Tietosuoja sovelluskehityksessä. Pyry Heikkinen

Samankaltaiset tiedostot
Oletusarvoinen ja sisäänrakennettu tietosuoja. Pyry Heikkinen

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Tietosuoja-asetus (GDPR)

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietoturva yhdistyksessä

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

EU:n tietosuoja-asetus (GDPR)

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Teknologia avusteiset palvelutverkostopalaveri

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

EU TIETOSUOJA- ASETUS

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

1 Tietosuojapolitiikka

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Ajankohtaista tietosuoja-asetuksesta

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetus Matti Sarmela

IF-INFO MEKLAREILLE

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n tietosuoja-asetus (GDPR)

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

GDPR Tietosuoja-asetus

Asiakaskokemus ja käyttäjäturvallisuus sovelluskehityksen keskiössä

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

INHUNT LAW OY:N TIETOSUOJAILMOITUS

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

YKSITYISYYDEN SUOJA TYÖSUHTEESSA

YKSITYISYYDEN SUOJA TYÖSUHTEESSA

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

NORDIC SALES CREW OY:N TIETOSUOJAILMOITUS

Tietosuojavaltuutetun toimiston tietoisku

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Miten tietoturvallisuus ja tietosuoja saadaan palveluihin sisäänrakennetuksi? Pyry Heikkinen

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

EU:n tietosuoja-asetus (2016/679)

EU:n uusi tietosuoja-asetus

Tech Conference Office 365 tietoturvan heikoin #TechConfFI

Eu:n uusi tietosuojaasetus

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuojatehtävät. Järvenpään kaupungissa

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Mikä GDPR? General Data Protection Regulation

EU:n tietosuoja-asetus (GDPR)

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

TIETOSUOJA SÄÄDÖKSISSÄ

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Attendo Finland Oy (ja sen konserniyhtiöt) YLEINEN TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuojauudistus - Välityömarkkinat. Sanni Harju

Kolarin kunnan tietosuojapolitiikka

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

EU:n tietosuoja-asetus 2016

Informaatiovelvoite ja tietosuojaperiaate

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

T E R H O N E V A S A L O

Tietosuojalainsäädännön uudistus

Opetusalan Ammattijärjestö OAJ. Tietosuojakoulutus AKOL

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

EU:N TIETOSUOJA- ASETUS JA SEN VAIKUTUS REKISTERÖITYNEELLE

Tietosuojaseloste 1 (6)

GDPR. Timo Kokkonen Webinaari

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Pilvipalvelut ja henkilötiedot

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

Transkriptio:

Tietosuoja sovelluskehityksessä Pyry Heikkinen

Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyyden suoja Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified Pyry Heikkinen 2

Arkkitehtuurin tarjoamat palvelut Prosessi ja malli Arkkitehtuurin mukaiset toteutustavat Pyry Heikkinen 3

Tietoturva OWASP Frameworkit ja kirjastot Uhkamallinnus Ei-Toiminnalliset vaatimukset Tietosuoja-asetus Toiminnalliset vaatimukset Oletusarvoinen ja sisäänrakennettu tietosuoja UX (Privacy by default/design) Laki sähköisen viestinnän palveluista (eprivacy) 24. luku Vaikutusanalyysi / Riskianalyysi / Uhkamallinnus PET Pyry Heikkinen 4

Pyry Heikkinen 5

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus ja tietojen minimointi Eheys ja luottamuksellisuus sekä täsmällisyys Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Säilytyksen rajoittaminen Perusperiaate Henkilö omistaa tietonsa ja päättää näiden käsittelystä Tiedot ja lupa Lain vaatimukset suojelevat henkilön oikeuksia ja vapauksia Käyttö Keräys/luonti Siirto/luovutus Poisto Suostumus Sopimus Lakisääteinen velvoite Oikeutettu etu Ilmoittaminen (ml. muualta saadut tiedot) Henkilön elintärkeä etu Yleinen etu tai julkisen vallan käyttö Tietojen oikaiseminen Pääsy tietoihin ja oikeus saada jäljennös Käsittelyn keskeytys Tiedotusvelvollisuus vastaanottajille Tietojen siirto toiseen palveluun Tiedotusvelvollisuus vastaanottajille Tietojen poisto ( oikeus tulla unohdetuksi ) Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi Käsittelyn vastustaminen Pyry Heikkinen 6

Käyttöliittymäsuunnittelu == tärkeää! Oletusarvoinen tietosuoja Tietoisuus Suostumus Pyry Heikkinen 7

Henkilötietojen käsittelyä koskevat periaatteet 1/2 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Tiedon keräys (ml. analytiikka), sovellusoikeudet, suostumus ja käyttökokemus (UX). Käyttötarkoitussidonnaisuus Tiedon uudelleenkäyttö esim. sovelluskehityksessä ja testauksessa. Tietojen minimointi Tiedon keräyksen minimointi, tiedon laventaminen, käyttöoikeudet ja roolit. Pyry Heikkinen 8

Henkilötietojen käsittelyä koskevat periaatteet 2/2 Täsmällisyys Tietojen päivitettävyys (huom. avaimet ), ulkoiset palvelut (esim. VTJ), käyttökokemus (UX). Säilytyksen rajoittaminen Tietojen poisto ja hallinta, tiedon anonymisointi ja pseudonymisointi. Eheys ja luottamuksellisuus Sovelluksen turvallisuus, lokit ja korkean saatavuuden ratkaisut. Pyry Heikkinen 9

Lokit ja kirjausketjut Riskiarviot ja vaikutusarviot Selosteet tietojen käsittelystä Osoitusvelvollisuus edellisten periaatteiden toteutumisesta Metatiedot Dokumentointi Suunnitelmat, ohjeet ja sopimukset Päätökset tietojen käsittelystä Tieto Auditointiraportit Suostumus Pyry Heikkinen 10

Rekisteröidyn oikeudet 1/3 Läpinäkyvä informointi, viestintä ja oikeudet Käyttökokemus (UX), palvelut oikeuksien toteutusta varten (esim. itsepalvelut) Ilmoittaminen (tiedot suoraan tai muualta) Käyttökokemus (UX), automatisoidut viestintäpalvelut. Pääsy tietoihin Itsepalvelu tai palvelu virkailijalle, henkilön tunnistaminen, tietojen haku, exporttaus ja toimitus. Pyry Heikkinen 11

Rekisteröidyn oikeudet 2/3 Oikeus tietojen oikaisemiseen Tietojen päivitettävyys (huom. avaimet ), käyttökokemus (UX), palvelu päivittämiseen. Oikeus käsittelyn rajoittamiseen Tapa passivoida tiedot esim. käyttöoikeuksien poisto rooleilta (admin-toiminnallisuus). Oikeus tietojen poistoon ( tulla unohdetuksi ) Tapa poistaa suostumus ja tähän perustuvat tiedot esim. itsepalvelu. Pyry Heikkinen 12

Rekisteröidyn oikeudet 3/3 Ilmoitusvelvollisuus (vastaanottajille) Automatisointi (rajapinnat sidosjärjestelmin tai viestit sidosryhmille). Oikeus siirtää tiedot järjestelmästä toiseen Käyttökokemus (UX), palvelu tietojen lataamiseen, automatisointi rajapintojen kautta. Vastustamisoikeus ja automatisoidut yksittäispäätökset Tapa passivoida ja tarvittaessa poistaa tiedot. Ei puhtaasti algoritmeihin perustuvia päätöksiä. Pyry Heikkinen 13

Suostumus == haastavaa UX Poisveto Kirjaus Poisto Pyry Heikkinen 14

Riskilähtöiset hallinnolliset ja tekniset keinot Riskilähtöiset hallinnolliset ja tekniset suojaukset Sopimusvaatimukset lain toteuttamiselle Siirto ja käyttö vain asetuksen menettelyillä Itsenäinen asema ja vahvat valtuudet Perusperiaate Oletusarvoinen tietosuoja, eli tietosuojaperiaatteet ja keinot käytössä alusta saakka Osoitusvelvollisuus, että asetuksen vaatimukset täyttyvät Korvausoikeus Käsittelyselosteet Siirto 3. maihin Tietosuojan vaikutusarvio Kontaktipiste ASAP Tietosuojavastaava Ilmoitus tietosuojaloukkauksesta Valinta + Sopimus Ohjeet Käsittelyselosteet Turvalliset Lakiperuste maat BCR Konsultaatio, jos korkean riskin käsittelyä Jos riskiä rekisteröidyille (72 h) Privacy Käsittely vain shield, coc, sovitun mukaan sertifioinnit Käsittelijä Rekisterinpitäjä Kolmannet maat Valvontaviranomainen Toimintavaltuudet Neuvontavaltuudet Sertifioinnit ja käytännesäännöt Yhteistyö, avustaminen ja ilmoittaminen Malli- Ilmoitus sopimus- lausekkeet tietosuojaloukkauksesta Erityistilanteet Tutkintavaltuudet Sakot ja sanktiot Pyry Heikkinen 15

PRIVACY BY DEFAULT / DESIGN Pyry Heikkinen 16

Privacy by default (eli tietosuojalasit päähän) Keräys Ikä Suostumus Informointi Sijainti Haku Identifiointi Anonymisointi Kuvien metadata Pyry Heikkinen 17

EPRIVACY (ANALYTIIKKA JA SÄHKÖINEN MARKKINOINTI) Pyry Heikkinen 18

Web-Analytiikka (eli keksit, pikselit, et al.) Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. (window, document, 'script', '//www.googleanalytics.com/analytics.js', 'ga'); ga('create', 'UA-2453415-1', 'auto'); <!-- BEGIN Snoobi v1.4 --> <script type="text/javascript" src="//eu1.snoobi.com/snoop.php?tili=xxxx_fi"></script> <!-- END Snoobi v1.4 --> <img border=0 width=1 height=1 id="_x0000_i1076" src="http://stat.emaileri.fi/st.php?p=602355809;13353089;4852;1566;3"> Pyry Heikkinen 19

SOVELLUSTIETOTURVA Pyry Heikkinen 20

OWASP ASVS Architecture, design and threat modelling Authentication Session management Access control Malicious input handling Cryptography at rest Error handling and logging Data protection Communications security HTTP security configuration Malicious controls Business logic Files and resources Mobile Web services Configuration internet of things (iot) Pyry Heikkinen 21

OWASP Top 10 Injection Broken Authentication Sensitive Data Exposure XML External Entities (XXE) Broken Access Control Security Misconfiguration Cross-Site Scripting (XSS) Insecure Deserialization Using Components with Known Vulnerabilities Insufficient Logging&Monitoring Pyry Heikkinen 22

UHKAMALLINNUS Pyry Heikkinen 23

https://distrinet.cs.kuleuven.be/software/linddun/contributors.php LINDDUN-uhkamalli Linkitettävyys Tunnistettavuus Kiistämättömyys Havaittavuus Paljastuminen Tiedostamattomuus Lain/sopimusten rikkominen Tiedot voidaan yhdistää tiettyyn henkilöön (ei välttämättä tunnistettuun), tiettyyn tapahtumaan, transaktioon, jne. Henkilö voidaan tunnistaa (suoraan tai epäsuorasti) tai tunnistettu henkilö voidaan linkittää tiettyyn tietoon. Henkilö ei voi kiistää tekojaan (silloin kun tämä ei ole toivottavaa). Esim. anonyymit ilmoitus- ja vihjekanavat. Voidaan päätellä onko joku (henkilö)tieto olemassa, vaikka itse tietoon ei ole suoraan mahdollista päästä (esim. hakunäkymät) Henkilötiedon luvaton paljastuminen tai vuotaminen. Henkilö ei tiedon jakamisen seurauksia, ts. ei tiedä miten tietoa käsitellään, luovutetaan eteenpäin, jne. Henkilön tietoja käsitellään lain, suostumuksen tai organisaation periaatteiden vastaisesti. Pyry Heikkinen 24

TESTAUS JA TESTIDATA Pyry Heikkinen 25

Tuotantodata Riskilähtöisesti Maskattu tai minimoitu data Pseudonymisoitu data Generoitu data Minimointi ja rajaus Muista Tietosuojaselosteet Pyry Heikkinen 26

PÄÄSY TUOTANTODATAAN JA/TAI LOKEILLE Pyry Heikkinen 27

Transaktiot ja sanomat? 3. Asteen tuki ja pääsy tuotantoon? Muista Tietojenkäsittelysopimus Katastrofitilanteet Henkilötietoa lokeilla? Pyry Heikkinen 28

PIILOTETUT PILVIPALVELUT JA KOLMANNET MAAT Pyry Heikkinen 29

Pilvipohjaiset kollaboraatio- ja viestintäpalvelut Tuotantosovelluksen ajo pilvessä Pilvipohjaiset kehityspalvelut ja työkalut Muista Siirtomenettelyt (3. maat) Pyry Heikkinen 30

Kiitos! Ikonit: Open Security Architecture http://www.opensecurityarchitecture.org Kuvat: Tulli, unsplash.com, pixabay.com Pyry Heikkinen 31

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute