Kuvaus DNSSEC allekirjoitus- ja avaintenhallintakäytännöistä
|
|
- Kaisa Härkönen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Kuvaus DNSSEC allekirjoitus- ja avaintenhallintakäytännöistä
2 2 1 JOHDANTO Tämä dokumentti on kuvaus Suomen TLD-vyöhykkeen (.FIvyöhykkeen) DNSSEC-allekirjoitus- ja avaintenhallintakäytännöistä. Dokumentti noudattaa suurilta osin RFC draft-dokumentissa draft-ietfdnsop-dnssec-dps-framework-02.txt määriteltyä rakennetta. Tämän dokumentin lisäksi.fi-vyöhykkeen operointiin ja hallintaan liittyy myös muita, pääasiassa sisäiseen käyttöön tarkoitettuja dokumentteja. 1.1 Yleistä DNS Security Extensions (DNSSEC) on joukko nimipalvelujärjestelmän (Domain Name System, DNS) tietoturvalaajennuksia, joiden tarkoituksena on lisätä nimipalvelun tietoturvaa ja luotettavuutta nimipalvelutietueisiin lisättävien digitaalisten allekirjoitusten avulla. DNSSEC:n tarjoamien toiminnallisuuksien avulla voidaan todentaa nimipalvelutiedon alkuperä sekä tiedon eheys, minkä lisäksi DNSSEC mahdollistaa niin sanottujen negatiivisten vastausten aitouden todentamisen. Edellä mainittujen toiminnallisuuksien toteuttamiseksi DNSSEC määrittelee nimipalveluun uusia tietuetyyppejä, joista keskeisimpiä ovat RRSIG-, DNSKEY-, DS- ja NSEC(3)-tietueet. DNSSEC:n toiminnallisuudet perustuvat niin sanottuihin luottamusketjuihin, joissa allekirjoitettujen vyöhykkeiden julkiset avaimet voidaan todentaa allekirjoitetun ylävyöhykkeen julkisen avaimen avulla. Ideaalitilanteessa luottamusketjut alkavat allekirjoitetusta juurivyöhykkeestä, jonka julkinen avain on ennalta määritelty luotettavaksi. Nimipalvelupalvelun kokonaisluotettavuuden varmistamiseksi on ensiarvoisen tärkeää, että luottamusketjun jokaiseen osaan voidaan luottaa. Tämän dokumentin keskeisenä tarkoituksena on antaa lukijalle
3 3 käsitys.fi-vyöhykkeen DNSSEC-käytännöistä, jotta lukija voisi muodostaa oman käsityksensä.fi-vyöhykkeen kokonaisluotettavuudesta. 1.2 Dokumentin tunnistetiedot Dokumentin nimi: Kuvaus DNSSEC-allekirjoitus- ja avaintenhallintakäytännöistä Versio: 1.0 Päivitetty: Osapuolet ja soveltaminen Rekisteri Viestintävirasto (Finnish Communications Regulatory Authority, FICORA) hallinnoi Suomen Top Level Domain -vyöhykettä eli.fivyöhykettä ja vastaa.fi-päätteisiin domain-nimiin liittyvien tietojen lisäysten, muutosten ja poistojen hallinnoinnista. Viestintävirasto vastaa myös.fi-vyöhykkeen julkisen avainten allekirjoitusavaimen (Key Signing Key, KSK) tiivisteen julkaisemisesta Internetin juurivyöhykkeessä sekä toimii osavastuullisena DNSSECavaintenhallintaan liittyvissä käytännöissä, myöhemmin tässä dokumentissa kuvatulla tavalla Allekirjoitusjärjestelmän ylläpitäjä CSC Tieteen Tietotekniikan Keskus Oy vastaa sekä.fi-vyöhykkeen ensisijaisten määräävien nimipalvelinten että DNSSECallekirjoitusjärjestelmän operoinnista ja ylläpidosta. CSC toimii myös osavastuullisena avaintenhallintaprosesseissa myöhemmin tässä dokumentissa kuvatulla tavalla.
4 Toissijaisten nimipalvelinten ylläpitäjät Toissijaisten nimipalvelinten ylläpitäjiä ovat tahot, jotka ylläpitävät ja operoivat.fi-vyöhykkeen toissijaisia määrääviä nimipalvelimia. Toissijaisten nimipalvelinten ylläpitäjät eivät osallistu DNSSECallekirjoitus tai -avaintenhallintaprosesseihin, mutta vastaavat siitä, että toissijaiset nimipalvelimet ovat täysin DNSSEC-yhteensopivia Kolmas osapuoli Kolmansiksi osapuoliksi voidaan lukea kaikki.fi-vyöhykkeen DNSSECtoteutusta hyödyntävät ja siihen luottavat tahot, kuten validoivia rekursiivisia nimipalvelimia ylläpitävät operaattorit. Luottamusketjujen alkupisteinä käytettävien julkisten avainten, ns. luottamusankkureiden, pitäminen ajan tasalla on DNSSEC-validointia hyödyntävän kolmannen osapuolen vastuulla. 1.4 Hallinnolliset määritelmät Dokumentin hallinta ja ylläpito Tämän dokumentin hallinnoinnista ja ylläpidosta vastaa Viestintävirasto. Viestintävirasto tarkistaa ja päivittää dokumentin sisältöä tarvittaessa Yhteystiedot Viestintävirasto Postiosoite: PL 313, Helsinki Käyntiosoite: Itämerenkatu 3 A Helsinki Asiakaspalvelu:
5 5 2 JULKAISEMINEN JA SÄILYTYSPAIKAT 2.1 Julkaisukanava Viestintävirasto julkaisee DNSSEC:iin liittyvät tiedot Internetsivuillaan osoitteessa Tämän dokumentin viimeisin versio on aina saatavilla edellä mainitussa osoitteessa. 2.2 KSK-avaimen julkaiseminen FI-vyöhykkeen KSK-avaimen julkisen osan tiiviste julkaistaan niin sanottuna Delegation Resource (DS)-tietueena allekirjoitetussa juurivyöhykkeessä. Niiden, jotka haluavat validoida.fivyöhykkeeseen kohdistuvia nimipalvelukyselyjä, oletetaan käyttävän allekirjoitetun juurivyöhykkeen julkista KSK-avainta tai sen tiivistettä luottamusankkurina. Allekirjoitetun juurivyöhykkeen lisäksi.fi-vyöhykkeen KSK-avainta ei julkaista muiden kanavien kautta. 2.3 Pääsynhallinta Edellä mainitulla Internet-sivustolla julkaistava tieto on vapaasti kaikkien saatavilla, mutta sivusto on suojattu sisällön luvattomalta muokkaamiselta.
6 6 3 TOIMINNALLISET VAATIMUKSET 3.1 DS-tietueiden lisäys, päivittäminen ja poistaminen DS-tietueiden lisäys, päivitys ja poisto tapahtuu verkkotunnuspalvelussa ( tai verkkotunnuspalvelun Web service rajapintaa käyttämällä. Muutoksia DS-tietueisiin voi tehdä verkkotunnuksen haltija, asiamies tai palveluntarjoaja. Verkkotunnuksen tulee olla liitettynä verkkotunnuksen haltijan tai asiamiehen käyttäjätunnukseen muutoksia varten. Palveluntarjoaja voi tehdä muutoksia valtuutusavaimen avulla tai valtuutus DS-tietueiden päivittämiseen voi syntyä verkkotunnuksen käyttämien nimipalvelimen kautta. 3.2 Vaatimukset DS- ja DNSKEY-tietueille Verkkotunnuksen nimipalvelimilta tulee löytyä vähintään yksi DNSKEY, jota vastaava DS-tietue julkaistaan verkkotunnuspalvelussa. DStietueita voi julkaista 1-6 kappaletta. DNSKEY-tietueet tulee olla allekirjoitettuja julkista avainta vastaavalla yksityisellä avaimella. DNSKEY-tietueen tulee olla KSK. SEP (Security Entry Point) bitin tulee olla päällä (liput kentän 15:sta bitin tulee olla 1). DNSKEY-tietueen liput kentän 7:nen bitin arvon tulee olla 1. Bittien 0-6 arvojen tulee olla 0. Bittien 8-14 arvon tulee olla 0.
7 7 DNSKEY-tietueen algoritmi kentän arvot voivat olla: 5 (RSA/SHA-1) 7 (RSASHA1-NSEC3-SHA1) 8 (RSA/SHA-256) 10 (RSA/SHA-512) 4 LAITETILOJEN, HALLINNAN JA YLLÄPIDON TARKKAILU 4.1 Laitetilat Laitetilojen sijainti DNSSEC-allekirjoitusjärjestelmä on sijoitettu CSC:n ylläpitämiin ja hallinnoimiin turvallisiin laitetiloihin. Järjestelmän toisiaan varmistavat komponentit on sijoitettu fyysisesti eri tiloihin tärinävaimennettuihin laiteräkkeihin Laitetilojen pääsynhallinta Pääsy laitetiloihin, joissa DNSSEC-allekirjoitusjärjestelmän komponentit sijaitsevat, on sallittu vain valtuutetuille henkilöille. Laitetiloihin pääsy edellyttää kaksinkertaista autentikointia ja jokaisesta käynnistä jää lokimerkintä pääsynhallintajärjestelmään. Lisäksi laitetiloissa on videovalvontajärjestelmä Virransyöttö ja ilmastointi Kaikissa laitetiloissa on keskeytyksetön virransyöttö (Uninterruptible Power System, UPS), varavirtageneraattorit sekä 24/7-valvottu ilmastointijärjestelmä.
8 Vesivuodot Mahdollisten vesivuotojen aiheuttamien vahinkojen välttämiseksi DNSSEC-allekirjoitusjärjestelmän komponentit on sijoitettu tiloihin, joissa on korotetut lattiat. Lisäksi valvontajärjestelmä tarkkailee mahdollisia vesivuotoja jatkuvasti Paloturvallisuus Laitetiloissa on automaattinen kaasusammutus- sekä hälytysjärjestelmä Tietojen säilytys Yksityiset allekirjoitusavaimet säilytetään salattuna avainnippuna allekirjoitusjärjestelmän kiintolevyillä. Salatun avainnipun varmuuskopiota säilytetään ulkoisella medialla ja varmuuskopio on edelleen salattu allekirjoitusjärjestelmän ylläpitäjien GPG-avaimilla. HSM-laitteiden (Hardware Security Module) master-avain, jolla yksityisten avainten avainnippu on salattu, on varmuuskopioitu siirrettäville muistivälineille, joita säilytetään eri paikassa kuin salatun avainnipun varmuuskopiota. Master-avaimen varmuuskopiot on edelleen suojattu vain Viestintäviraston tiedossa olevalla salasanalla. Varmuuskopioita lukuunottamatta HSM-laitteiden master-avainta säilytetään ainoastaan HSM-laitteiden sisäisessä muistissa Tietojen hävittäminen Luottamuksellista tietoa sisältävät dokumentit silputaan ja sähköiset muistivälineet muutetaan lukukelvottomiksi ennen niiden hävittämistä.
9 9 4.2 Toimintamallit Luottamusroolit DNSSEC-allekirjoitusjärjestelmän operointi sekä avaintenhallintaprosessit käsittävät kaksi eri luottamusroolia: allekirjoitusjärjestelmän ylläpitäjän sekä HSM-laitteen Security Officer (SO)-roolin. CSC toimii allekirjoitusjärjestelmän ylläpitäjän roolissa, kun taas Viestintävirastolla on HSM-laitteen SO-oikeudet. HSMlaitteen hallinta on mahdollista vain SO-oikeuksilla, joten allekirjoitusjärjestelmän ylläpitäjällä eli CSC:llä ei ole valtuuksia hallinnoida HSM-laitetta tai sen avaimia. Syvä luottamus edellä mainittujen osapuolten välillä on koko.fivyöhykkeen DNSSEC-toteutuksen turvallisuuden kulmakiviä. Mainituissa luottamusrooleissa työskentelevät henkilöt ovat molempien osapuolten tiedossa ja mahdollisista henkilömuutoksista sovitaan osapuolten kesken Eri tehtäviin tarvittavien henkilöiden määrä Kyky palauttaa yksityiset allekirjoitusavaimet varmuuskopioista on koko järjestelmän luotettavuuden kannalta yksi keskeisimpiä tekijöitä. Tästä johtuen avainten palauttaminen varmuuskopioista vaatii vähintään yhden henkilön läsnäolon kummastakin luottamusroolista. Tämä tarkoittaa käytännössä sitä, että avainten palauttaminen varmuuskopioista on mahdollista vain CSC:n ja Viestintäviraston edustajien läsnäollessa. Tämän lisäksi myös luottamusankkureiden (DS-tietueiden) kopioiminen allekirjoitusjärjestelmästä sekä niiden julkaiseminen juurivyöhykkeessä edellyttävät sekä CSC:n että Viestintäviraston toimenpiteitä.
10 Tunnistaminen ja autentikointi rooleihin Kaikki DNSSEC-allekirjoitusjärjestelmän ylläpitoon sekä avaintenhallintaprosesseihin osallistuvat henkilöt ovat molempien osapuolten aiemmin tunnistamia henkilöitä ja mahdollisista henkilömuutoksista sovitaan Viestintäviraston ja CSC:n kesken. Luottamuksellisiin tehtäviin vaadittavat autentikoinnit perustuvat sekä salasanoihin että julkisen avaimen autentikointiin Vastuiden hajauttaminen Vastuu yksityisten allekirjoitusavainten varmuuskopioiden säilyttämisestä on hajautettu CSC:n ja Viestintäviraston välillä siten, että CSC vastaa salatun avainnipun varmuuskopion säilyttämisestä, kun taas Viestintävirasto vastaa HSM-laitteen master-avaimen varmuuskopioiden säilyttämisestä. Yksityisten avainten palauttaminen varmuuskopioista edellyttää täten sekä CSC:n että Viestintäviraston läsnäoloa ja toimenpiteitä. Tämän toimintamallin tarkoituksena on varmistaa, että kolmas osapuoli ei pysty saamaan haltuunsa sekä salatun avainnipun että HSM-laitteen master-avaimen varmuuskopiota. 4.3 Tapahtumien kirjaus Kirjattavat tapahtumatyypit HSM-laitteen hallinta on mahdollista vain suorin sarjakonsoliyhteyksin ja kaikki HSM-laitteen hallintaan liittyvät tapahtumat kirjataan pöytäkirjaan, joka luovutetaan kaikille tapahtumaan osallistuville henkilöille. Esimerkiksi HSM-laitteiden alustustilaisuus on tapahtuma, josta on laadittu pöytäkirja. Kaikki ylläpito-oikeuksin tehdyt toimenpiteet allekirjoitusjärjestelmässä kirjataan lokiin, jota järjestelmän ylläpitäjät seuraavat. Järjestelmälokeja säilytetään erityisillä
11 11 lokinkeruupalvelimilla Lokien tarkkailu Lokitietoja tarkastellaan ja analysoidaan säännöllisesti automaattisen järjestelmän avulla sekä tarvittaessa manuaalisesti. Ylläpito-oikeuksin suoritetuista toimenpiteistä allekirjoitusjärjestelmässä koostetaan automaattisesti kerran viikossa yhteenveto, joka lähetetään järjestelmän ylläpitäjille. 4.4 Poikkeustilanteiden hallinta Kaikki toimintamallit on suunniteltu ja dokumentoitu siten, että mahdollisiin poikkeamiin pystytään reagoimaan nopeasti. Tilanteita, joissa yksityisten allekirjoitusavainten epäillään tulleen murretuiksi tai kaapatuiksi, varten on suunniteltu ja dokumentoitu erityiset toimintamallit avainten hätäuusimista varten. Itse allekirjoitusjärjestelmä on toteutettu vikasietoisesti. Mikäli allekirjoitusjärjestelmän ensisijainen komponentti vikaantuu, varajärjestelmä voidaan ottaa käyttöön sisäisessä dokumentaatiossa kuvattuja toimintamalleja ja ohjeita noudattaen. Näihin ohjeisiin kuuluu mm. tarkistaa, että varajärjestelmä käyttää samoja allekirjoitusavaimia kuin ensisijainen järjestelmä. 5 TEKNISET TURVAMENETELMÄT 5.1 Avainten generointi ja käyttö Avainten generointi Allekirjoitusavaimet generoidaan HSM-laitteella, joka täyttää FIPS standardin tason 3 vaatimukset. HSM-laitteiden alustuksen ja aktivoinnin yhteydessä allekirjoitusavaimia on generoitu HSM-laitteiden koko arvioidun
12 12 elinkaaren ajaksi. CSC:n ja Viestintäviraston edustajat ovat valvoneet ja tarkkailleet avainten generointia, jotta on voitu varmistua siitä, että avainten generointi tapahtuu turvallisesti. HSM-laitteiden alustustilaisuudesta on laadittu pöytäkirja, joka on toimitettu kaikille tilaisuuteen osallistuneille henkilöille. Uusia avaimia voidaan tarvittaessa generoida HSM-laitteiden elinkaaren aikana samaa dokumentoitua toimintamallia noudattaen. Allekirjoitusavainten generointi tapahtuu vain hallitusti ja valvotusti dokumentoituja toimintamalleja noudattaen. Tämän vuoksi avaimia ei koskaan generoida automaattisesti Julkisen avaimen jakelu Kulloinkin käytössä olevan KSK-avaimen julkisen osan tiiviste, eli niin sanottu DS-tietue, kopioidaan allekirjoitusjärjestelmästä järjestelmän ylläpitäjien toimesta ja toimitetaan Viestintävirastolle. Tämä tapahtuu aina KSK-avaimen uusimisen yhteydessä, eli tilanteissa, joissa uusi KSK-avain otetaan käyttöön. CSC on laatinut Viestintäviraston käyttöön työkalun, jolla Viestintävirasto voi tarkistaa, että DStietueen tiiviste vastaa nimipalvelussa olevaa KSK-avainta. Tämän tarkistuksen tarkoituksena on tunnistaa DS-tietueen kopioinnissa mahdollisesti sattuneet inhimilliset virheet ja välttää niistä aiheutuvat ongelmat Julkisten avainten parametrien hallinta Allekirjoitusavainten parametrit on määritelty.fi-vyöhykkeen avainja allekirjoitussäännöissä. Jokaisen allekirjoitustapahtuman yhteydessä suoritetaan automaattinen auditointi, jotta voidaan varmistua siitä, että käytettävät allekirjoitusavaimet vastaavat määriteltyä säännöstöä.
13 Avainten käyttötarkoitukset Avaimia käytetään vain ja ainoastaan.fi-vyöhykkeen allekirjoittamiseen. Samoja avaimia ei koskaan käytetä mihinkään muuhun tarkoitukseen.
14 Yksityisten avainten suojaaminen ja HSM-laitteiden hallinta Kaikki kryptografiset operaatiot suoritetaan HSM-laitteissa ja yksityiset allekirjoitusavaimet eivät ole koskaan saatavilla HSMlaitteen ulkopuolella salaamattomassa muodossa HSM-laitteen standardit Allekirjoitusjärjestelmässä käytössä olevat HSM-laitteet vastaavat FIPS standardin tason 3 vaatimuksia Hajautettu hallinta HSM-laitteen hallinta ei edellytä useamman henkilön autentikointia. Henkilöillä, joilla on HSM-laitteen hallintaoikeudet, ei kuitenkaan ole fyysistä pääsyä tiloihin, joissa allekirjoitusjärjestelmä ja HSM-laitteet sijaitsevat. Tästä johtuen HSM-laitteiden hallinta edellyttää aina sellaisen henkilön, jolla on fyysinen pääsy laitetiloihin, läsnäoloa Yksityisten avainten luovuttaminen kolmennelle osapuolelle Yksityisiä avaimia tai niiden varmuuskopioita ei luovuteta kolmennelle osapuolelle Yksityisten avainten varmuuskopiointi HSM-laitteiden master-avain, jota käytetään allekirjoitusjärjestelmän kiintolevyillä olevan yksityisen avainnipun salaamiseen, on varmuuskopioitu HSM-laitteiden alustustilaisuudessa suoraan HSMlaitteisiin kytketyille ulkoisille muistivälineille. Varmuuskopiot on suojattu salasanalla ja niitä on otettu riittäväksi katsottu lukumäärä, minkä jälkeen HSM-laitteiden master-avain on lukittu uusien varmuuskopioiden ottamisen estämiseksi. Master-avaimen varmuuskopioiden säilyttämisestä vastaa Viestintävirasto. Salattujen avainnippujen varmuuskopioiden säilyttämisestä vastaa
15 15 CSC. Salattujen avainnippujen varmuuskopiot on salattu järjestelmän ylläpitäjien GPG-avaimilla. Allekirjoitusavaimet voidaan palauttaa master-avaimen ja salatun avainnipun varmuuskopioista. Avainten palauttaminen varmuuskopioista on mahdollista vain CSC:n ja Viestintäviraston yhteistoimin, sillä kummallakaan osapuolella ei yksin ole pääsyä sekä master-avaimen että salatun avainnipun varmuuskopioon Yksityisten avainten säilyttäminen HSM-laitteissa Kun ykistyisiä allekirjoitusavaimia käytetään DNS-tietueiden allekirjoittamiseen, niiden salaus puretaan HSM-laitteissa masteravaimen avulla, joka on sama järjestelmän kummassakin toisiaan varmistavassa HSM-laitteessa. Yksityisiä avaimia ei pysty kopioimaan salaamattomassa muodossa allekirjoitusjärjestelmästä Yksityisten avainten siirto HSM-laitteiden master-avain on kopioitu HSM-laitteiden alustustilaisuuden yhteydessä ensisijaiselta HSM-laitteelta varajärjestelmän HSM-laitteelle. Master-avaimesta on otettu riittäväksi katsottu määrä varmuuskopioita, minkä jälkeen se on lukittu uusien varmuuskopioiden ottamisen estämiseksi. Masteravainta ei täten pysty enää kopioimaan HSM-laitteelta Yksityisen avaimen aktivointi Yksityiset avaimet aktivoidaan allekirjoitusjärjestelmän toimesta. ZSK-avain aktivoidaan automaattisesti, mutta KSK-avaimen aktivointi edellyttää järjestelmän ylläpitäjän vahvistuksen Yksityisen avaimen poistaminen käytöstä Yksityiset avaimet poistetaan käytöstä allekirjoitusjärjestelmän toimesta. ZSK-avain poistetaan käytöstä automaattisesti, kun sitä ei
16 16 enää käytetä, mutta KSK-avaimen poistaminen käytöstä edellyttää järjestelmän ylläpitäjän vahvistuksen Yksityisten avainten tuhoaminen Yksityisiä avaimia ei tuhota sen jälkeen, kun niitä ei enää tarvita. 5.3 Muut avaintenhallintaan liittyvät tekijät Julkisten avainten arkistointi Julkiset avaimet arkistoidaan osana salatun avainnipun varmuuskopioita, joihin liittyvät toimintamallit on kuvattu kappaleessa Avainten voimassaoloajat KSK-avain uusitaan oletusarvoisesti kerran vuodessa, kun taas ZSKavain uusitaan 30 vuorokauden välein. Avainten uusimiseen liittyvät yksityiskohdat on kuvattu myöhemmin tässä dokumentissa. 5.4 Allekirjoitusjärjestelmän suojaus Pääsy allekirjoitusjärjestelmään on rajattu vain järjestelmän ylläpitäjille. Järjestelmään on mahdollista kirjautua vain ennalta määritellyiltä verkonhallintapalvelimilta ja vain julkisen avaimen autentikointi on sallittu. Suorat kirjautumiset ylläpitäjän oikeuksin (ns. root-access) järjestelmään on estetty ja kaikki ylläpitäjän oikeuksin suoritettavat toimenpiteet tehdään henkilökohtaisin tunnuksin. Edelleen, jokainen ylläpitäjän oikeuksin suoritettu toimenpide kirjataan lokiin. 5.5 Verkkoyhteyksien suojaus DNSSEC-allekirjoitusjärjestelmän verkko on suojattu kerrospuolustuksen periaatteella palomuurein, jotka sallivat vain
17 17 järjestelmän toiminnan ja ylläpidon kannalta tarpeelliset yhteydet. 5.6 Aikaleimaus Aikaleimojen oikeellisuuden varmistamiseksi allekirjoitusjärjestelmän komponentit on määritelty käyttämään NTP-protokollaa (Network Time Protocol). Allekirjoitusjärjestelmän NTP-synkronisaatiota valvotaan jatkuvasti. 6 VYÖHYKKEEN ALLEKIRJOITTAMINEN FI-vyöhykkeen allekirjoittaminen on osa vyöhykkeen säännöllistä päivitystä, joka tapahtuu 30 minuutin välein. FI-vyöhykkeessä olevien alivyöhykkeiden tiedot siirretään automaattisesti Viestintäviraston verkkotunnusjärjestelmästä turvallista kanavaa pitkin allekirjoitusjärjestelmään, joka muodostaa tiedoista täyden vyöhyketiedoston ja allekirjoittaa sen. Allekirjoittamisen jälkeen allekirjoitusjärjestelmä siirtää vyöhyketiedoston turvallista kanavaa pitkin.fi-vyöhykkeen ensisijaisille määrääville nimipalvelimille, jotka edelleen siirtävät uuden vyöhyketiedoston toissijaisille nimipalvelimille. Virheellisen nimipalvelutiedon julkaisemisen estämiseksi sekä allekirjoittamattomalle että allekirjoitetulle vyöhyketiedostolle tehdään automaattisesti lukuisia eheys- ja semantiikkatarkistuksia. 6.1 Avainten pituudet ja algoritmit Sekä KSK- että ZSK-avaimet käyttävät RSA-algoritmia. KSK-avaimen pituus on 2048 bittiä, mikä vastaa mm. juurivyöhykkeen KSKavaimen pituutta. ZSK-avaimena käytetään 1024-bittistä RSA-avainta. 6.2 Negatiivisten vastausten autentikointi Negatiivisten vastausten (NXDOMAIN) autentikointiin käytetään
18 18 NSEC3-tietueita, jotka on määritelty RFC-dokumentissa Keskeinen syy NSEC3-tietueiden käyttämiseen NSEC-tietueiden sijaan on se, että NSEC-tietueiden käyttäminen mahdollistaisi.fivyöhykkeen kaikkien tietueiden luettelemisen, mikä ei tietoturvasyistä ole toivottavaa. FI-vyöhykkeen NSEC3-tietueissa käytetään niin sanottua Opt-Outoptiota, mikä tarkoittaa sitä, että NSEC3-tietueita generoidaan vain vyöhykkeen määräävistä tietueista sekä delegoinneista allekirjoitettuihin alivyöhykkeisiin. 6.3 Allekirjoituksen muoto Vyöhykkeen tietueet allekirjoitetaan RSA-algoritmilla ja allekirjoittamiseen käytettävä tiivistefunktio on SHA ZSK-avaimen uusiminen ZSK-avain uusitaan automaattisesti 30 vuorokauden välein niin sanottua Pre-Publication-menetelmää, joka on määritelty RFC-draftdokumentissa draft-morris-dnsop-dnssec-key-timing-02, käyttäen. Avaimen uusimisen nopeuttamiseksi esimerkiksi hätätilanteissa vyöhykkeessä julkaistaan niin sanottu standby-avain, joka voidaan tarvittaessa ottaa välittömästi käyttöön. Standby-avain julkaistaan vyöhykkeen DNSKEY-tietueryhmässä, mutta sitä ei käytetä vyöhykkeen muiden tietueiden allekirjoittamiseen. 6.5 KSK-avaimen uusiminen KSK-avain uusitaan lähtökohtaisesti noin kerran vuodessa tai tarvittaessa. Säännöllinen uusiminen tehdään niin sanottua Double- Signature -menetelmää käyttäen, jossa vyöhykkeen DNSKEYtietueryhmä allekirjoitetaan väliaikaisesti sekä uudella että vanhalla KSK-avaimella. Avaimen uusimisprosessi on puoliautomaattinen, sillä allekirjoitusjärjestelmä julkaisee uuden KSK-avaimen julkisen osan
19 19 (DNSKEY-tietueen) automaattisesti, mutta uusimisen loppuun saattaminen (DS-tietueen päivitys juurivyöhykkeessä ja vanhan KSKavaimen käytöstä poistaminen) vaatii manuaalisia toimenpiteitä. Standby-avainta käytetään avaimen uusimisen nopeuttamiseksi esimerkiksi hätätilanteissa. Standby-KSK-avainta ei julkaista vyöhykkeen DNSKEY-tietueryhmässä, mutta sitä vastaava DS-tietue julkaistaan juurivyöhykkeessä. Jos aktiivisen KSK-avaimen luotettavuus vaarantuu, standby-avain voidaan ottaa välittömästi käyttöön. Vanha DS-tietue poistetaan juurivyöhykkeestä, kun vanhat DNSKEY-tietueet ovat vanhentuneet rekursiivisten nimipalvelinten välimuisteista. 6.6 Allekirjoitusten elinikä ja uusiminen Allekirjoitusten elinikä on oletuksena noin 14 vuorokautta. Allekirjoitusten voimassaoloaikaan lisätään riittävästi satunnaisvaihtelua, jotta kaikkien allekirjoitusten samanaikainen vanheneminen välimuisteista voidaan estää. Vyöhyke allekirjoitetaan jokaisen 30 minuutin välein tapahtuvan päivityksen yhteydessä. Allekirjoitukset uusitaan automaattisesi hyvissä ajoin ennen niiden vanhenemista. Jos allekirjoitusjärjestelmän vikaantuminen tai jokin muu ongelma estää vyöhykkeen päivittymisen, järjestelmän ylläpitäjillä on riittävästi aikaa korjata mahdolliset ongelmat ennen allekirjoitusten vanhenemista. 6.7 DNSKEY-tietueiden eheyden varmistaminen Allekirjoitusjärjestelmä auditoi automaattisesti allekirjoitetun vyöhyketiedoston jokaisen allekirjoitusprosessin jälkeen. Tällä tavalla varmistetaan, että vyöhykkeen allekirjoittamisessa käytetään oikeita avaimia. Lisäksi järjestelmä tarkistaa, että juurivyöhykkeessä mahdollisesti oleva DS-tietue vastaa vähintään yhtä.fi-vyöhykkeessä julkaistua DNSKEY-tietuetta. Tämän tarkoituksena on varmistaa
20 20 luottamusketjun eheys. Säännöllinen valvonta sisältää lisäksi tarkistuksen, joka varmistaa, että DNSKEY-tietueryhmän allekirjoitus voidaan validoida vähintään yhdellä tietueryhmässä julkaistulla KSK-avaimella. 6.8 Tietueiden eheyden varmistaminen Allekirjoittamattoman vyöhyketiedoston syntaksi ja semantiikka tarkistetaan automaattisesti ennen allekirjoittamista ja allekirjoittamisen jälkeen varmistetaan, että allekirjoitetussa vyöhyketiedostossa on sama määrä delegointeja alivyöhykkeisiin kuin allekirjoittamattomassa vyöhyketiedostossa. Kun allekirjoitettu vyöhyketiedosto siirretään julkisille nimipalvelimille, tiedoston eheys varmistetaan tarkistussumman avulla. 6.9 Tietueiden elinikä DNSSEC-tietueiden elinikä (Time to Live, TTL) määritellään.fivyöhykkeen avain- ja allekirjoitussäännöstössä (Key and Signing Policy, KASP). Tällä hetkellä DNSKEY-tietueiden TTL-arvo on 3600 sekuntia (1 tunti). RRSIG-tietueet, eli tietueiden digitaaliset allekirjoitukset, saavat TTL-arvonsa suoraan allekirjoittamaltaan tietueelta Avainten säilytys FI-vyöhykkeen allekirjoittamiseen käytettäviä yksityisiä avaimia säilytetään salattuna avainnippuna allekirjoitusjärjestelmän kiintolevyillä. Master-avain, jolla avainnippu on salattu, säilytetään ainoastaan HSM-laitteissa, joista sitä ei HSM-laitteiden alustuksen yhteydessä tehtyä varmuuskopiointia lukuunottamatta pysty kopiomaan.
DNSSec. Turvallisen internetin puolesta
DNSSec Turvallisen internetin puolesta Mikä on DNSSec? 2 DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimenpiteillä
LisätiedotKymenlaakson Kyläportaali
Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta
Lisätiedot1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2
Rekisteriseloste Sisällys 1. Rekisterinpitäjä... 2 2. Rekisteriasioista vastaava henkilö... 2 3. Rekisterin nimi... 2 4. Rekisterin käyttötarkoitus... 2 5. Rekisterin sisältämät tiedot... 2 6. Säännönmukaiset
LisätiedotYritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus
LisätiedotKorkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen
Korkeakoulujen valtakunnallinen tietovaranto Ilmari Hyvönen 8.4.2014 Aiheita Tietovarannon käyttöönotto ja ohjaus Tietovaranto tiedonvälityspalveluna Yhteentoimivuuden edistäminen tietovarannon avulla
LisätiedotTietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)
Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat
Lisätiedot2. Miksi keräämme käyttäjien tietoja? Fernando kerää ja käsittelee tiettyjä sivustonsa käyttäjien henkilötietoja, jotta:
TIETOSUOJASELOSTE 1. Johdanto Avare Oy ("Avare") sitoutuu suojaamaan Fernando sivuston (sisältäen, mutta ei rajoittuen, seuraavan internetsivuston (http://fernando.fi) sekä kaikki siihen liittyvät keskustelufoorumit,
LisätiedotVarmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke
Versio 1.01 Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke Varmennepalvelu Yleiskuvaus 2 (8) Versiohistoria Versio Päivämäärä Kuvaus 1.0 30.10.2017 Dokumentti julkaistu. 1.01 15.12.2017
LisätiedotPalvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu
1 (5) Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu 1. Yleiskuvaus Kansallisarkiston lakisääteisenä tehtävänä on ottaa vastaan ja säilyttää viranomaisten pysyvästi säilytettävät
LisätiedotParik säätiön tietosuojaseloste
Parik säätiön tietosuojaseloste Sisällysluettelo 1. Rekisterin nimi... 2 2. Rekisterinpitäjä... 2 3. Rekisterin vastuuhenkilö... 2 4. Rekisteriasioita hoitava(t) henkilö(t)... 2 5. Rekisterin käyttötarkoitus...
LisätiedotVarmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke
Versio 1.0 Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke Varmennepalvelu Yleiskuvaus 2 (8) Versiohistoria Versio Päivämäärä Kuvaus 1.0 Dokumentti julkaistu. Varmennepalvelu Yleiskuvaus
LisätiedotEnigmail-opas. Asennus. Avainten hallinta. Avainparin luominen
Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen
LisätiedotJärjestelmänvalvontaopas
Järjestelmänvalvontaopas Medtronic MiniMed Northridge, CA 91325 USA 800 646 4633 (800-MiniMed) 818 576 5555 www.minimed.com Edustaja EU:n alueella Medtronic B.V. Earl Bakkenstraat 10 6422 PJ Heerlen Alankomaat
LisätiedotEU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.
Tietosuojaseloste Sivu 1 (4) Tietosuojaseloste EU:n yleisen tietosuojaasetuksen (679/2016) mukainen versio Rekisterinpitäjä Tili ja isännöinti Harri Nupponen Ytunnus: 12826942 osoite: Sammontie 7 as 8,
LisätiedotTIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,
TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22, 00160 Helsinki Sähköposti: kunto@katajanokankunto.fi Jäsen-,
LisätiedotViestintäviraston EPP-rajapinta
Viestintäviraston EPP-rajapinta EPP - Extensible Provisioning Protocol EPP on XML- pohjainen protokolla EPP:llä tarkoitetaan RFC-dokumenteissa määriteltyä tapaa liittyä rekisterin (registry) ylläpitäjän
LisätiedotWWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY
1 WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY 10.4.2015 Lounea Oy Tehdaskatu 6, 24100 Salo Puh. 029 707 00 Y-tunnus 0139471-8 www.lounea.fi Asiakaspalvelu 0800 303 00 Yrityspalvelu 0800 303 01 Myymälät 0800 303
LisätiedotTIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET
LisätiedotKäyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID http://fi.yourpdfguides.com/dref/2859496
Voit lukea suosituksia käyttäjän oppaista, teknisistä ohjeista tai asennusohjeista tuotteelle F-SECURE MOBILE SECURITY 6 FOR ANDROID. Löydät kysymyksiisi vastaukset F-SECURE MOBILE SECURITY 6 FOR ANDROID
LisätiedotRivarko Oy:n tietosuojakäytäntö Viimeksi päivitetty
1(5) Rivarko Oy:n tietosuojakäytäntö Viimeksi päivitetty 24.5.2018 Tämä tietosuojakäytäntö soveltuu Rivarko Oy:n asiakkaiden henkilötietojen käsittelyyn, ja siinä kuvataan keskeiset henkilötietojen käsittelyä
LisätiedotJärjestäjä järjestää kilpailun yhteistyössä GoGreenin/Lantmännen Cerealian kanssa (jäljempänä Yhteistyökumppani ).
Parempi ruoka syyskuun kilpailu Kilpailun nimi, paikka ja ajankohta: Parempi ruoka syyskuun arvonta, kilpailu 1.9.2014. 30.9.2014. Palkinto ja sen arvo:3 kpl smoothie-tuotepakettia, arvo noin 45 euroa
LisätiedotTietosuojapolitiikka. Tietosuojalainsäädäntö ja tietosuojasta huolehtiminen on keskeisessä osassa Taloinfo.com palvelun kehityksessä ja toiminnassa.
Tietosuojapolitiikka Tietosuojalainsäädäntö ja tietosuojasta huolehtiminen on keskeisessä osassa Taloinfo.com palvelun kehityksessä ja toiminnassa. Tietosuojapolitiikalla varmistamme ja viestimme käyttäjien
LisätiedotMATKUSTAJAREKISTERIÄ KOSKEVA REKISTERISELOSTE
MATKUSTAJAREKISTERIÄ KOSKEVA REKISTERISELOSTE Henkilötietotietolain 10 ja 24 :ien sekä majoitus- ja ravitsemustoiminnasta annetun lain 7 :n mukaisesti. 1. Rekisterinpitäjä Nimi: Pii Niemi Oy Puhelin: 02
LisätiedotMääräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005
1 (5) Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA Annettu Helsingissä 1 päivänä huhtikuuta 2005 Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003)
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotKangasalan Moottorikerhon tietosuojakäytännöt
Kangasalan Moottorikerhon tietosuojakäytännöt Kerhon nimi: Kangasalan Moottorikerho Ry (Yhdistysnumero 93.425) Osoite: c/o Nallekarhuntie 2 36100 Kangasala Kangasalan Moottorikerho (myöhemmin kerho tai
LisätiedotFi-verkkotunnus yksilöllinen ja suomalainen
Fi-verkkotunnus yksilöllinen ja suomalainen Fi-verkkotunnus yksilöllinen ja suomalainen 2 Fi-verkkotunnus on yhtä supisuomalainen asia kuin sauna ja joulupukki. Se on merkki turvallisuudesta ja luotettavuudesta.
LisätiedotLAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy
LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.
LisätiedotProsessiteekkarit ry:n tietosuojapolitiikka
Laatimis pvm. 12.05.2018 Prosessiteekkarit ry:n tietosuojapolitiikka Tämän dokumentin tarkoitus on välittää tieto Prosessiteekkarit ry:n (PT) tietosuojan periaatteista yhdistyksen jäsenille. Yhdistyksen
Lisätiedot1. Rekisteriselosteet
25.5.2018 1. Rekisteriselosteet 1.1. Henkilötietojen käyttö Oulun Remonttimylly Oy:n harjoittama korjausrakentamistoiminta sekä asuntokorjaukset edellyttävät henkilötietojen käsittelyä. Henkilötietojen
LisätiedotHELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012
HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotTIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe
TIETOSUOJASELOSTEET Lieksan Kehitys Oy LieKe TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjän tulee laatia jokaisesta eri henkilörekisteristä rekisteriseloste, joka on pidettävä
LisätiedotMerikarvian matkailu ry tietosuojaseloste
Merikarvian matkailu ry tietosuojaseloste 1. Rekisterinpitäjä Merikarvian Matkailu ry Postiosoite: Kauppatie 40 29900 Merikarvia Käyntiosoite: Kauppatie 40 29900 Merikarvia Rekisteri on vain Merikarvian
LisätiedotMääräys. 1 Soveltamisala
1 (7) Määräys TUNNISTUSPALVELUN TARJOAJIEN JA LAATUVARMENTEITA TARJOAVIEN VARMENTAJIEN TOIMINNAN LUOTETTAVUUS- JA TIETOTURVALLISUUSVAATIMUKSISTA Annettu Helsingissä 20 päivänä lokakuuta 2010 Viestintävirasto
LisätiedotPalvelukuvaus. ProCountor Allekirjoituspalvelu
Palvelukuvaus ProCountor Allekirjoituspalvelu Yleiskuvaus ProCountor Allekirjoituspalvelu on Signom Oy:n tuottama sähköisen allekirjoituksen palvelu, joka mahdollistaa PDF - tiedostojen allekirjoituksen
LisätiedotTIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki
TIETOSUOJASELOSTE KERADUR SERVICE OY 1. Rekisterinpitäjä Keradur Service Oy Y-tunnus: 2315098-4 Osoite: Kampinkuja 2, 00100 Helsinki 2. Yhteyshenkilö rekisteriä koskevissa asioissa Tietosuojavastaava:
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet
LisätiedotTietosuojaseloste. Trimedia Oy
Tietosuojaseloste Trimedia Oy www.trimedia.fi info@trimedia.fi +358 44 535 7215 1 Tietosuojaseloste 1. Rekisterin pitäjä Yritys valvoo antamiasi tietoja ja on vastuussa henkilötiedoista tietosuojalain
LisätiedotLeivontanurkan kaalikisa 2015
Leivontanurkan kaalikisa 2015 Kilpailun nimi, paikka ja ajankohta: Leivontanurkan kaalikisa 2015 - arvonta, kilpailu 1.9.2015. 18.10.2015. Palkinto ja sen arvo: Kaalikisaan reseptin lähettäneiden kesken
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet
LisätiedotIDA-tallennuspalvelun käyttölupahakemus
IDA-tallennuspalvelun käyttölupahakemus Uusi hakemus Käyttäjätietojen muutos Projektin vastuuhenkilön yhteystiedot: Etu- ja sukunimi: Mikäli sinulla ei ole HAKA-tunnusta, täytä seuraavat kentät: Projektin
LisätiedotKansallisen palveluväylän tekniset ratkaisut 1.12.2014. Eero Konttaniemi Petteri Kivimäki
Kansallisen palveluväylän tekniset ratkaisut 1.12.2014 Eero Konttaniemi Petteri Kivimäki Hankepäällikkö Järjestelmäpäällikkö Sisältö Yleisesittely X-Road versio 6 Tiedonsiirtoprotokolla Sovitinpalvelu
LisätiedotMuistio korkeakoulun rekisterissään ylläpitämien tietojen teknisestä tietojenkäsittelypalvelusta
Liite 1 Muistio korkeakoulun rekisterissään ylläpitämien tietojen teknisestä tietojenkäsittelypalvelusta 0) JOHDANTO - Korkeakoulujen valtakunnalliseen tietovarantoon (tietovaranto) tallennetaan lakisääteisesti
LisätiedotKuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen
case: pilvipalvelut 13.2.2014 KL-Kuntarekry Oy / Tuula Nurminen 1 11.2.2014 Pilvipalveluiden luokittelusta 1. Yksityinen pilvipalvelu, (Private cloud) Organisaation oma tai vuokrattu palvelu, jolloin resurssit
LisätiedotTampereen Aikidoseura Nozomi ry
Tietosuojaseloste. c/o Heidi Ihanamäki Petäjässuonkatu 4 B 28 33580 Tampere www.nozomi.fi Y-tunnus 1456802-7 Tietosuojaseloste Sisällysluettelo 1. Rekisterinpitäjä ja yhteyshenkilö... 1 2. Rekisteröidyt...
LisätiedotTietoturvatekniikka Ursula Holmström
Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus
LisätiedotMemeo Instant Backup Pikaopas. Vaihe 1: Luo oma, ilmainen Memeo-tili. Vaihe 2: Liitä tallennusväline tietokoneeseen
Johdanto Memeo Instant Backup on yksinkertainen varmuuskopiointiratkaisu monimutkaiseen digitaaliseen maailmaan. Memeo Instant Backup suojaa arvokkaat tietosi varmuuskopioimalla C-aseman tiedot automaattisesti
LisätiedotLihastautiliitto ry:n sopeutumisvalmennuskurssien ja lasten leirien asiakasrekisteri
REKISTERISELOSTE EU:n yleisen tietosuoja-asetuksen (EU 2016/679) mukainen rekisteriseloste päivitetty 05/2018 1 Rekisterin nimi Lihastautiliitto ry:n sopeutumisvalmennuskurssien ja lasten leirien asiakasrekisteri
LisätiedotPikaviestinnän tietoturva
Ongelmat, vaihtoehdot ja ratkaisut 4.5.2009 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta http://olli.jarva.fi/kandidaatintyo_ pikaviestinnan_tietoturva.pdf Mitä? Mitä?
LisätiedotGrillikuume Weber-kilpailu 2015
Grillikuume Weber-kilpailu 2015 Kilpailun nimi, paikka ja ajankohta: Grillikuume - Weber-kilpailu, 22.4.2015. 1.7.2015. Palkinto ja sen arvo: Viikkokilpailu 1: Weber-grillituotesetti, 105,5 euroa Viikkokilpailu
LisätiedotLyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto
Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotTietosuojaseloste. Tietojen kerääminen
Tietosuojaseloste Pyrimme ymmärtämään palveluidemme käyttäjien tarpeita ja sen vuoksi keräämme palveluidemme käyttäjiin liittyviä tietoja, kuten heidän käyttäytymisestään verkkopalvelussamme. Verkkopalvelu
LisätiedotVISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN
VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN TYÖASEMAN TURVAAMINEN ERI TAVOIN Omissa koneissani tärkeimmät tiedot ovat korvaamattomia Omat tiedostot: kuvat, videot, tekstit, opiskelutehtävien vastaukset.
LisätiedotVäestörekisterikeskuksen vaatimukset organisaation rekisteröijälle ja rekisteröintipisteelle varmennetoiminnassa
Väestörekisterikeskuksen vaatimukset organisaation rekisteröijälle ja rekisteröintipisteelle varmennetoiminnassa Sisällysluettelo 1 Yleistä... 3 2 Rekisteröijä... 3 3 Rekisteröintipiste... 4 4 Rekisteröintipisteen
LisätiedotSTT:n yleiset sopimusehdot 1.1.2010
YLEISET SOPIMUSEHDOT 1 (5) STT:n yleiset sopimusehdot 1. Käyttöoikeus 2. Käyttöehdot 1 Kappale päivitetty 1.1.2016 alkaen. Asiakkaalla on oikeus käyttää STT:n palvelua ja/tai siihen sisältyviä aineistoja
Lisätiedot.eu-verkkotunnusta koskevat WHOIS-toimintalinjat
.eu-verkkotunnusta koskevat WHOIS-toimintalinjat 1/7 MÄÄRITELMÄT Käsitteet, jotka on määritelty asiakirjoissa Sopimusehdot ja/tai.euriidanratkaisusäännöt, on kirjoitettu isolla alkukirjaimella tässä asiakirjassa.
LisätiedotSTORAGE IT Automaattinen varmuuskopiointipalvelu PALVELUKUVAUS
STORAGE IT Automaattinen varmuuskopiointipalvelu PALVELUKUVAUS 1. Palvelun yleiskuvaus Storage IT Automaattinen varmuuskopiontipalvelu on Storage IT Oy:n (jäljempänä Storage IT) asiakkailleen tarjoama
LisätiedotMS Aamubrunssi Aktiivihakemiston uutuudet
MS Aamubrunssi Aktiivihakemiston uutuudet 1 Agenda Uudenlainen salasanapolitiikka Useat salasanapolitiikat PSO Tapoja tehdä Demo Aktiivihakemiston auditoinnin parannukset Demo ReadOnly Domain Controller
LisätiedotTietosuojaseloste: Markkinointirekisteri
Tietosuojaseloste: Markkinointirekisteri EU:n yleinen tietosuoja-asetus (679/2016) Henkilötietolaki (523/1999) 10 ja 24 Päivitetty 18.05.2018 1. Rekisterinpitäjä Y-tunnus: 0784050-4 Seminaarinkatu 2, Intelli-rakennus,
LisätiedotSITO KAIKU PALVELUN KÄYTTÖEHDOT
SITO KAIKU PALVELUN KÄYTTÖEHDOT 1. YLEISTÄ Tervetuloa Sito-yhtiöiden (jäljempänä Sito ) Kaiku-palveluun (jäljempänä Palvelu ). Palvelun käyttöä koskevat seuraavat sopimusehdot (jäljempänä Sopimusehdot
LisätiedotAjankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille
Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille Hyvä verkkopalvelumme pääkäyttäjä, Kerromme tässä tiedotteessa ajankohtaisia ja tärkeitä asioita LähiTapiolan yritysten verkkopalveluun kirjautumisesta,
Lisätiedot1. päivä ip Windows 2003 Server ja vista (toteutus)
1. päivä ip Windows 2003 Server ja vista (toteutus) Olette pomosi kanssa tarkastaneet asiakkaan tekemän ja sinun korjaaman suunnitelman ja tehneet oman versionsa siitä. Noudata siis tätä tekemäänne uutta
LisätiedotAVAINTURVALLISUUSOHJE 2010
AVAINTURVALLISUUSOHJE 2010 Avainturvallisuus on tärkeä osa lukituksella aikaansaatua suojausta. Avainturvallisuus muodostuu avainhallinnasta ja säilytyksestä, valitusta avainturvallisuustasosta sekä avaimen
LisätiedotVisma Fivaldi -käsikirja Tehtävienhallinta- ohje käyttäjälle
Visma Fivaldi -käsikirja Tehtävienhallinta- ohje käyttäjälle 2 Sisällys 1 Palvelunhallinta... 3 1.1 Käyttäjäryhmän luominen... 3 2 Tehtävienhallinta- perustiedot... 4 2.1 Yhtiön perustiedot... 4 2.2 Tehtävä-/
Lisätiedot1 Rekisterinpitäjä. 2 Rekisterin nimi. 3 Henkilötiedon käsittelijä
1 Rekisterinpitäjä MUKSUNKIRJA palvelun saa käyttöönsä ainoastaan päiväkodin tai vastaavan toimijan tarjoamana. Tällöin kyseinen toimija toimii palvelun rekisterinpitäjänä. Rekisterinpitäjän selosteen
LisätiedotJärjestäjä järjestää kilpailun yhteistyössä Dr. Oetkerin kanssa (jäljempänä Yhteistyökumppani ).
Koko Suomi leipoo - Joulukakkukisa Kilpailun nimi, paikka ja ajankohta: Koko Suomi leipoo - Joulukakkukisa, kilpailu 10.11.2014. 7.12.2014. Palkinto ja sen arvo: Kilpailun pääpalkintona on 1 kpl OBH Nordica
LisätiedotHenkilöstöjohtaja Kirsi Jordan Yhteydenpyynnöt ja tiedustelut: Krista Selander (Business Partner, Recruitment), HR- Helpdesk, hrmail@digia.
REKISTERISELOSTE Henkilötietolain (523/99) 10 mukainen rekisteriseloste REKISTERINPITÄJÄ Digia Oyj Valimotie 21 00380 Helsinki REKISTERIN VASTUUHENKILÖ JA REKISTERIASIOITA HOITAVAT HENKILÖT Henkilöstöjohtaja
LisätiedotSALAUSMENETELMÄT. Osa 2. Etätehtävät
SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys
LisätiedotTietoturva 811168P 5 op
811168P 5 op 6. Oulun yliopisto Tietojenkäsittelytieteiden laitos Mitä se on? on viestin alkuperän luotettavaa todentamista; ja eheyden tarkastamista. Viestin eheydellä tarkoitetaan sitä, että se ei ole
LisätiedotTIETOSUOJASELOSTE Julkaistu
TIETOSUOJASELOSTE Julkaistu 25.5.2018 Henkilötietolain (523/1999) 10 :n sekä EU:n tietosuojauudistuksen mukainen tietosuojaseloste. 1. REKISTERINPITÄJÄ Sukuposti.net 2. YHTEYSHENKILÖ Terhi Piispa-Helisten
LisätiedotLyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto
Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun
Lisätiedotv4.0 Palvelukuvaus 1.11.2014
v4.0 Palvelukuvaus 1.11.2014 - 2-5 Internetsivustopaketti nettihelmi nettihelmi on Avaimet käteen Internetsivusto ratkaisu. Palvelu sisältää laadukkaan graafisen ulkoasun nettihelmi perussivupohjaan ja
Lisätiedot4. Henkilötietojen käsittelyn tarkoitus ja peruste
Northern Lights Ry:n jäsen- ja yhteistyökumppanirekisterin tietosuojaseloste Laatimispäivä: 27.01.2019 1. Rekisterinpitäjä Northern Lights Ry Y-Tunnus: 0829302-0 puheenjohtaja@northernlights.fi 2. Rekisteriasioiden
LisätiedotAineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille
TraFin ulkoinen integraatio Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille Ohje 26.2.2014 Versio 1.1, Hyväksytty Luottamuksellinen Vastuutaho Trafi MUUTOSHISTORIA Versio Päiväys
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
Lisätiedot1. Henkilötietojen käsittely
1. Henkilötietojen käsittely 1.1 Mitä henkilötietoja keräämme? Keräämme näitä tietoja Nimi Puhelinnumero Sähköpostiosoite CV 1.2. Mistä henkilötietoja saamme? Henkilötiedot saamme pääasiassa verkkosivustomme
LisätiedotREKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY
REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERIN PITÄJÄ 3.POTILASREKISTERIN VASTUUHENKILÖT 4.REKISTERIASIOITA HOITAVAT HENKILÖT 5.REKISTERIN
LisätiedotTietosuojaseloste Codeo Oy:n henkilötietojen käsittelystä
25.5.2018 Tietosuojaseloste :n henkilötietojen käsittelystä toimii yritysasiakkaiden kanssa ja käsittelee myös työnhakijoidensa henkilötietoja. Codeo käsittelee henkilötietoja huolellisesti ja turvallisesti.
LisätiedotLiittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös
Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Tilinhoitajille Selvitysosapuolille Liikkeeseenlaskijan asiamiehille Sääntöviite: 1.5.9, 5)
LisätiedotEnmac Oy:n markkinointirekisterin tietosuojaseloste
Enmac Oy:n markkinointirekisterin tietosuojaseloste 24.5.2018 Enmac Oy:n markkinointirekisterin tietosuojaseloste Päivitetty 24.5.2018 Enmac kerää markkinointirekisteriinsä tietoja henkilöistä asiakassuhteiden
LisätiedotMääräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.
1 (6) Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA Annettu Helsingissä 1 päivänä huhtikuuta 2005 Viestintävirasto on
LisätiedotHenkilörekisteriseloste/tietosuojaseloste Henkilötietolaki (523/1999) 10 ja 24 Laatimispvm: , päivitetty
Henkilörekisteriseloste/tietosuojaseloste Henkilötietolaki (523/1999) 10 ja 24 Laatimispvm: 17.12.2013, päivitetty 26.4.2017 1. Rekisterin nimi Optima verkko-oppimisympäristö 2. Rekisterinpitäjä Jyväskylän
LisätiedotInnoflame Oy:n verkkokauppatietosuojaseloste
Innoflame Oy:n verkkokauppatietosuojaseloste Tietosuoja ja henkilötietojen käsittely Innoflame Tietosuoja Innoflame Oy:n toiminnassa Oy:ssä Niin asiakkaiden kuin henkilökunnan yksityisyys on hyvin tärkeää
LisätiedotSOS-LAPSIKYLÄN YRITYS- JA YHTEISTYÖKUMPPANIREKISTERIN TIETOSUOJASELOSTE
SOS-LAPSIKYLÄN YRITYS- JA YHTEISTYÖKUMPPANIREKISTERIN TIETOSUOJASELOSTE Rekisterinpitäjä SOS-lapsikyläsäätiö sr Kumpulantie 3, 00520 Helsinki Puh.(09)5404880 Fax (09) 5404 8811 info@sos-lapsikyla.fi Y-tunnus
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotTietosuojapolitiikka. Arter Oy. Tietosuojaryhmä Arter Oy. Valimotie Helsinki
Tietosuojapolitiikka Tietosuojaryhmä Tietosuojapolitiikka 1(6) Sisällys 1 TIETOSUOJAPOLITIIKKA... 2 1.1 Toimintaperiaatteemme... 2 1.2 Avoimuus rekisteröityjä kohtaan... 2 2 TIETOTURVA... 3 3 TIETOJEN
LisätiedotTietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)
Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016) Palvelun / rekisterin nimi: Liperin kunnan kiinteistöjen tallentava kamera-
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotKoulun ylläpitäjänä toimii Oulunkylän yhteiskoulun kannatusyhdistys Ry (Y-tunnus: )
Tietosuojaselosteessa selvitetään EU:n tietosuoja-asetuksen sekä muun Suomen lain edellyttämät tiedot Oulunkylän yhteiskoulun (lukio ja perusopetus) ylläpitämien henkilörekisterien osalta. Tämän asiakirjan
LisätiedotKäyttöönottosuunnitelma Virtu-kotiorganisaatiolle
Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotTIETOSUOJASELOSTE. 1. Rekisterinpitäjä. Pro-Stories Oy
TIETOSUOJASELOSTE 1. Rekisterinpitäjä Y-tunnus 2298585-9 +358 40 4510757 Sähköposti: info@pro-stories.fi 2. Yhteyshenkilö rekisteriä koskevissa asioissa Taru Uhrman taru.uhrman@pro-stories.fi 3. Rekisterin
LisätiedotVerkkopalkan palvelukuvaus
27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun
LisätiedotSonera CA. Varmennepolitiikka Sonera Class 1 -varmenne. Voimassa 2.12.2008 lähtien Versio 2.5
1 (41) 2.12.2008 Sonera CA Varmennepolitiikka Sonera Class 1 -varmenne Voimassa 2.12.2008 lähtien Versio 2.5 Varmennepolitiikan OID-tunnus: 1.3.6.1.4.1.271.2.3.1.1.1 Korkean luotettavuustason varmenteet
LisätiedotTIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotSeloste käsittelytoimista Karateliitto.fi-sivusto
Seloste käsittelytoimista Karateliitto.fi-sivusto Rekisterin pitäjä Suomen Karateliitto ry Valimotie 10, 00380 Helsinki Yhteyshenkilö rekisteriä koskevissa asioissa Toimitusjohtaja Seppo Yrtti Valimotie
Lisätiedot