Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Samankaltaiset tiedostot
Tunnistus- ja luottamuspalveluiden arviointikertomukset

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Määräys sähköisistä tunnistus- ja luottamuspalveluista

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Tietojärjestelmien valvonnan ajankohtaiset asiat

Tunnistus- ja luottamuspalveluiden ilmoitukset

Riippumattomat arviointilaitokset

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Määräykset ja ohjeet 11/2014

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Määräys 3/ (5) Dnro 2028/03.00/

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

OP Tunnistuksen välityspalvelu

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

OMA SÄÄSTÖPANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

Kansallinen ASPAtietojärjestelmä

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

SELVITYS TIETOJEN SUOJAUKSESTA

Päätös toiminnanharjoittajan kestävyysjärjestelmän muuttamisesta

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Vastinepyyntö. Dnro 694/452/17. Lauri. Liitteet

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Telia Tunnistus - Palvelukuvaus

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Tietosuojaseloste KasvaNet -oppimisympäristö

Valtioneuvoston asetus

Sikalan laajentamista koskeva ympäristölupahakemus, Somero.

Miten terveydenhuollon laitteiden turvallisuutta arvioidaan ja valvotaan?

Miten terveydenhuollon laitteiden turvallisuutta arvioidaan ja valvotaan?

Sähköi sen pal l tietototurvatason arviointi

Marja Kuhmonen Sosiaalihuollon ylitarkastaja. Itä-Suomen aluehallintovirasto Peruspalvelut, oikeusturva ja luvat -vastuualue

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

Jätevesilietteen mädätyslaitos Topinojan lietteenkäsittelyalue Pitkäsaarenkuja, Turku

Virtu tietoturvallisuus. Virtu seminaari

Määräyksen 72 perustelut ja soveltaminen. Sähköinen tunnistaminen ja sähköiset luottamuspalvelut

Määräys. 1 Soveltamisala

Laki. eurooppalaisesta tilivarojen turvaamismääräysmenettelystä. Soveltamisala

Vaatimukseen on liitettävä asiakirjat, joihin vaatimuksen tekijä vetoaa, jolleivät ne jo ole hankintayksikön hallussa.

Auditoinnit ja sertifioinnit

Kertausta lähtökohtiin liittyen

Pilvipalveluiden arvioinnin haasteet

Määräykset ja ohjeet 4/2014

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö

Turvallisuus- ja kemikaalivirasto (Tukes) Katri sihvola EU:n henkilönsuojainasetus. Talouden toimijoiden vastuut ja velvollisuudet

Sikalan perustamista koskeva ympäristölupahakemus, Rusko.

Kestävyystodentamisen kehittämisestä. Nora Kankaanrinta, Kestävyysasiantuntija Energiavirasto Todentajapäivä

Laki. muutetaan luottolaitostoiminnasta 30 päivänä joulukuuta 1993 annetun lain (1607/93)

ASIA LUVAN HAKIJA. Nro 106/11/1 Dnro PSAVI/76/04.08/2011 Annettu julkipanon jälkeen

Määräys 4/2010 1/(6) Dnro 6579/03.00/ Terveydenhuollon laitteesta ja tarvikkeesta tehtävä ammattimaisen käyttäjän vaaratilanneilmoitus

Vesihuoltolain ja ympäristönsuojelulain päällekkäisyydet sekä varautuminen häiriötilanteisiin ja raportointi

Määräykset ja ohjeet x/2014

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

MPS 7 MÄÄRÄYKSEN 7 PERUSTELUT JA SOVELTAMINEN

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A49 /7101/2013

Ajankohtaista biopolttoaineiden kestävyyskriteereissä

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Lippu-käytännesääntötyöpaja vastuu matkustajalle - liikkumispalveluverkoston toimijoiden keskinäiset vastuut

Ajankohtaista tiedonantovelvollisuudesta

Standardi RA4.7. Rahoitusriskin ilmoittaminen. Määräykset ja ohjeet

A-moduulissa säädettyjen vaatimusten lisäksi sovelletaan alla olevia säännöksiä. Valmista-

JUHTA Kansallinen palveluarkkitehtuuri. JulkICT-toiminto Yksikön päällikkö Riku Jylhänkangas

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Kunta ja aluehallintovirasto yksityisten sosiaalipalvelujen valvojina Lupaviranomaisten yhteistyö ja velvoitteet

ASIA LUVAN HAKIJA. LUPAPÄÄTÖS Nro 94/10/1 Dnro PSAVI/243/04.08/2010 Annettu julkipanon jälkeen

Rekisteröinti ja ilmoitusmenettelyt. Ympäristönsuojelulaki uudistuu Syksyn 2014 koulutukset Hallitussihteeri Jaana Junnila Ympäristöministeriö

Tietosuojaseloste Espoon kaupunki

Yhteentoimivuus ja tiedonhallintalaki

Työttömyyskassat, Vakuutuslaitokset ja näiden ATK palvelukeskukset sekä Kansaneläkelaitos Diaarinumero A36/7101/2014

OMAVALVONTASUUNNITELMA

Uusi sähköturvallisuuslaki

Päätös toiminnanharjoittajan kestävyysjärjestelmän muuttamisesta

Määräykset ja ohjeet 5/2014

Tunnistusmääräyksen 72A Tupas-muutos. 2. kuulemistilaisuus

Transkriptio:

Muistio 1 (5) Dnro: 12.12.2018 1003/620/2018 Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden arvioinnista v. 2019 1 Tausta 1.1 Tämän tulkintamuistion luonne 1.2 Säännökset Viestintävirasto on koonnut tähän muistioon neuvontaa tunnistuspalveluiden arviointivaatimusten soveltamiseen liittyvistä kysymyksistä. Neuvonta on laadittu yleisellä tasolla. Viestintävirasto valvoo oma-aloitteisesti kaikkien tunnistuspalvelun arviointia koskevien vaatimusten täyttämistä kohtien 2.1. ja 2.2. linjausten mukaisesti. Viestintävirasto voi täydentää tätä muistiota tarvittaessa. Tunnistuspalvelun tarjoajan vastuulla on huolehtia tunnistuspalvelun tietoturvallisuuden hallinnasta ja huomioida asianmukaisesti omaan palveluunsa liittyvät riskit ja uhkat. Jos Viestintävirasto joutuu tekemään palveluntarjoajakohtaisia valvontapäätöksiä, niissä huomioidaan tapauskohtaiset tosiseikat ja säädetyt vaatimukset. Tunnistus- ja luottamuspalvelulain 29 :ssä säädetään vahvan sähköisen tunnistuspalvelun tarjoajan velvollisuudesta teettää määräajoin palvelulleen 28 :ssä mainitun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset. Auditoinnin tarkoituksena on arvioida sitä, miten tunnistamispalvelu ja yrityksen toiminta vastaa sille asetettuja vaatimuksia. Viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 :ssä. Viestintäviraston määräyksen 72A/2018 M 15 :ssä tarkennetaan vaatimusalueet, joiden täytyy sisältyä riippumattomaan arviointiin. Määräyksen 16 :ssä tarkennetaan vaatimusalueet, joista tunnistuspalveluntarjoaja voi esittää oman selvityksen. Tunnistuspalvelun tarkastuskertomus on voimassa tunnistuslain 31 :n mukaan voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta. Tunnistuslain mainitut säännökset tulivat voimaan 1.7.2016 ja lain siirtymäsäännöksen mukaan tarkastuskertomus tuli toimittaa Viestintävirastolle viimeistään 31 päivänä tammikuuta 2017. Tunnistuslain 10 :n mukaan tunnistuspalvelun aloitusilmoituksessa on oltava vaatimustenmukaisuuden arviointilaitoksen, muun ulkoisen arviointi-

2 (5) laitoksen taikka sisäisen tarkastuslaitoksen laatima tarkastuskertomus riippumattomasta arvioinnista 29 :n mukaisesti ja ilmoitetuissa tiedoissa tapahtuneista muutoksista on ilmoitettava viipymättä kirjallisesti Viestintävirastolle. Viestintävirasto on laatinut ohjeet 211/2016 arvioinnin mallikriteeristöstä ja 215/2016 tarkastuskertomuksesta. Ohjeiden päivitys- ja täydennystyö on käynnistetty 28.11.2018. 1.3 Tammikuussa 2017 toimitettujen tarkastuskertomusten käsittely Viestintävirasto sai määräaikaan mennessä tammikuussa 2017 tarkastuskertomukset kaikilta vahvan sähköisen tunnistuspalvelun tarjoajilta, jotka olivat tunnistuslain 12 :n mukaisessa jo rekisterissä ennen lain muutosten voimaan tuloa. Kaikkiin tarkastuskertomuksiin on pyydetty täydennyksiä, osaan kaksi kertaa. Lisäksi osa tunnistuspalvelun tarjoajista on toimittanut ilmoituksia muutoksista ja toimittanut niihin liittyviä tarkastuskertomuksia. Viestintävirasto teki heinäkuussa 2017 ensimmäisen väliarvion kaikista tarkastuskertomuksista siltä osin, että huolimatta joistain puutteista tiedoissa tai toteutuksissa, lähes kaikkien vahvan sähköisen tunnistuksen palveluiden varmuustaso merkittiin lain 12 :n mukaiseen rekisteriin. Väestörekisterikeskuksen tunnistusvarmenteista rekisteriin merkittiin kansalais- ja organisaatiovarmenne ja muiden osalta käsittely on kesken. 1.4 Muina ajankohtina tehdyt ilmoitukset ja toimitetut tarkastuskertomukset Edellisessä kohdassa mainittujen lisäksi Viestintävirastoon on tullut ilmoituksia ja tarkastuskertomuksia uusilta tunnistuspalvelun tarjoajilta. Nämä tarkastuskertomukset on kaikilta olennaisilta osin vaadittu täydennettäväksi ennen kuin tunnistuspalvelu on merkitty rekisteriin. 2 Kysymykset ja Viestintävirasto neuvot ja linjaukset 2.1 Milloin tammikuussa 2017 tarkastuskertomuksen toimittaneiden tunnistuspalveluntarjoajien täytyy toimittaa uusi tarkastuskertomus Lain mukaan tarkastuskertomus on voimassa enintään kaksi vuotta. Ohjeessa 215/2016 Viestintävirasto on ohjeistanut, että tarkastuskertomus on toimitettava viimeistään kahden vuoden kuluttua edellisen tarkastuskertomuksen hyväksymisestä. Koska tarkastuskertomuksiin on jouduttu pyytämään täydennyksiä ja niiden arviointi on Viestintävirastolla edelleen kesken, ajankohta, josta kaksi vuotta lasketaan, on tulkinnanvarainen. Viestintävirasto on todennut tunnistuspalvelun tarjoajille ennakkotietona selvittävänsä kahta tulkintavaihtoehtoa siitä, milloin tarkastuskertomus voidaan katsoa hyväksytyksi:

3 (5) Ennestään rekisterissä olleen tunnistuspalvelun varmuustason rekisteröinti (joka tehtiin siis vanhoilla palveluilla pääsääntöisesti heinäkuussa 2017) tai ajankohta, jolloin yksittäiseltä tunnistuspalvelun tarjoajalta on saatu tarkastuskertomukseen kaikki tarvittavat täydennykset. Aikaisin mahdollinen ajankohta olisi siis heinäkuu 2019 ja myöhäisemmät palveluntarjoajakohtaisesti pääsääntöisesti vuoden 2020 puolella, koska vireillä on edelleen paljon täydennyspyyntöjä. Viestintävirasto ei siis katso, että uudet tarkastuskertomukset olisi toimitettava tammikuussa 2019 eli kahden vuoden kuluessa laissa säädetystä ensimmäisen tarkastuskertomuksen toimittamisen määräajasta. Viestintävirasto ottaa tulkinnassa huomioon lain ja sen perustelujen lisäksi sen, että arviointien käsittely Viestintävirastossa on viivästynyt ja että arvioinnin ohjeistusta ollaan päivittämässä 2018 2019. Uusien arviointien tekemistä tukeva ohjeistus ei siten ole kaikilta osin käytettävissä vielä alkuvuonna 2019. Edelleen Viestintävirasto huomioi sen, että käsittelyruuhkan vuoksi tunnistuspalvelun tarjoajat eivät ole pystyneet itse täysin vaikuttamaan siihen, milloin Viestintävirasto saa valmiiksi arvionsa vaatimustenmukaisuuden tarkastuskertomuksen riittävyydestä. Viestintävirasto kiinnittää huomiota siihen, että kun tammikuussa 2017 toimitetut arvioinnit on monelta osin tehty loppuvuonna 2016, tietoturvallisuuden uhkat ja riskit ovat muuttuneet eikä uutta arviointia ole syytä viivyttää tarpeettomasti. Viestintävirasto toteaa neuvontana seuraavaa: Kaikille määritellään tasapuolisesti sama aikataulu, jossa Viestintävirasto valvoo tarkastuskertomusten toimittamista. Ellei arviointien tekemistä tai hankintaa ole vielä käynnistetty, se tulisi käynnistää vuoden 2019 alkupuolella heti, kun tunnistuspalvelulla on riittävät tiedot arvioinnin vaatimuksista. (Ks. tarkemmin seuraava kohta). Tarkastuskertomukset täytyy toimittaa viipymättä, kun ne valmistuvat. Tarkastuskertomukset täytyy viimeistään toimittaa vuoden 2019 loppuun mennessä. 2.2 Milloin vuonna 2017 tai myöhemmin rekisteriin merkittyjen tunnistuspalveluntarjoajien täytyy toimittaa uusi tarkastuskertomus Uusi tarkastuskertomus täytyy toimittaa kahden vuoden kuluessa siitä, kun uusi tunnistuspalveluntarjoaja on merkitty tunnistuslain 12 :n mukaiseen Viestintäviraston rekisteriin. 2.3 Miten kattava kahden vuoden välien tehtävän uusinta-arvioinnin on oltava Viestintävirasto toteaa neuvontana seuraavaa: 1. Ennestään rekisterissä olevan tunnistuspalvelun toimintaa ei tarvitse arvioida kokonaisuudessaan uudelleen

4 (5) 2. Arvioinnissa on huomioitava ne seikat, joiden osalta Viestintävirasto on pyytänyt yritys/yhteisökohtaisesti täydennyksiä tai todennut täydennyspyynnöissä, että jatkossa arvioinnin tai tarkastuskertomuksen täytyy olla tarkempi tai kattavampi. 3. Arvioinnissa on huomioitava muutokset, mikäli niistä ei ole jo toimitettu Viestintävirastolle muutosilmoitusta ja tarkastuskertomusta 4. Tietoturvallisuuden hallinnan osalta riittää, että arvioidaan se, että tunnistuspalvelun vaatimukset (TunnL, eidas LOA-asetus ja Viestintäviraston määräys) on huomioitu hallintajärjestelmässä. 5. Häiriönhallinnan arvioinnissa on huomioitava tunnistuspalvelun kyky ja valmius havainnoida häiriöitä ja raportoida ne tarvittaessa. Viestintävirasto saa verraten vähän häiriöilmoituksia ja pitää tarpeellisena kiinnittää huomiota tunnistuspalveluiden häiriönhallintaan. 6. Tarkastuskertomukseen täytyy liittää tunnistusjärjestelmän kokonaisarkkitehtuurista kuva, kaavio tai muu selkeä esitys. Arkkitehtuuriselvityksen ja tarkastuskertomuksen perusteella on voitava varmistua siitä, että kaikki relevantit järjestelmän turvallisuuteen vaikuttavat tekijät on huomioitu arvioinnissa ja että järjestelmän arkkitehtuuri on turvallinen. Järjestelmän arkkitehtuurikuvauksessa tulee olla nähtävillä tunnistamiseen liittyvät järjestelmäkomponentit. Selvityksen perusteella täytyy pystyä hahmottamaan tunnistusjärjestelmän osat ja niiden toimittajat, osien väliset yhteydet/yhdyskäytävät, yhteyksien suojauskäytännöt, järjestelmän osien väliset rajapinnat ja muut seikat. Arkkitehtuurikuvauksesta täytyy käydä ilmi koko tunnistusjärjestelmän komponenttien toiminnalliset suhteet kokonaisuudessaan, mm. tietovarantojen eriyttäminen, esityskerroksen ja liiketoimintalogiikan eriyttäminen, yhdyskäytävät/ympäristöjen väliset kytkennät ja näiden suojaus sekä ulkoisten toimijoiden väliset turvallisuuskontrollit. Kuvauksesta pitäisi selvitä verkkotopologia, L3-tason komponentit kuten palomuurit, palvelimet ja yhteenkytkennät muihin ympäristöihin sekä hallintayhteydet, mikäli ne on eriytetty. Lisäksi tulisi kuvata tunnistusprosessiin liittyvät tietovuot. Jos järjestelmä käyttää hyväkseen pilvipalveluiden tuotteistettuja komponentteja tai tuotteita (Amazon Web Services, Google, Microsoft Azure jne.), tulee tuotekomponentit nimetä ja sisällyttää nämä ulkoiset komponentit alihankkijoihin kohdistuvan arvioinnin piiriin. 7. Jos käytössä on mobiilitunnistussovellus, täytyy se arvioida kaikilta niiltä osin, joilla on vaikutusta tunnistamisen vaatimustenmukaisuuteen. Jos sovellukseen on yhdistetty myös muita toimintoja, näitä muita toimintoja ei tarvitse sisällyttää arviointiin siltä osin, kun ne eivät voi vaikuttaa tunnistamisen luotettavuuteen. 8. M72A 7 :n arvioinnista tulee toimittaa tarkastuskertomuksen lisäksi skannausraportti, josta näkyvät tunnistusjärjestelmän ulospäin tarjotun rajapinnan TLS- ja salausprofiilit.

5 (5) 9. Alihankkijoiden vaatimustenmukaisuus täytyy arvioida kaikilta edellä mainituilta osin. 10. Tunnistusvälineen myöntämismenettelyiden (ensitunnistaminen, luominen, toimittaminen) vaatimustenmukaisuutta ei tarvitse auditoida uudelleen muutoin kuin muutosten osalta. Jos sähköinen ensitunnistaminen on otettu käyttöön, sen käytöstä on syytä arvioida se, että ensitunnistamistapahtumat tallennetaan tunnistuslain 24 :n mukaisesti ja että tiedot ovat käytettävissä tunnistuslain 16 :n mukaisesti. Mobiilisovellusten osalta ks. kohta 7. 2.4 Muutosten ilmoittaminen ja arviointi Toiminnan olennaisissa muutostilanteissa arviointi täytyy tehdä ja muutosta koskeva muutosilmoitus sekä tarkastuskertomus toimittaa ennen muutoksen tuotantoon viemistä. Olennaisia muutoksia ovat aina esimerkiksi - tunnistusmenetelmän eli todentamistekijöiden ja todentamismekanismin muutokset, - tunnistusjärjestelmän tekniset muutokset eli ylläpito- ja tuotantojärjestelmän rakenteen, ohjelmistojen tai - ylläpitoa, laitteita, järjestelmiä tai ohjelmistoja toimittavien alihankkijoiden muutokset tai vaihtuminen Viestintävirastolta on kysytty, onko Tupas-rajapinnan korvaaminen SAMLtai OIDC-rajapinnalla arvioitava. - Vuoden 2019 aikana pois jäävää rajapintatoteutusta ei tarvitse arvioida (Tupas tai muu). - Uusi toteutus on arvioitava salausvaatimusten ja salausavainten hallinnoinnin osalta. Asiointipalvelut eivät kuulu arvioinnin piiriin, mutta niiltä edellytetyt tai niille tarjotut salausavainten hallinnointikäytännöt kuuluvat. - Jos protokollan vaihtoon liittyy rajapinnan konfiguroinnin lisäksi muita olennaisia muutoksia tunnistusjärjestelmässä tai sen arkkitehtuurin, muutokset täytyy arvioida.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute