on automaattinen uloskirjautuminen.

Yhteystiedot Hilkka- ja Nappula-asiakkaillemme

Jos asiakkaillamme on kysymyksiä Fastroin tietoturvaan liittyen, olethan ensisijaisesti yhteydessä  helpdeskiimme tai asiakasyhteyshenkilöösi Fastroilla. 

Saattaisit olla kiinnostunut myös näistä