DIGIUM ENTERPRISE 3.0 JÄRJESTELMÄ- JA TIETOTURVAKUVAUS VERSIO 2.0

Transkriptio

1 DIGIUM ENTERPRISE 3.0 JÄRJESTELMÄ- JA TIETOTURVAKUVAUS VERSIO 2.0

2 Järjestelmä- ja tietoturvakuvaus 2 (15) D OKUMENTAATION LISENSSI Tämä dokumentaatio, kuten myös siinä kuvattu ohjelmisto ovat lisenssinalaisia tuotteita ja niitä saa käyttää tai kopioida vain lisenssiehtojen mukaisesti. Tämän dokumentin tietoja saa käyttää vain informatiiviseen käyttöön, eikä sitä saa muuttaa ilman Digium Oy:n lupaa. Digium Oy ei ota vastuuta tässä dokumentissa mainituissa ohjelmistoissa mahdollisesti esiintyvistä epäkohdista. Dokumentaatio on luottamuksellinen ja on tarkoitettu ainoastaan Digium Enterprise järjestelmää arvioivien asiakas- ja kumppanitahojen käyttöön.

3 Järjestelmä- ja tietoturvakuvaus 3 (15) Sisällysluettelo Sisällysluettelo Yleistä Järjestelmäarkkitehtuuri WWW-palvelut Tietokantapalvelut Yhteydet Muut palvelut Tekninen tietoturva Laitteet Ohjelmistot Varmuuskopiointi Yhteydet Fyysinen tietoturva Tuotekehitys Tuotantopalvelu Psykososiaalinen tietoturva Käyttökoulutus Käytönvalvonta Käyttörajoitteet Luottamuksellisuus, salassapito ja luottotiedot Henkilötietolaki Auditointi Tietojen säilyttäminen ja tietoon pääsy Asianmukainen käyttö Tietojen säilyttäminen Tunnusten ja tilien hallinta Käyttäjäskenaariot... 14

4 Järjestelmä- ja tietoturvakuvaus 4 (15) 1 Yleistä Digium Enterprise on yksi markkinoiden kehittyneimmistä ja käyttäjäystävällisimmistä internet-pohjaisista tutkimus- ja tiedonkeruuohjelmista. Digiumin markkinaosuus oli 31% yritysten palauttenhallinnan (Enterprise Feedback Management, Gartner) markkinoista Suomessa. Digium Enterprise järjestelmällä on käyttäjiä yhteensä 40 maassa ja vastaajia yli 100 maassa. Vuosittain järjestelmässä on noin eri kyselyä ja mittaria, joihin vastaa yli 10 miljoonaa henkilöä. Tiedonkeruukanavina toimivat internet, asiakkaiden intranet- ja extranet-järjestelmät, sähköposti, PDA-laitteet, ulossoittokeskukset ja puhelinhaastattelut sekä paperilomake. Ohjelmasta saadaan valmista esityskelpoista grafiikkaa, joka voidaan siirtää muihin ohjelmiin kuten Microsoft Office tai Adobe pdf. Digium Enterprise ohjelmistotuote toimii ohjelmistopalveluna (Software as a service, SaaS). Ohjelma- ja palvelulogiikka sekä siihen liittyvä tieto sijaitsevat Digiumin ylläpitämässä palvelinkeskuksessa. Ohjelman käyttö ja hallinnointi tapahtuu lisenssinhaltijoiden toimesta internet-selaimen kautta. Tämän dokumentin tarkoitus on kuvata ne tavat ja rutiinit, joilla Digium Enterprisen tiedot ja palvelut suojataan sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla. Järjestelmän tietoturva perustuu kolmeen osa-alueeseen; tekniseen, fyysiseen, ja psykososiaaliseen tietoturvaan.

5 Järjestelmä- ja tietoturvakuvaus 5 (15) 2 Järjestelmäarkkitehtuuri Järjestelmä on suunniteltu ja toteutettu siten, että se on erittäin vikasietoinen. Käytännössä kaikki toiminnan kannalta keskeiset ohjelmistokomponentit, sovelluspalvelimet, tietokannat sekä fyysiset palvelin- ja verkkolaitteet on kahdennettu. Tällä pyritään siihen, että erilaisissa vika- ja virhetilanteissa järjestelmän käyttö ja toimivuus eivät häiriinny. Järjestelmää valvotaan sekä laite- että ohjelmistotasolla 24 tuntia vuorokaudessa vuoden ympäri. Alla on kuvattu järjestelmän rakennetta yksinkertaistetussa järjestelmäkaaviossa. Kuva 1. Yksinkertaistettu järjestelmäkaavio

6 Järjestelmä- ja tietoturvakuvaus 6 (15) 2.1 WWW-palvelut WWW-palveluiden edustapalvelimena toimii F5 Big-IP kuormantasaaja (1), jonka tehtävänä on optimoida verkkopalveluiden vasteaikaa ohjaamalla liikenne aina vähiten kuormitetulle palvelimelle. Kuormantasaus parantaa käytettävyyttä, sillä yksittäisen palvelimen vikaantuessa tai sen ylläpitorutiinin aikana liikenne voidaan ohjata toiminnassa olevalle palvelimelle käyttäjän huomaamatta. Kuormantasaus mahdollistaa myös tehokkaan tavan skaalata järjestelmää lisäämällä palvelimia käyttäjämäärien kasvaessa. WWW-palvelimina toimivat Microsoft IIS-sovelluspalvelimet (3 ja 4), joiden käyttöä replikaattori (2) synkronoi. Sovelluspalvelinten järjestelmälokitieto tallennetaan kaikista tapahtumista ja loki säilytetään mahdollisten jälkiseuranta- ja analysointitarpeita varten. 2.2 Tietokantapalvelut Tietokantaratkaisuna toimii Microsoft SQL Server 2000 perustainen klusteroitu relaatiotietokantaympäristö, jossa tietokantapalvelimet (5 ja 6) käyttävät datalevynään yhteistä vikasietoista SANverkkolevyjärjestelmää (7). Tietokantoihin tehdyt ylläpitotoimet raportoidaan erilliseen järjestelmälokiin, josta kaikki tehdyt toimenpiteet voidaan jäljittää ja tarvittaessa tietokanta voidaan palauttaa muutosta edeltäneeseen tilaan. Vain erikseen nimetyillä Digiumin asiantuntijoilla on käyttöoikeudet tietokantoihin ja niiden hallintajärjestelmiin. 2.3 Yhteydet Järjestelmä on kytketty kahdennetusti siirtokapasiteetiltaan 100 megatavun runkoverkkoon. Palomuurista (10) on jaettu oma virtuaaliverkko Digium Enterprisen järjestelmän käyttöön. Virtuaaliverkosta on määritelty täysin omat yhteyssäännöt sisään järjestelmään ja ulos järjestelmästä. Tietokantapalvelimille on estetty suorat tietokantayhteydet internetistä palomuurisäännöin ja palvelimien policy-menettelyin.

7 Järjestelmä- ja tietoturvakuvaus 7 (15) 2.4 Muut palvelut Digium Enterprise järjestelmään kuuluu laiteympäristön sisäinen nimipalvelin sekä tämän varapalvelin (8 ja 9), joilla määritellään Digium Enterprise palvelimien ja käyttäjien käyttö- ja kirjautumisoikeudet sekä koneympäristön tietoturvapolitiikka. Teknisen valvonnan lisäksi koko järjestelmän saatavuutta ja loppukäyttäjäkokemusta valvotaan erillisten internetissä olevien valvontapalvelinten avulla. Valvontapalvelimet simuloivat loppukäyttäjän eri toimenpiteitä ja raportoivat loppukäyttäjän kokemaan palvelutasoa ja saatavuutta.

8 Järjestelmä- ja tietoturvakuvaus 8 (15) 3 Tekninen tietoturva Teknisen tietoturvan tarkoituksena on varmistaa, ettei järjestelmän käyttämissä laitteissa ja ohjelmistoissa ole tietoturvapuutteita ja että yhteydet järjestelmään on varmistettu palomuurilla. Tekninen pääsy järjestelmäympäristöön on ainoastaan nimetyillä Digiumin järjestelmäasiantuntijoilla sekä nimetyillä laiteympäristön ylläpitoasiantuntijoilla. 3.1 Laitteet Digium Enterprisen käyttämät koneet ja laitteet on valittu asiantuntijoiden toimesta järjestelmän tarpeita vastaaviksi. Laitteita päivitetään ajoittain, jolla varmistetaan laiteresurssien riittävyys. Laitteissa on laitevalmistajan on-site -huoltotakuu sekä tuotantopalvelutoimittajan 24/7 ennakoiva ja käytettävyyttä ennakoiva valvonta. 3.2 Ohjelmistot Käytettyjen ohjelmistojen yhteensopivuus on todennettu toimittajilla ja ulkoisten asiatuntijoiden toimesta. Ohjelmistoina käytetään käyttöjärjestelmätasolla Windows Server ohjelmistoa. Muut keskeiset kolmannen osapuolen ohjelmistot on kuvattu edellä. Käyttö- ja sovellusohjelmistojen päivitys Ohjelmistojen päivitysprosessissa uusi päivitys testataan ennen tuotantoon asentamista. Testiympäristön ohjelmistoympäristö on identtinen tuotantoympäristön kanssa. Ainoastaan onnistuneesti testattu ohjelmistopäivitys julkaistaan tuotantoon. Tuotepäivitysten tuotantoonvienti tapahtuu salattujen yhteyksien yli release -vastaavan valvonnassa. Järjestelmään suoritetaan ylläpito- ja päivitystoimenpiteitä joitain kertoja vuodessa. Ohjelmistopäivityksiä tehdään muutamia kymmeniä kertoja vuodessa. Käyttäjiä tiedotetaan näistä toimenpiteistä mahdollisesti johtuvista katkoksista hyvissä ajoin etukäteen. Päivitykset ajoitetaan korkeiden kuorma- ja käyttöajankohtien ulkopuolelle. Lisäksi päivitystoimenpiteet suunnitellaan siten, että niistä mahdollisesti johtuvat käyttökatkokset ovat mahdollisimman lyhytkestoisia.

9 Järjestelmä- ja tietoturvakuvaus 9 (15) Virusturva Järjestelmässä toimii sisäinen jatkuva virusturva, joka estää haitallisten mato- ja virusohjelmien tallentumisen järjestelmään. Virusturvana käytetään F-Secure Oyj:n palvelinjärjestelmiin tarkoitettua ohjelmistoa. Virusturva tarkistaa järjestelmän sisäisten tietojen lisäksi kaikki käyttäjien järjestelmään lataamat liite- ja raporttisyötteet. Virusturvaa päivitetään reaaliaikaisesti F-Secure Oyj:n keskistetystä viruskuvauspalvelimelta. 3.3 Varmuuskopiointi Sovelluspalvelimista, tietokantapalvelimista, lokeista ja datasta otetaan täydelliset varmuuskopiot päivittäin. Varmuuskopiot säilytetään ylläpitopalveluntarjoajan käytännön mukaisesti vuoden ajan. 3.4 Yhteydet Yhteydet järjestelmään tapahtuvat ylläpidon ja hallinnan osalta vain 3DES-kryptattujen yhteyksien yli, SHA-1 tunnistautumisen sekä Windows-autentikoinnin avulla. Lisäksi kaikki järjestelmän käyttämät salasanat on kryptattu. Vastaajien yhteydet tapahtuvat vain HTTP- tai HTTPS -protokollilla. HTTPS-yhteyksissä käytetään erillistä HTTPS-kiihdytintä, joka parantaa verkkopalvelun suorituskykyä. SSL-salaus ja purku tapahtuu erillisellä, tarkoitukseen optimoidulla laitteella. Tämän tarkoituksena on ylläpitää korkeaa suorituskykyä suurien yhtäaikaisten SSL-salattujen vastaajamäärien toteutuessa. HTTPS-sertifikaattina käytetään 1024-bittistä Thawthe varmennetta. Järjestelmä käyttää SSL-versiota 3.0. Kaikista yhteyksistä ylläpidetään lokia sekä palomuuri- että järjestelmätasolla.

10 Järjestelmä- ja tietoturvakuvaus 10 (15) 4 Fyysinen tietoturva Fyysisen tietoturvan tavoitteena on varmistaa, ettei asiattomat henkilöt pääse suoraan tai epäsuorasti fyysisesti käsiksi mihinkään Digium-enterprise ympäristöön liittyvään osa-alueeseen. 4.1 Tuotekehitys Järjestelmän tuotekehitys sijaitsee fyysisesti Espoon Keilarannassa ja Turun Elektrocityssä. Molemmat toimipisteet sijaitsevat fyysisesti erillään varsinaisesta tuotantoympäristöstä. Tuotekehitykseen liittyvät järjestelmät ja aineisto sijaitsevat erikseen valvotussa lukitussa palvelinympäristössä. Kaikissa tuotekehityksessä käytettävissä laiteja toimitiloissa noudatetaan asiaankuuluvia tietoturvakäytäntöjä. 4.2 Tuotantopalvelu Digium Enterprisen tuotantopalvelusta vastaa Crescom (Telia-Sonera Oyj:n tytäryritys). Tuotannon laitteet sijaitsevat fyysisesti Lauttasaaressa Helsingissä. Palveluntoimittajalla 24/7 valvonta järjestelmää ja palvelintiloihin. Palveluntoimittajan laitetila täyttää Viestintäviraston määräykset A- luokan laitetilasta 48/1999 ja 48B/2004M. Määräys määrittää tekniset vaativuudet ympäristöille, jotka sopivat vaativaan, käytettävyydeltään kriittiseen palvelinkeskuskäyttöön. Laitetila on suojattu kuluntarkkailujärjestelmällä, jossa on liikesensorit ja kameravalvonta. Paloturvaluokkana laitetilassa on EI60 eli laitetila pystyy pitämään tulipalon seinien ulkopuolella 60 minuuttia. Tilassa itsenäisesti toimivat eristetyt aktiiviset ja passiiviset palonestojärjestelmät. Palohälytykset on ohjattu suoraan hälytyskeskuksiin. Tuotantoympäristön sähkönsaanti on varmennettu diesel-käyttöisillä generaattoreilla.

11 Järjestelmä- ja tietoturvakuvaus 11 (15) 5 Psykososiaalinen tietoturva Tämän tietoturvan osa-alueen tavoitteena on varmistaa, ettei kukaan Digiumin tai sen kumppanin työntekijä, järjestelmän käyttäjä, asiakasorganisaation muut työntekijä tai muu taho tietämättömyyttään tai rikollisten tai tuottamuksellisin tarkoitusperin pääse käsiksi, poistamaan, tuhoamaan tai muuttamaan luottamuksellista asiakastietoa tai antamaan kolmannelle osapuolelle mahdollisuutta edellä mainittuun. 5.1 Käyttökoulutus Digium Entepriseen järjestetään säännöllisesti käyttökoulutuksia. Koulutuksissa opastetaan ja motivoidaan loppukäyttäjiä järjestelmän tietoturvalliseen käyttämiseen. Lisäksi Digium asiakastuki auttaa käyttäjiä kysymys- ja ongelmatilanteissa. Digiumin tuotantopalvelun ja asiakastuen henkilöt omaavat vuosien työkoekokemuksen ja ovat jatkuvan koulutuksen kautta motivoituneita opastamaan järjestelmän tietoturvalliseen käyttöön ja hallintaan. 5.2 Käytönvalvonta Järjestelmässä on 24/7 valvonta. Ongelmatilanteisiin reagoidaan ja korjaustoimenpiteisiin ryhdytään viivytyksettä. Digium Enterprisen järjestelmävalvonta ja asiantuntijat tavoitetaan oman hälytyssilmukan kautta. Järjestelmän lokeja auditoidaan toistuvasti ja mahdolliset epäkohdat tutkitaan. 5.3 Käyttörajoitteet Digium Enterpriseen on rakennettu sisäinen rajoite, jolla estetään käyttäjiä tallentamasta kyselyyn järjestelmälle haitallisia ohjelmia tai scriptejä. Järjestelmä poistaa automaattisesti haitallisen koodin. 5.4 Luottamuksellisuus, salassapito ja luottotiedot Jokainen Digiumin palveluksessa oleva henkilö sitoutuu kattavaan luottamuksellisuus- ja salassapitosopimukseen ennen työsuhteen alkamista. Sopimus kattaa luottamuksellisuuden ja salassapidon sekä työsuhteen kuluessa että sen jälkeen. Jokainen Digiumin palvelu- ja järjestelmäkumppani sitoutuu alihankinta- ja kumppanuussopimuksissaan kattaviin luottamuksellisuus- ja salassapitoehtoihin.

12 Järjestelmä- ja tietoturvakuvaus 12 (15) Jokaisen Digiumin palveluksessa olevan henkilön luottotiedot tarkistetaan ennen työsuhdetta sekä ajoittain työsuhteen kuluessa. Digium yrityksenä kuuluu korkeaan luottoluokitukseen. Yrityksen liiketoiminnan suunnittelun ja johtamisen reunaehtoina ovat yhtiön korkea vakavaraisuus ja maksuvalmius, nuhteeton maksukäyttäytyminen sekä liiketoiminnan riskien ammattitaitoinen hallinta. 5.5 Henkilötietolaki Digium on henkilötietolaissa (523/99) tarkoitettu toisen lukuun tietojenkäsittelypalveluja tuottava osapuoli. Digiumin toimintailmoitus on rekisteröity Tietosuojavaltuutetun toimistoon. Rekisteri-ilmoitus on tarvittaessa saatavilla. Lisätiedot: Auditointi Digiumilla on yli puolet Suomen 100 suurimmasta yrityksestä asiakkaina. Tähän joukkoon lukeutuu lukuisia pankki- ja luottolaitoksia, valtion- ja julkishallintoa, terveydenhoito- ja lääkealan yrityksiä ja yhteisöjä sekä muita korkeaa tietoturvaa edellyttäviä tahoja. Järjestelmä on toistaiseksi poikkeuksetta täyttänyt edellä mainitun asiakaskunnan asettamat vaatimukset tieto- ja järjestelmäturvalle sekä hallinnalle. Asiakkaalla on mahdollisuus suorittaa auditointi omalla kustannuksellaan erikseen niin sovittaessa.

13 Järjestelmä- ja tietoturvakuvaus 13 (15) 6 Tietojen säilyttäminen ja tietoon pääsy 6.1 Asianmukainen käyttö Digium Enterpriseen on rakennettu käyttöoikeusrajoitteet, joilla estetään kyselyiden väärinkäyttö ja muut väärinkäytökset. Pääkäyttäjällä on järjestelmän päätasolla oikeudet käyttäjien lisäämiseen eri oikeuksin. Vain pääkäyttäjällä on oikeus pyytää Digiumin asiakastuelta oman järjestelmänsä kyselytietoja. Tavalliset käyttäjät voivat pyytää tietoja vain kyselyistä, joihin heillä on käyttöoikeuksien perusteella pääsy. Kyselyyn vastaavan henkilön koneelle ei tallenneta mitään pysyväistietoa. Itse järjestelmään tieto tallentuu ainoastaan yksi vastaussivu kerrallaan. 6.2 Tietojen säilyttäminen Digium Enterprisen avulla kerätty tieto säilytetään palvelinjärjestelmässä oletusarvoisesti toistaiseksi. Kaikki tieto on edellä kuvatun varmuuskopiointi- ja säilytyskäytännön piirissä. Järjestelmän käyttäjillä ja pääkäyttäjillä on mahdollisuus poistaa kyselyjä ja näihin liittyvää tietoa käyttöoikeuksiensa mukaisesti. 6.3 Tunnusten ja tilien hallinta Asiakassuhteen alussa pääkäyttäjälle toimitetaan järjestelmään tunnus ja salasana Digiumin asiakastuen toimesta. Kaikki salasanat on kryptattu järjestelmässä ja järjestelmän pääkäyttäjällä on mahdollisuus muuttaa pakotetun salasanan vaihtoväli tilin käyttäjille. Kaikki tilit ja tunnukset on keskitetyssä hallintajärjestelmässä, jossa rajatut käyttöoikeudet sekä käyttäjien roolit määritellään. Vain Digium Enterprisen pääkäyttäjällä on oikeus lisätä tunnuksia järjestelmään. Digium Enterprisen käyttöoikeudet Pääkäyttäjä Tilin pääkäyttäjällä on tiliin kaikki hallintaoikeudet. Pääkäyttäjän oikeuksilla pääsee oletuksena kaikkiin kyselyihin. Pääkäyttäjältä voidaan tarvittaessa evätä pääsy valittuihin kyselyihin ja niihin liittyvään dataan.

14 Järjestelmä- ja tietoturvakuvaus 14 (15) Pääkäyttäjä voi lisätä uusia käyttäjiä työryhmiin sekä käyttää Digium Enterprisen hallintatyökaluja. Työryhmän pääkäyttäjä Työryhmän pääkäyttäjällä on oikeudet hallita oman työryhmänsä käyttäjiä ja näiden käyttöoikeuksia. Käyttäjä Käyttäjällä on oikeudet luoda, muokata, raportoida ja hallita työryhmässään sijaitsevia kyselyitä pääkäyttäjien luomien käyttöoikeuksien puitteissa. Tulosten katselija Tällä käyttöoikeustyypillä on oikeudet vain käyttöoikeuksiin perustuvien raporttien katseluun. Vastaaja Kyselyn vastaaja voidaan kyselyn laatijan toimesta määritellä tunnistetuksi tai anonyymiksi. 6.4 Käyttäjäskenaariot Anonymiteetti Käyttäjä saa työpaikan ilmapiiritutkimuksen, jossa pyydetään vastaamaan kyselyyn anonyymisti. Kysely voidaan kyselyn tekijän toimesta määrittää anonyymiksi kyselyä luotaessa. Tällöin vastaajan sähköpostiosoitetta tai ip-osoitetta ei yhdistetä kyselyyn vastausten valmistuttua, eikä vastaavaa tietoa näytetä käyttäjälle. Kyselyn laatija voi määrittää tunnistamiseen liittyvän eston myös yksittäisille vastauslomakkeille. Vastaajan tunnus ja salasana Suuri suomalainen tehdas haluaa suorittaa työkykykyselyn kaikille työntekijöilleen - niillekin joilla ei ole henkilökohtaista sähköpostia tai henkilökohtaisessa käytössä olevaa tietokonetta. Kysely laaditaan normaaliin tapaan. Kyselynhallinnassa kyselynlaatija määrittää vastaajakohtaiset tunnusten ja salasanojen käyttöönotosta. Valitaan vastaajien lukumäärä, joille järjestelmä muodostaa tunnukset ja salasanat. Lopuksi kyselyn laatija syöttää taustatiedot tunnusten taakse ja lähettää kutsut. Lopuksi kyselyn laatija toimittaa erilliset kutsut vastaajille ja liittää tunnukset ja salasanat tähän.

15 Järjestelmä- ja tietoturvakuvaus 15 (15) Vastaajat käyvät kukin vuorollaan kirjautumassa järjestelmän ja vastaamassa kyselyyn. Käyttäjähallinta Ruotsalaisen kolmen hengen konsulttiyrityksen yksi työntekijöistä irtisanoutuu yhtiön palveluksesta ja hänellä on käyttöoikeudet Digium Enterprise järjestelmään. Digium Enterprise järjestelmässä on tilikohtaisesti aina vähintään yksi pääkäyttäjä, jolla oikeudet käyttäjien lisäämiseen ja poistamiseen. Pääkäyttäjä voi tällöin poistaa tai siirtää kollegalle käyttöoikeudet järjestelmästä välittömästi työsopimuksen päättymisen jälkeen, eikä irtisanoutunut työntekijä pääse tämän jälkeen enää kirjautumaan järjestelmään. Toinen vaihtoehto on ottaa yhteys Digiumin asiakastukeen, joka hoitaa käyttäjän poiston tai neuvoo pääkäyttäjää asiassa.