Skip to content
Menu

Tuoteturvallisuus

Admicom Oyj on sitoutunut toimittamaan turvallisia ohjelmistoratkaisuja, jotka täyttävät asiakkaidemme korkeat tietoturvavaatimukset. Tämä koskee sekä pilvipohjaisia SaaS-palveluitamme että työasemille asennettavia ohjelmistojamme. Osana tätä sitoutumista olemme luoneet vahvat ja yhtenäiset prosessit sekä toimintatavat, joilla varmistamme kaikkien tuotteidemme turvallisen kehittämisen ja käytön niiden käyttöympäristöstä riippumatta.

Turvallinen ohjelmistokehityksen elinkaari (Secure SDLC)

Ylläpidämme selkeästi määriteltyä korkean tason Secure SDLC -viitekehystä, jolla varmistetaan, että tietoturva on integroitu jokaiseen kehitysvaiheeseen. Viitekehystä hyödynnetään kaikessa kehitystyössämme ja kaikissa tiimeissämme. Tämä jäsennelty lähestymistapa varmistaa, että sekä sisäiset prosessit että tuotokset ovat alan parhaiden käytäntöjen ja asiakkaidemme odotusten mukaisia.

Tietoturvavastaavat ketterissä tiimeissä

Jokaisessa kehitystiimissä on nimetty tietoturvavastaava (Security Champion), joka valvoo tietoturva-asioita sprinttien aikana. Tämä rooli varmistaa, että tietoturva pysyy prioriteettina ja integroidaan tehokkaasti päivittäisiin työnkulkuihin, kuten sprinttisuunnitteluun, katselmointeihin ja retrospektiiveihin. Tietoturvavastaavamme tekevät yhteistyötä yli tiimirajojen varmistaen, että tietoturvakäytäntömme ovat yhdenmukaisia eivätkä jää erillisiin siiloihin.

Kohdennettu tietoturvakoulutus

Tiimimme, mukaan lukien kehittäjät, järjestelmäylläpitäjät ja muut asiaankuuluvat roolit, osallistuvat säännölliseen roolikohtaiseen tietoturvakoulutukseen. Koulutusohjelmat on räätälöity web-sovellus- ja ohjelmistokehityksen lisäksi myös infrastruktuurin, työkalujen ja operatiivisten käytäntöjen tarpeisiin. Myös ylin johto osallistuu tietoturvatietoisuuskoulutuksiin pysyäkseen ajan tasalla keskeisistä riskeistä ja vastuista. Johdon aktiivinen osallistuminen vahvistaa vahvaa tietoturvakulttuuria sekä varmistaa organisaation sitoutumisen turvalliseen tuotekehitykseen.

Turvallinen pilvitoiminta

Ylläpitämiämme SaaS-alustoja seurataan jatkuvasti mahdollisten uhkien ja poikkeamien varalta. Tämä mahdollistaa ennakoivan lähestymistavan operatiivisen ympäristön riskien tunnistamiseen ja hallintaan. Poikkeamat tunnistetaan automaattisten havainnointimekanismien, kuten tunkeutumisen havaitsemisjärjestelmien (Intrusion Detection Systems, IDS), poikkeamien tunnistuksen sekä operaatiotiimimme manuaalisen valvonnan avulla.

Kun poikkeama havaitaan, se käsitellään selkeästi määritellyn poikkeamanhallintaprosessin mukaisesti. Kaikki poikkeamat dokumentoidaan yksityiskohtaisesti, ja niitä hyödynnetään oppimisen sekä jatkuvan parantamisen välineenä.

Vikasietoisuuden varmistamiseksi olemme ottaneet käyttöön palautumisprosessit kriittisten tilanteiden varalle. Näihin kuuluvat säännölliset varmuuskopioinnit sekä palautussuunnitelmien harjoitukset, joiden avulla minimoidaan käyttökatkot kriittisissä häiriötilanteissa.

Todennus ja valtuutus

Käyttäjien tunnistus perustuu sähköpostiosoitteeseen ja salasanaan. Lisäksi käyttäjät voivat tunnistautua Microsoft- tai Google-tunnuksillaan. Käyttäjät voivat myös lisätä ylimääräisen kerroksen monivaiheisen tunnistautumisen (MFA) tai sähköisen tunnistautumisen, kuten Smart-ID:n, avulla.

Jokainen asiakasympäristö (tenant) on erotettu käyttöoikeuksien avulla, ja käyttöoikeuksia hallinnoivat asiakkaan nimeämät pääkäyttäjät. Käyttöoikeudet määrittävät käyttäjän yleiset oikeudet sovelluksessa sekä omistus-, katselu- ja muokkausoikeudet yksittäisiin kohteisiin tai tietotyyppeihin.

Lokitiedot ja valvonta

SaaS-alusta tallentaa käyttöönsä liittyviä lokitietoja ja analytiikkaa. Lokimerkinnät voivat sisältää esimerkiksi aikaleiman, käyttäjän tunnisteen, käytetyn tai muokatun sovelluksen osan sekä alkuperäisen IP-osoitteen. Lokitietojen eheyden varmistamiseksi ja digitaalisen forensiikan valmiuden tukemiseksi lokitiedot tallennetaan turvallisesti keskitettyyn sijaintiin erillään niitä tuottavista järjestelmistä.

Lokitus- ja valvontapalveluihin pääsy on valvottua ja rajattu operatiivisesta toiminnasta vastaavalle henkilöstölle, mukaan lukien sovelluskehittäjät ja järjestelmäylläpitäjät. Käyttöoikeudet ovat roolipohjaisia, ja niiden käyttöä seurataan vastuullisuuden varmistamiseksi.

Tietosuoja

Kaikki asiakaslaitteen ja SaaS-alustan välillä siirrettävä tieto salataan suojattujen HTTPS/TLS-yhteyksien avulla käyttäen nykyaikaisia, alan standardien mukaisia salausalgoritmeja sekä vahvoja avaintenvaihtomekanismeja.

Lisäksi kaikki arkaluonteinen tieto salataan levossa vahvoilla salausstandardeilla, kuten AES-256:lla. Salausavaimia hallitaan turvallisesti erillisellä avaintenhallintajärjestelmällä (KMS), jossa käytetään tiukkaa käyttöoikeushallintaa, säännöllistä avainten kierrätystä ja kattavia auditointiominaisuuksia. Näin varmistetaan, että tallennettu tieto säilyy suojattuna luvattomalta käytöltä myös tilanteissa, joissa infrastruktuurin turvallisuus vaarantuu.

Varmuuskopiot

Kaikki SaaS-alustalle tallennettu tieto varmuuskopioidaan säännöllisesti tai suojataan automaattisesti useisiin sijainteihin hajautetun järjestelmän avulla. Varmuuskopioita säilytetään määritellyn ajan sääntelyvaatimusten ja liiketoimintatarpeiden mukaisesti. Alusta tukee sekä osittaisia että täydellisiä palautuksia häiriön luonteesta riippuen. Valmiuden varmistamiseksi palautusmenettelyjä testataan säännöllisesti varmuuskopioitujen tietojen eheyden ja saatavuuden todentamiseksi.

Palvelut ja kolmannet osapuolet

Admicom käyttää luotettavia ja turvallisia kolmannen osapuolen palveluntarjoajia palveluidensa tuottamiseen. Nämä palveluntarjoajat vastaavat fyysisestä palvelinturvallisuudesta, tietoturvapäivityksistä ja vaatimustenmukaisuudesta. Kaikkien palveluntarjoajien kanssa on solmittu asianmukaiset sopimukset. Palvelumme sijaitsevat pääosin EU:n alueella muutamia poikkeuksia lukuun ottamatta. Sijainnista riippumatta kaikki palvelut ovat täysin GDPR:n vaatimusten mukaisia.

Jatkuva parantaminen

Uskomme, että tietoturva ei ole kertaluonteinen hanke vaan jatkuva prosessi. Integroimalla tietoturvan kehitykseen, operatiiviseen toimintaan, koulutukseen, projektinhallintaan ja johtotason päätöksentekoon varmistamme, että SaaS-palvelumme tarjoavat asiakkaidemme odottaman luotettavuuden ja turvallisuuden. Tämä kokonaisvaltainen lähestymistapa edistää jatkuvan parantamisen kulttuuria sekä ennakoivaa riskienhallintaa.

Vaatimustenmukaisuus

Admicom noudattaa henkilötietojen käsittelyssä Suomessa ja Euroopan unionissa voimassa olevaa tietosuojalainsäädäntöä. Kaikkia henkilötietoja käsitellään luottamuksellisesti, turvallisesti ja vastuullisesti.

 

 

Yhteydenottopyyntö

Miten voimme auttaa?

Jätä viesti lomakkeella tai soita meille! Myynnin puhelin palvelee ma–pe klo 8–16. Muina aikoina voit jättää meille vastaajaan viestin, niin soitamme sinulle mahdollisimman pian takaisin. 

Soita myyntiin 09 315 35710 Ma-pe klo 8-16