Osana tietosuojavaatimusten noudattamista koskevia menettelyjämme olemme laatineet tämän tietoturvakäytännön, jonka tarkoituksena on antaa sinulle yhteenveto sen sisältämistä turvatoimista ja -käytännöistä; lisäksi edellytämme, että kumppanimme ja työntekijämme noudattavat näitä vaatimuksia ja toteuttavat samoja turvatoimia työskennellessään kanssamme.

TÄSSÄ TIETOTURVAKÄYTÄNNÖSSÄ ESITELLÄÄN YRITYKSEN NYKYISET TIETOTURVAN TOIMINTATAVAT YLLÄ ILMOITETUSTA ”VIIMEKSI PÄIVITETTY”-PÄIVÄSTÄ ALKAEN. PÄIVITÄMME TÄTÄ KÄYTÄNTÖÄ AIKA AJOIN SOVELLETTAVIEN LAKIEN JA SISÄISTEN KÄYTÄNTÖJEMME EDELLYTTÄMÄLLÄ TAVALLA.

Yhtiön tietokantaan pääsee käsiksi vain minimaalinen määrä yhtiön työntekijöitä ja henkilökuntaa, ja kaikki voivat käyttää tietokantaan vain yhtiön toimistosta käsin. Pääsy järjestelmiin on rajoitettu, ja se perustuu menettelyihin, joilla varmistetaan, että asianmukaiset hyväksynnät annetaan vain tarvittavassa laajuudessa. Lisäksi etäkäyttöä ja langattomia tietojenkäsittelymahdollisuuksia on rajoitettu, ja ne edellyttävät sekä käyttäjä- että järjestelmäturvatoimia. Järjestelmät ovat myös suojattuja, ja ainoastaan valtuutetut työntekijät voivat käyttää järjestelmiä käyttämällä määriteltyjä salasana- ja käyttäjätunnussuojauksia.

Yhtiö turvaa kaiken fyysisen pääsyn toimistoihinsa. Yhtiö turvaa pääsyn toimistoihinsa ja varmistaa, että vain valtuutetuilla henkilöillä, kuten työntekijöillä, on pääsy. Kaikkien kutsuttujen vierailijoiden ja yhtiön tiloissa vierailevien muiden henkilöiden mukana on aina yhtiön työntekijät. Yhtiö käyttää iWeb Web Services -tietokeskusta pääasiallisena tietoja tallentavana henkilötietojen käsittelijänä, joten jos tarvitset lisätietoja, yhtiö suosittelee, että tutustut osoitteeseen https://iweb.com/legal/gdpr. Kun henkilötiedot siirretään käytettäville palvelimille, se tapahtuu aina turvallisella ja salatulla tavalla. Lisäksi yhtiö on tehnyt palveluntoimittajiensa ja asiakkaidensa kanssa sovellettavia ja sitovia tietojenkäsittelysopimuksia.

Kaikki pääsy tietokantaan, järjestelmään tai tallennustilaan tapahtuu ainoastaan valtuutuksen ja salasanasuojauksen avulla. Lisäksi pääsy henkilötietoihin on rajoitettu ainoastaan työntekijöihin, joilla on tietoihin tarve, ja ne on suojattu salasanoin ja käyttäjätunnuksin. Pääsy henkilötietoihin on suojattu ja sitä hallitaan tarkasti pääsynvalvontakäytännöillä. Yhtiö varmistaa korkeatasoisin turvatoimin, että henkilötietoja ei lueta, muuteta, kopioida, käytetä, siirretä tai poisteta ilman erityistä lupaa. Yhtiö tarkastaa kaiken tietokantaan pääsyn, ja kaikista luvallisista käyttöoikeuksista ilmoitetaan välittömästi ja ne käsitellään. Kukin työntekijä voi suorittaa toimia ainoastaan yhtiön määrittelemien oikeuksien mukaisesti. Jokainen käyttökerta kirjataan ja sitä valvotaan, ja kaikesta luvattomasta käytöstä ilmoitetaan automaattisesti. Lisäksi yhtiö tarkistaa jatkuvasti, millä työntekijöillä on käyttöoikeudet, ja arvioi, tarvitaanko käyttöoikeuksia edelleen. Yhtiö peruuttaa käyttöoikeudet välittömästi työsuhteen päättyessä. Valtuutetuilla henkilöillä on pääsy vain heidän henkilökohtaisiin profiileihinsa määritettyihin henkilötietoihin.

Yhtiö kouluttaa työntekijöitään, palveluntarjoajiaan, konsulttejaan ja alihankkijoitaan, lisää tietoisuutta ja tekee riskinarviointeja henkilötietojen käsittelystä. Sisäisiä tietoturvatestejä tehdään säännöllisesti. Yhtiön tietotekniikkaryhmä varmistaa kaikkien laitteistojen ja ohjelmistojen turvallisuuden asentamalla tietokoneisiin haittaohjelmien torjuntaohjelmia, jotka suojaavat haitalliselta käytöltä ja haittaohjelmilta, sekä virustorjuntaohjelmilla päätelaitteissa, sähköpostin liitetiedostojen skannauksella, järjestelmien vaatimustenmukaisuuden tarkistuksilla, tietojenkäsittelyvaihtoehdoilla tietojen viejälle tietotyypin perusteella, verkon suojauksella sekä järjestelmän ja sovellusten haavoittuvuuksien tarkistuksella, suojatulla sähköpostinsiirrolla jne. Näiden käytäntöjen ja normien noudattaminen on koko yrityksen työntekijöiden vastuulla.

Siirtovalvonnan tarkoituksena on varmistaa, että luvattomat osapuolet eivät voi lukea, kopioida, muuttaa tai poistaa henkilötietoja sähköisen tiedonsiirron aikana tai kuljetuksen tai säilytyksen aikana käytettävässä tietokeskuksessa. Lisäksi kaikki tietojen siirrot (joko palvelinten välillä, asiakaspuolelta palvelinpuolelle ja yrityksen nimettyjen kumppaneiden välillä) on suojattu (HTTPS) ja salattu.

Yhtiön palvelimissa on automaattinen varmuuskopiointimenettely. Yhtiöllä on varmuuskopiointikonsepti, johon kuuluu automaattinen päivittäinen varmuuskopiointi. Määräajoin tehdään tarkistuksia, joilla varmistetaan, että varmuuskopiot on tehty. Yhtiö on varmistanut, että kaikki asiakirjat, mukaan lukien rajoituksetta sopimukset, tietosuojakäytännöt, verkkopalvelujen käyttöehdot jne. ovat GDPR:n mukaisia. Lakitiimimme on varmistanut, että oikeudelliset asiakirjamme päivitetään vastaamaan kaikkia muutoksia ja sisällyttämään GDPR:n edellyttämät pakolliset määräykset.

Työntekijät, asiakkaat ja soveltuvat henkilötietojen käsittelijät ovat kaikki allekirjoittaneet sitovia sopimuksia, joihin kaikkiin sisältyy sovellettavat tietosuojasäännökset ja tietoturvavelvoitteet. Osana työhönottoa työntekijät käyvät läpi taustan tarkistuksen, ja heille annetaan pääsy tietokantaan vasta koulutuksen jälkeen, jotta varmistetaan, että he ovat hyvin koulutettuja ja riittävän vastuullisia käsittelemään henkilötietoja. Työntekijät ovat velvollisia noudattamaan tätä tietoturvakäytäntöä sisäisten tietoturvakäytäntöjen ja -menettelyjen lisäksi, ja niiden rikkominen tai noudattamatta jättäminen johtaa kurinpitotoimiin. Varmistaakseen, että työntekijät pysyvät koulutettuina ja ajan tasalla sovellettavista käytännöistä ja lainsäädännöstä, yhtiö järjestää vuosittain vaatimustenmukaisuuskoulutusta, johon sisältyy tietoturvakoulutusta.