Checkoutin tietoturvallisuus asiakkaille

Tietoturvallisuuden hallinta

Tietojesi, olivat ne sitten henkilötietoja tai palveluidemme käyttöön liittyviä muita tietoja, tietoturvallisuuden takaaminen on meille ensiarvoisen tärkeää. Tästä syystä Checkoutilla on käytössään yhdessä OP Ryhmän tietoturvayksikön kanssa laadittu ISO 27001 -pohjainen tietoturvallisuuden hallintajärjestelmä. Riskiperusteinen järjestelmä ohjaa tietoturvan toteutumista käytännössä eritasoisten hallintakeinojen avulla, jotka ovat mm. periaatteita, käytäntöjä ja toimintaohjeita sekä teknisiä ratkaisuita. Kehitämme järjestelmää ja sen hallintakeinoja jatkuvasti opitun ja muuttuvan toimintaympäristön tarpeiden perusteella. Checkoutin koko henkilöstö on perehdytetty tietoturvallisuuden hallintaan omissa työtehtävissään.

Palveluiden tekninen tietoturvallisuus

Checkoutin palveluiden teknisten ympäristöjen (verkot, palvelimet, tietokannat jne.) tietoturvallisuus perustuu sekä hallinnollisiin että teknisiin hallintakeinoihin. Muun muassa hankinta-, pääsynhallinta-, muutoshallinta- ja häiriöhallintaprosessit sekä suojattavan omaisuuden hallinta ovat keinoja, jotka auttavat meitä suojaamaan palveluitamme. Järjestelmiin ja työkaluihin on pääsy ainoastaan niillä henkilöillä (ja käyttöoikeuksilla), jotka sitä tarvitsevat palveluiden kehittämiseen tai tuottamiseen. Katselmoimme käyttäjätunnukset ja käyttöoikeudet säännöllisin väliajoin ja tarpeettomat pääsyt poistetaan. Varmistamme palveluiden ohjelmistokoodin ja teknisten ympäristöjen tietoturvallisuuden muun muassa seuraavilla keinoilla:

  • Työasemien levyt on salattu ja niissä on asennettuna haittaohjelmasuojaus
  • Versiohallinta on suojattu ja siitä otetaan säännölliset varmuuskopiot
  • Kaikki muutokset järjestelmiin koodikatselmoidaan
  • Ohjelmistohaavoittuvuuksia hallitaan automaattisin työkaluin kehityksen aikana ja tuotantoympäristöissä
  • Salausratkaisut noudattavat OPn sisäistä politiikkaa sekä Viestintäviraston määräystä (M72/2016)
  • Palvelujen kehitystä, testausta ja tuotantoa varten on eriytetty omat tekniset ympäristöt, jotka tuotetaan AWS:n julkisessa pilvessä
  • Tekniset ympäristöt on kovennettu (verkkoliikenne, varusohjelmat, käyttöoikeudet jne)
  • Tietokannoista otetaan säännölliset varmuuskopiot, jotka on suojattu ja salattu
  • Tuotantoympäristöjen lokit kerätään keskitettyyn ja varmennettuun lokihallintajärjestelmään
  • Tuotantoympäristöjä ja niiden poikkeamia monitoroidaan automaattisesti
  • Tekniset ympäristöt on haittaohjelmasuojattu ja mahdollisia tietoturvapoikkeuksia monitoroidaan automaattisesti
  • Tekniset ympäristöt tietoturva-auditoidaan säännöllisin väliajoin

Tietosuoja

Henkilötietojen käsittelystä palveluissamme voit lukea tietosuojasivultamme.

Tietoturvahäiriöt ja tietosuojaloukkaukset

Pyrimme toiminnallamme ennaltaehkäisemään kaikki tietoturvaloukkaukset parhaamme mukaan. Mikäli tietoturvaloukkaus tästä huolimatta tapahtuisi, on meillä käytössämme tehokkaat toimintamallit, joiden avulla pystymme reagoimaan tilanteisiin nopeasti ja minimoimaan loukkauksen mahdolliset haittavaikutukset. Teemme tarvittavat lainsäädännön edellyttämät ilmoitukset havaitsemistamme tietoturvaloukkauksista.

Asiakkaan vastuu tietoturvasta

Asiakkaan järjestelmä käyttää Checkoutin tuottamia palveluita aina salatun yhteyden yli. Tätä varten asiakkaalle toimittamiamme tai asiakkaan itse luomia salausavaimia sekä käyttäjätunnuksia ja salasanoja tulee käsitellä huolellisesti ja tietoturvallisesti. Asiakas vastaa omien järjestelmiensä ja teknisten ratkaisuiden asianmukaisesta suojaamisesta ja tekniikan ajantasaisuudesta. Checkoutin tarjoamien palveluiden rajapintoihin voi tulla ohjelmisto- tai konfiguraatiomuutoksia, joiden takia asiakkaan täytyy tehdä muutoksia omiin järjestelmiinsä. Asiakkaalla on tällöin velvollisuus tehdä muutokset ilmoittamaamme päivämäärään mennessä jatkaakseen palveluiden käyttöä. Asiakkaan tulee ensi tilassa ilmoittaa Checkoutin palveluihin kohdistuvista tai liittyvistä tietoturvahäiriöistä tai väärinkäytöksistä järjestelmissään. Checkout raportoi näistä eteenpäin omien käytäntöjensä mukaan.

Auditointioikeus

Asiakkaalla on oikeus auditoida Checkoutin palveluiden tietoturvallisuus omaan laskuunsa. Auditoinnin laajuudesta riippuen Checkout pidättää oikeuden laskuttaa auditointiin kuluneet työntuntinsa asiakkaalta.