logo
fi en

Fira Smart Services Oy:n tietoturvalausunto

Tämä tietoturvalausunto antaa lisätietoja tietoturvakäytännöistämme ja teknisistä ratkaisuista. Henkilötietojen käsittelyssä noudatamme Fira Group Oy:n tietosuojapolitiikkaa.

Tietoturvapolitiikka

Noudatamme Fira Group Oy:n tietoturvapolitiikkaa, joka määrittelee tietoturvaan liittyvät vastuut ja organisoinnin, tietoturvakäytännöt ja yhteistyömallin sidosryhmien kanssa. Tietoturvapolitiikka löytyy verkkosivuiltamme: https://www.fira.fi/tietosuoja/tietoturvallisuuspolitiikka 

Henkilöstön koulutukset

Koko henkilöstömme suorittaa pakollisen tietoturva- ja tietosuojakoulutukset kerran vuodessa. Koulutukset kuuluvat myös uusien työntekijöidemme perehdytysohjelmaan. Näiden koulutuksen lisäksi pidämme roolikohtaisia tietoturvakoulutuksia. 

Pääsynhallinta

Fira Smart Services Oy on erillinen liiketoiminta, joka asettaa erityisvaatimuksia sen käyttämiin ja tuottamiin järjestelmiin ja dataan. Varmistamme organisatorisesti ja tietoteknisesti, että pääsyoikeudet asiakkaidemme omistamaan tai muuten asiakkaidemme liiketoiminnalle kriittiseen dataan on rajattu ainoastaan Fira Smart Services Oy:n liiketoiminnan johtamiseen, asiakassuhteen hoitamiseen tai palveluidemme tuottamiseen liittyvään henkilöstöön. Edellä mainittua dataa ei hyödynnetä Fira Group Oy:n muissa liiketoiminnoissa. 

Voimme toimittaa asiakkaillemme asiakaskohtaisia ratkaisuja yhteistyössä Firan muiden liiketoimintojen kanssa. Tällaisissa tapauksissa projektiryhmä sovitaan yhdessä asiakkaan kanssa ja projektiin osallistuvan henkilöstön kanssa allekirjoitetaan tarvittaessa erillinen NDA. 

Järjestelmien tekniset ympäristöt

Hyödynnämme palveluissamme laajasti käytössä olevia pilvipalveluita, kuten Google Cloud Platform ja Amazon WebServices. Olemme laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Pilvipalveluiden tietoturvan suunnittelussa ja toteutuksessa hyödynnämme tietoturvaan erikoistuneita 3. osapuolia. 

Teknisiin ympäristöihin tehtävät muutokset käyvät läpi muutoshallintaprosessin ja muutokset ympäristöihin kirjataan automaattisesti lokeihin. Pääsy muutoslokeihin on rajattu. 

Kumppanit

Tukeudumme toiminnassamme kumppaneihin ja toimittajiin, jotka jakavat Firan arvomaailman sekä eettisyyden että toiminnan jatkuvuuden varmistamiseksi. Käymme säännöllisesti läpi kumppaneidemme taustat ja varmistamme sopimuksellisesti, että luottamuksellisuus ja korkean tietoturvan taso toteutuu yhteistyössämme. Tiedot toimittajiemme tilanteesta on tallennettu Firan toimittajarekisteriin. 

Kehitysprosessi

Olemme huomioineet tietoturvaan ja tietosuojaan liittyvät toimenpiteet ohjelmistokehitysprosessimme ja laatineet ohjeistukset pilvipalveluiden käyttöön parhaiden DevSecOps -mallien mukaisesti. Tietoturva huomioidaan kaikissa sovelluksen elinkaaren vaiheissa. Ohjelmistokehityskumppanimme sitoutuvat sopimuksellisesti toteuttamaan Firan määrittelemän tietoturvan tason. 

käytön seuranta

Keräämme automaattisesti lokitietoa kirjautumista ja käyttäjän toimenpiteistä kehittämiemme ohjelmistojen pilviympäristöissä. Pääsy näihin lokeihin rajattu. 

Tietoturva-auditoinnit 

Auditoimme säännöllisesti asiakkaille tuottamamme tietojärjestelmät. Löydetyt haavoittuvuudet analysoidaan riskiperustaisesti ja korjataan asianmukaisella tavalla.  

Järjestelmien ajantasaisuus 

Huolehdimme, että käyttöjärjestelmien, varusohjelmistojen ja verkkokomponenttien versiot ovat ajan tasalla tietoturvahaavoittuvuuksien minimoimiseksi. Käyttämiemme julkisten pilvipalveluiden tarjoajat varmistavat infrastruktuurin ajantasaisuuden. 

Verkkoyhteydet 

Käytämme oletuksena HTTPS-salausta selainsovelluksissamme. Salaamme liikenteen myös järjestelmäkomponenttien välisissä yhteyksissä muun muassa järjestelmäintegraatioissa. 

Poikkeamien hallinta 

Olemme määritelleet poikkeustilanteiden varautumissuunnitelman ja sovellamme sitä myös vakavien tietoturvapoikkeamien osalta. Prosessi määrittelee avainroolit ja tehtävät poikkeustilanteessa.