Tietosuoja- ja tietoturvakuvaus Bolt Group Oy

Samankaltaiset tiedostot
Lahden seudun joukkoliikenteen rekisteriseloste

3. Rekisterin nimi Lappeenrannan kaupungin joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

Asianajotoimisto Järvinen & Co Oy:n WinLaw:n asiakas- ja markkinointirekisteri 4 OIKEUSPERUSTE JA HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Medtime Pro -verkkopalvelun käyttöehdot käyttäjälle ja palveluntarjoajalle. Yleistä

Satakunnan Noutajakoirayhdistyksen ry:n jäsen-, tiedotus- ja tapahtumajärjestämisen henkilötietorekisterien tietosuojaseloste.

Maahantuojat: omavalvontasuunnitelman ja sen toteutumisen tarkastuslomakkeen käyttöohje

T IETOSUOJASELOSTE TYÖNHAKIJAT JA REKRYTOINTITIEDOT SEKÄ VAPAAEHTOISET PAIKANNÄYTTÄJÄT

REKISTERISELOSTE Kulunvalvonta ja työajanseuranta (Hedsam) SISÄLTÖ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ

Tietosuojaseloste: M-files HR-varaston työntekijöiden henkilörekisteri Sivu 1 / 5

Plus500CY Ltd. Tietosuoja- ja evästekäytäntö

Faba osk, osuusrekisteri tietosuojaseloste

Tietosuojailmoitus. 1. Soveltamislaajuus ja hyväksyminen. 2. Yhtiö rekisterinpitäjänä. 3. Rekisteriasioita hoitava henkilö. 4.

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

Bisnes+ TIETOSUOJASELOSTE

Miten ja mitä tietoja keräämme sinusta?

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja PL 7, NURMIJÄRVI. Vs. sosiaalityön johtaja Päivi Vuoriheimo puh.

Yhteistyösopimus Kaupunkitutkimus ja metropolipolitiikka tutkimus- ja yhteistyöohjelman toteuttamisesta vuosina

CAVERION OYJ:N HALLITUKSEN TYÖJÄRJESTYS. 1. Hallituksen tehtävien ja toiminnan perusta. 2. Hallituksen kokoonpano ja valintamenettely

Tietosuoja Tietosuojaperiaatteet Tietosuojaperiaatteemme ovat seuraavat:

LÄÄKEHOITOSUUNNITELMA VARHAISKASVATUKSESSA

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

REKISTERISELOSTE Henkilötietolaki (523/99) 10

EU:n yleisessä tietosuoja-asetuksessa (GDPR) tarkoitettu rekisterinpitäjä on:

3. Rekisterin nimi Kuopion seudun joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

2. Yhteyshenkilö rekisteriä koskevissa asioissa Joukkoliikennesuunnittelija Lotta Rautio

Tietosuojaseloste 1 (5)

Tietoturvaohjeita henkilöstölle

3. Rekisterin nimi Pohjois-Savon ELY-keskuksen matkakorttijärjestelmän asiakasrekisteri

PlusTerveys Hammaslääkärit Oy:n rekrytoitavien työntekijöiden henkilötietojen käsittely.

ELENIA LÄMPÖ OY:N TIETOSUOJASELOSTE

B2C KOHDERYHMÄPALVELUT PALVELUKUVAUS

Henkilörekisterin tietosuojaseloste

Kattoturvatuotteet - Kattopollarit, talotikkaat, lumiesteet ja katon vaakaturvakiskot

1. Yleistä. Tavoitteet vuodelle 2016

Sopimus asiakas- ja potilastietojärjestelmästä Liite 3 Käyttöönotto

ELENIA PALVELUT OY:N TIETOSUOJASELOSTE

REKISTERINPITÄJÄN MUUTOKSET: Toimintamalli muutostilanteessa

Danske Finance Oy:n tietosuojatiedote

Juokslahden metsästysseura ry:n maanvuokraajien henkilötietojen käsittely

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja

Testaustyövälineen kilpailutus tietopyyntö

Henkilötietojen käsittely yhdistyksessä I samma båt samassa veneessä ry.

UPSEERIEN AMPUMAYHDISTYS ry:n jäsenten henkilötietojen käsittely

Lundbeck noudattaa aina sovellettavaa lainsäädäntöä, mukaan lukien EU:n yleistä tietosuoja-asetusta ja Suomen lakeja.

Danske Bankin tietosuojatiedote

Lausuntopyyntökysely

Suomen Metsästäjäliiton Pohjois-Karjalan piirin jäsenten henkilötietojen käsittely

Metsästysseura Haukka ry:n jäsenten ja maanomistajien henkilötietojen käsittely

Helsingin kaupunki Esityslista 8/ (5) Sosiaali- ja terveyslautakunta Sotep/

Toimintaohje toimittajille ja kolmansille osapuolille

Sisällysluettelo TIETOSUOJASELOSTE

Danske Finance Oy:n tietosuojatiedote

Kuopion kaupunki Päätöspöytäkirja 1 (6) Tehtävä Kaupunginkanslia Asianro 3122/2017 Arkistopäällikkö

Turun ja Säkylän Varuskuntien Eräseura r.y.:n (TSVE ry) jäsenten henkilötietojen käsittely

Peränteen Metsästys ja Ampumaseura ry. (PMAS) jäsenten henkilötietojen käsittely

Koulutoimi Henkilötietolaki (523/99) 10, 24. Tarkoitettu asiakkaille Laatimispvm:

Määräykset ja ohjeet 1/2012

TAISTO18-HARJOITUSKÄSIKIRJA - PÄIVI- TETTY VERSIO 1.02

HENKKARIKLUBI. Mepco HRM uudet ominaisuudet vinkkejä eri osa-alueisiin 1 (16) Lomakkeen kansiorakenne

ValueFrame-NetBaron laskutus liittymä

LOPEN VUOKRATALOT OY LIITE 1 ISÄNNÖINNIN TEHTÄVÄLUETTELO 1. HALLINNOLLISET TEHTÄVÄT

Suomi 100 -tukiohjelma

Sivistysvirasto Henkilötietolaki (523/99) 10, 24. Tarkoitettu asiakkaille Laatimispvm:

LIIKETOIMINNAN KEHITTÄMISEEN JA YRITYKSEN MUUTOSTILANTEISIIN LIITTYVÄT PALVELUT

KUNTAKOORDINAATTORIEN NEUVOTTELUPÄIVÄ Oppilas- ja opiskelijahuollon palvelurakenteen ja laadun kehittäminen

Kansalaisen asiointitilin palvelukuvaus

PITKÄAIKAISSÄILYTYKSEN AINEISTOJEN PAKETOINNIN PILOTIN SUUNNITELMA

Mallit on julkaistu yhteistyössä Arvopaperimarkkinayhdistyksen kanssa yhdistyksen internetsivuilla (

Muistilistan tarkoitus: Valvotaan lain toteutumista sekä tavoitteiden, toimenpiteiden ja koulun tasa-arvotyön seurantamenettelyn laatua.

(Pandan mainos) (Novalabs mainos)

KOLMIPORTAINEN TUKI ESIOPETUKSESSA (POL 16, 16a, 17, 17a )

Tietosuojaseloste Tampereen ev. lut. seurakuntayhtymän asiakkuudenhoidon järjestelmästä

Pienten hyväksyttyjen koulutusorganisaatioiden käsikirjat

SUONENJOEN KAUPUNKI SUONENJOEN KAUPUNGIN HENKILÖSTÖN TIETOSUOJA- JA TIETOTURVAOHJEISTUS

Koulutustilaisuudessa tehtiin kolme ryhmätyötä. Seuraavassa on koonti ryhmätöiden tuloksista.

SPL TAMPEREEN PIIRI: SEURATUTOROINTI

Porrastuotejärjestelmät

Palvelun toimittajalle asetettavat tietoturvavaatimukset

TYÖNHAKIJAN TIETOSUOJALAUSUNTO

Energiaviraston ohje tietoturvallisuuteen liittyvän häiriön ilmoittamisesta

Eduskunnan sivistysvaliokunnalle

Hankinnasta on julkaistu ennakkoilmoitus HILMA- palvelussa

LIITE III RAHOITUS- JA SOPIMUSSÄÄNNÖT

Windows Nordicin maksunpalautus loppukäyttäjille ("Kampanja") Microsoftin kampanjaehdot

7920/16 mn/sj/vb 1 DG F 2C

1. JOHDANTO Tähän tiedotteeseen on koottu sijoituspalvelulain ja sen nojalla annetun viranomaissääntelyn mukaiset tiedot

MENETTELYTAPAOHJE RAKENNUTTAMINEN HSY JA HELSINGIN KAUPUNKI Liite 3

Kuva 1: Kojeen rakenne

Hankkeen tavoitteet voidaan jakaa valvonnan tavoitteisiin ja työsuojeluvalvonnan kehittämisen tavoitteisiin.

IMATRAN KAUPUNKI REKISTERISELOSTE Hyvinvointipalvelut Lasten ja nuorten palvelut Psykososiaalinen oppilashuolto Henkilötietolaki (523/99) 10, 24

Tietosuojaseloste Opetusalan Ammattijärjestö OAJ

INSPIREn määrittelyjen mukaisen tietotuotteen muodostaminen: <TEEMAN NIMI>

Uudenkaupungin kaupungin terveyskeskus pyytää kirjallista tarjoustanne ultraäänilaiteesta

Yhtiöistä - 11 on varmasti ara-rajoitusten alaisia, - kaksi todennäköisesti ara-rajoitusten alaisia ja - kolme vapaata ara-arajoituksista.

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja

Dnro OUKA/7126/ /2014. Hankinnassa noudatetaan lakia julkisista hankinnoista (348/2007) sekä lakia täydentävää asetusta (614/2007).

LISÄYS EHDOTUKSEEN PÖYTÄKIRJAKSI 1 Asia: Euroopan unionin neuvoston istunto (TALOUS- ja RAHOITUSASIAT) Luxemburg, 7.

TUKIPALVELUITA KOSKEVA LISÄTIEDOTE

Domperidonin hyväksytyt käyttöaiheet, jotka on lueteltu alkuperäisvalmisteen CDS-asiakirjassa, ovat seuraavat:

HAKUOHJE LIIKUNNALLISEN ILTAPÄIVÄTOIMINNAN KEHITTÄMISAVUSTUKSIA VARTEN LUKUVUODELLE

Transkriptio:

Tietsuja- ja tietturvakuvaus Blt Grup Oy Ville Herva Päivitetty 22.05.2018

REKISTERISELOSTE Sisällysluettel Henkilötietlain Henkilötietlain (523/1999) (523/1999) 10 10 :n :n ja ja EU:n EU:n yleisen yleisen tietsuja-asetuksen tietsuja-asetuksen mukainen mukainen rekisteriselste. rekisteriselste. Tämän kuvauksen sveltamisala ja tavite... 3 1. Yleiset Rekisterin tietturvaperiaatteet pitäjä... 3 1. Rekisterin Sujeltava pitäjä tiet ja luttamuksellisuusasteet... 3 Blt Grup Oy (jäljempänä Yhtiö ) Heikkiläntie Blt Grup Tiedn 7D, Oy tallennus (jäljempänä 00120 Helsinki ja keruu Yhtiö )... 4 2797046-1 Heikkiläntie Pääsy- 7D, ja käyttöikeudet 00120 Helsinki... 4 2797046-1 Tiettekniset laitteet... 4 2. Rekisteriasiita hitava henkilö: Tietjärjestelmät ja palvelut... 5 Hannele Henkilöturvallisuus Piri Piri... 5 Puh. 040 040594 5945030 5030 Ulkiset taht... 5 hannele.piri@blt.wrks Cyber- ja muut uhat... 5 3. Rekisterin nimi Tietturvaa hjaavat tekijät... 6 3. Blt Rekisterin Grup Oy:n nimi asiakasrekisteri Vastuut ja tietturvan kehittämisprsessi... 6 Vukratyönhakijiden (jäljempänä työnhakija ) ja tekijöiden (jäljempänä työntekijä ) tietja sisältävä rekisteri Tietturvaperiaatteiden ja hjeiden nudattaminen... 7 4. Henkilötietjen Tietturvaplitiikan käsittelyn ja periaatteiden tarkitus hyväksyntä ja ylläpit... 7 Blt Rlit Grup ja Oy pääsynvalvnta n situtunut... sujaamaan asiakkaidensa ja palveluidensa käyttäjien yksityisyyttä 8 4. Henkilötietjen käsittelyn tarkitus henkilötietlain Haavittuvuudet, (523/1999) paikkaukset sekä muun ja hjelmistversiiden sveltuvan lainsäädännön päivityskäytännöt mukaisesti.... Henkilötietjen käsittelyn 8 Rekisteri tarkituksena Tietturvapikkeamien sisältää n sellaisia timia Blt tietja raprtinti Grup työnhakijista, Oy:n ja käsittely uutiskirjeen jtka... tilanneiden, vat tarpeen tilauksen työnhakijan tehneiden rekrytinnissa tai tapahtumaan ja 8 selvitettäessä ilmittautuneiden työnhakijiden lunnllisten sveltuvuutta henkilöiden Yhtiön yhteystiet- asiakasyritysten ja asiakasrekisterinä. tarjamiin Blt työtehtäviin. Grup Oy:n Lisäksi sisäisesti rekisteri Fyysinen ylläpitämät sisältää tietturva yhteystiet- sellaisia... ja tietja asiakasrekisterit Yhtiön työnhakijista vat Blt Grup ja työntekijöistä, Oy:n sähköisen jtka uutiskirjeen vat tarpeen tilaajarekisteri Yhtiö 8 työsuhdeasiiden sekä Blt Kulunvalvnta Grup Oy:n ja... niihin tilaustietkanta. liittyvien työnantajavelvitteiden Rekistereissä esiteltyjä hitamisessa. henkilötietja vidaan käsitellä Blt Grup 9 Oy:n Integriteetti kuuluvissa ja yksiköissä varmuuskpit henkilötietlain... mukaisesti. Henkilötietja Blt Grup Oy tarvitsee, jtta 9 tilaukset Saavutettavuus vidaan käsitellä... ja vahvistaa. Lisäksi tietja tarvitaan, jtta asiakas vi vastaanttaa tilauksiinsa 9 5. Rekisterin tietsisältö liittyvän tiedn Blt Grup Oy:ltä. Käyttäjä hyväksyy tämän tietsujalausekkeen ehdt käyttämällä Valvnta, testaus ja auditinti... 9 Rekisteriin palvelujamme. vidaan Mikäli tallentaa käyttäjä seuraavat ei hyväksy työnhakijan näitä ehtja, perustiedt: käyttäjällä ei le ikeutta käyttää palveluitamme. Arkkitehtuurisuunnittelu ja kuvaukset... 10 Tietja käsitellään etu- ja sukunimi Kulutukset, hjeistukset, svittujen palvelujen tiedttaminen tuttamiseen, ja tietturvatietisuuden tutteiden ja palvelujen ylläpit... kehittämiseen, 10 laskutukseen, yhteystiedt asiakassuhteen (pstisite, hitamiseen kti- ja matkapuhelinnumer, ja kehittämiseen liittyen sähköpstisite) sekä annyymisti tilastllisiin tarkituksiin. Tietturvakulutus henkilötunnus, mikäli... työnhakija n aikaisemmin llut Yhtiön työntekijä tai mikäli 10 Ohjelmistkehityksen työspimuksen tekemisestä tietturvaperiaatteet n j svittu... 10 Tietja käytetään Pankkiyhteystiedt, myös mainntaan, mikäli markkinintiin, työnhakija n suramarkkinintiin aikaisemmin llut ja Yhtiön markkininnin työntekijä khdistamiseen tai mikäli asiakkaille, työspimuksen viestinnän välitystietja tekemisestä kuitenkin n j vain svittu asiakkaan sustumuksen njalla. Asiakkaalla n ikeus kieltää hänelle khdistettu suramarkkininti. kielitait ammatti ajkrtti ja käytettävissä levat kulkuneuvt kansalaisuus 2

Tämän kuvauksen sveltamisala ja tavite Tässä dkumentissa kuvataan Blt Grup Oy:n, sen tytäryhtiön Blt.Wrks Oy:n ja mahdllisten myöhempien knserniyritysten (jäljempänä yhdessä "Blt" tai "yhtiö") tietturvaperiaatteet, -käytännöt ja arkkitehtuuri. Dkumenttia täydennetään erillisin tarkemmin järjestelmä-, prsessi- ja liiketiminta-aluekhtaisin hjein. Kaikkien Bltin työntekijöiden (niin timist- kuin vukra-), ulkisten tahjen, jilla n pääsy Bltin järjestelmiin tai tietn sekä sveltuvilta sin työnhakijiden, asiakkaiden ja muuten Bltin palvelua hyödyntävien tulee nudattaa tämän dkumentin hjeistusta. Nämä hjeet tudaan saksi palveluiden käyttöehtja, käydään läpi uusien työntekijöiden perehdytyksessä sekä tudaan tietn ulkisille tahille, jtka käyttävät tai käsittelevät Bltin tietja. Sveltuvilta sin hjeistus velvitetaan spimusliitteiden kautta. Yleiset tietturvaperiaatteet Sujeltava tiet ja luttamuksellisuusasteet Blt käsittelee tieta sekä sähköisessä että ei-sähköisessä mudssa. Eri tyyppistä tieta rajittavat eri lainsäädännölliset, spimukselliset ja muut velvitteet. Erityisesti luttamuksellisia tiettyyppejä vat mm. henkilötiedt, asiakkuuksiin tai muihin kumppaniyrityksiin liittyvät tiedt, muut laein tai spimuksin luttamuksellisiksi määritetyt tiedt sekä Bltin IPR-tiedt. Näiden tietjen käsittelyssä n erityisesti nudatettava tämän dkumentin hjeistusta. Näihin tietihin viitataan jatkssa termillä Bltin luttamukselliset tiedt. Blt käsittelee myös muuta, luttamusasteeltaan vähäisempää tieta, kuten Bltin työntekijöiden välinen kmmunikaati, Bltin työntekijöiden ja asiakasyritysten välinen kmmunikaati ja muut vastaavat, jtka eivät sisällä ylemmässä kappaleessa luttamukselliseksi määrättyä tieta. Tällaisen tiedn käsittelyssä näitä hjeita n nudatettava sveltuvilta sin ja millin se ei khtuuttmasti haittaa käsillä levan tehtävän surittamista. Mikäli käsiteltävä tiet n lunteeltaan julkista tai julkiseksi tarkitettua, sen käsittelyssä näitä hjeita n nudatettava sveltuvilta sin ja millin se ei khtuuttmasti haittaa käsillä levan tehtävän surittamista. Vaikka julkisen tiedn jutuminen vääriin käsiin ei lekaan riski, mm. tiedn integriteetti ja ikeellisuus vi vaarantua, js asiaankuuluvasta tietturvasta ei hulehdita. Mikäli tiedn luttamuksellisuuden tas ei le selvä tämän hjeistuksen perusteella, tietturvavastaava päättää, miten sitä käsitellään, ja kunkin tiednkäsittelijän n tarvittaessa kysyttävä hjeistusta tietturvavastaavalta ennen tiedn käsittelyyn ryhtymistä. 3

Tiedn tallennus ja keruu Kaiken yhtiössä tapahtuvan henkilö- tai muuten luttamuksellisen tiedn keruulle, tallennukselle ja käsittelylle n ltava peruste, jk lakiin/asetukseen perustuva tai liiketiminnasta jhtuva. Liiketiminnasta jhtuva peruste ei vi lla ristiriidassa lakien, asetusten tai yksilön tai muiden ikeushenkilöiden ikeuksien kanssa. Tieta tallennetaan rekistereihin (jtka vivat kstua useammasta fyysisestä järjestelmästä.) Kustakin rekisteristä tehdään selste, jssa kuvataan tietsisältö, kunkin tietsisällön san tallentamisen peruste, elinkaari, pistamisen prsessi sekä vastuut, rlit ja pääsyikeudet. Pikkeuksena vat ainastaan tiedt, jista ei vida yksilöidä henkilöä, yritystä tai muuta taha, jnka suhteen tiedn käsittelyä n valvttava. Pääsy- ja käyttöikeudet Kaikkeen luttamukselliseen tietn, mukaan lukien dkumentimat ja rekisteriin kuulumattmat tiedt, mutta erityisesti henkilö- ja yritystieta sisältävät tietvarannt, n lähtökhtaisesti järjestettävä seuraavat ehdt täyttävä pääsynvalvnta: Salasanin tai muulla vastaavalla tavalla tteutettu autentikaati (erillinen tarkempi hje salasanakäytännöistä, lähtökhtaisesti linjassa Vahti-hjeistn (https://www.vahtihje.fi/web/guest/tunnistautuminen) kanssa) Rlitus, jssa vain niillä (autentikiduilla) käyttäjillä, jilla n tarve käsitellä aineista, n pääsy siihen. Prsessi, jssa käyttöikeudet pistetaan, kun tarve käsittelyyn lakkaa tai henkilön rli muuttuu Tarvittaessa fyysinen kulunvalvnta paikkihin, jissa tieta tallennetaan tai käsitellään Sveltuvilta sin auditintilki siitä, kuka tieta n käsitellyt Kunkin rlin käyttöikeudet n määritettävä siten, että rlilla n pääsy vain siihen aineistn, jhn pääsy n rlin mukaisen timinnan kannalta välttämätöntä. Tiettekniset laitteet Kaikkien Bltin tietteknisten laitteiden (kannettavat tietkneet, matkapuhelimet, verkn aktiivilaitteet sekä muut vastaavat) sekä niiden käyttöjärjestelmien n tteutettava seuraavat khdat Laite (ja sen käyttöjärjestelmä) valitaan siten, että ne vat lähtökhtaisesti tietturvallisia: niiden suunnittelussa n riittävällä tavalla humiitu tietturva, niillä n valmistajan pulesta uskttava tietturvapäivityshjelma, ja ne muuten vastaavat tietturvaltaan käyttötarkitusta Kukin laite ja sen käyttöjärjestelmä pidetään krkeintaan viikn viiveellä ajan tasalla tietturvapäivitysten suhteen Sveltuvilta sin laitteeseen asennetaan virustrjunta tai palmuuri, jllei laitteen tietturva muuten le riittävällä taslla tai laite lunteeltaan sellainen, ettei jmpaakumpaa tarvita Laitteen asennus ja knfigurinti tehdään niin, että tietturvariskit minimidaan (mm. ajssa levat palvelut minimidaan) Laite sijitetaan verkkinfrastruktuuriin niin, että sen altistuminen verkkhyökkäyksiin n pienin mahdllinen käyttötarkitusta rajittamatta 4

Laitevalinnista ja laitteiden valitsemisesta ja päivittämisestä vastaa it-sast. Tietjärjestelmät ja palvelut Kaikkien Bltin tietteknisten järjestelmien ja palveluiden (myös ulkpulisten palveluntarjajien SAASmallilla tarjamat) n tteutettava seuraavat khdat Järjestelmä tai palvelu valitaan siten, että se n lähtökhtaisesti tietturvallinen: sen suunnittelussa n riittävällä tavalla humiitu tietturva, sillä n timittajan pulesta uskttava tietturvapäivityshjelma, ja se muuten vastaa tietturvaltaan käyttötarkitustaan Kukin järjestelmä tai palvelu, sekä sen alusta (laitteist, käyttöjärjestelmä, tukijärjestelmät) pidetään krkeintaan viikn viiveellä ajan tasalla tietturvapäivitysten suhteen Sveltuvilta sin järjestelmän tai palvelun palvelualusta n sujattu palmuurilla tai intrusin detectin -järjestelmällä, jllei alustan tietturva muutin le riittävällä taslla Järjestelmän ja alustan asennus ja knfigurinti tehdään niin, että tietturvariskit minimidaan Palvelu n sijitettu verkkinfrastruktuuriin niin, että sen altistuminen verkkhyökkäyksiin n pienin mahdllinen käyttötarkitusta rajittamatta Järjestelmien ja palveluiden valitsemisesta ja päivittämisestä vastaa it-sast sekä ulkiset palveluntarjajat spimuksin velvitettuina. Henkilöturvallisuus Sveltuvilta sin tietihin tai palveluin käsiksi pääsevien henkilöiden henkilöllisyys ja rli tarkistetaan. Tarvittaessa tteutetaan turvaselvitys henkilöstä, jlla n tarve antaa pääsy luttamukselliseen aineistn. Ulkiset taht Mikäli ulkisen tahn n perusteltua käsitellä Bltin hallinnimia tai mistamia tietja, jtka vat tämän dkumentin mukaisesti sujeltavia, kyseinen ulkinen tah velvitetaan spimuksella nudattamaan näitä periaatteita. Spimuksellisen velvitteen n kskettava kaikkia ulkisen tahn edustajia, jilla n päästy tietn. Spimuksellisen velvitteen tulee kieltää ulkista taha edelleen luvuttamasta tieta tai muuten päästämään mitään klmatta sapulta käsittelemään tieta ilman Bltin kirjallista lupaa ja erillistä spimusta. Spimuksellisen velvitteen n täytettävä Eurpan parlamentin ja neuvstn asetuksen lunnllisten henkilöiden sujelusta henkilötietjen käsittelyssä sekä näiden tietjen vapaasta liikkuvuudesta (EU:n tietsuja-asetus 2016/679) vaatimukset henkilörekisterin käsittelijän spimusvelvitteesta. Cyber- ja muut uhat Tietjen luttamuksellisuuteen ja integriteettiin khdistuvia cyber- ja muita uhkia vat mm. tietturvapikkeamat sekä -hyökkäykset, yritysvakilu, virukset, tietjärjestelmien heikkudet sekä viat, fyysiset uhat (kuten tulipal ja lunnn ilmiöt), sabtaasi ja terrrismi. Blt varautuu näihin, mm. nudattamalla ammattimaista tietturvaa (tämän dkumentin mukaisesti), varmistamalla tieta 5

ammattimaisesti humiiden fyysisen lutettavuuden, redundanssin, varmuuskpit ja saavutettavuuden sekä fyysisin vartimin (palturvallisuus, kulunvalvnta.) Viime kädessä haittja mitigidaan vakuutuksin. Pikkeamista, jtka vat vaarantaneet luttamuksellisten tietjen integriteetin tai luttamuksellisuuden raprtidaan (svellettavaa lainsäädäntöä nudattaen) viranmaisille, ja tahille jihin viittaava tiet n vaarantunut (esim. henkilötietjen tapauksissa.) Tietturvaa hjaavat tekijät Yhtiön tietturvatiminnassa nudatetaan jhtryhmän hjeistuksia tai tätä kuvausta. Tämän lisäksi timintaa hjaavat seuraavat tietturvaan liittyvät lait: Laki viranmaisen timinnan julkisuudesta (julkisuuslaki 1999/621) Eurpan parlamentin ja neuvstn asetus lunnllisten henkilöiden sujelusta henkilötietjen käsittelyssä sekä näiden tietjen vapaasta liikkuvuudesta (EU:n tietsuja-asetus 2016/679) Henkilötietlaki (1999/523) Laki yksityisyyden sujasta työelämässä (2004/759) Tietyhteiskuntakaari (2014/917) Turvallisuusselvityslaki (2014/726) Rikslaki (1889/39) Tietsujan salta nudatetaan EU:n tietsuja-asetusta sekä sitä tarkentavaa kansallista lainsäädäntöä. Yhtiössä n nimetty, muista tehtävistä riippumatn tietsujavastaava. Tietturvan kehittämistä hjaa vaatimustenmukaisuuden lisäksi tiet-maisuuteen, tietjärjestelmiin ja timintaympäristöön khdistuvien riskien tunnistaminen ja niiden vaikutusten arviinti. Vastuut ja tietturvan kehittämisprsessi Blt-knsernin tietturvasta vastaa Blt Grup Oy:n timitusjhtaja tietturvavastaavan avustamana. Tietturvavastaava myös vastaa tietturvallisuuden tteutumisesta ja jhtaa tietturvaan liittyvää peratiivista timintaa. Tietsujasta vastaa rekisterinpitäjä. Tietsujavastaava seuraa ja valv, että tietsuja-asetusta sekä muita tietsujalainsäännöksiä ja rekisterinpitäjän timintamenettelyjä nudatetaan. Tietturvan- ja sujan timeenpana hjaavat tietturvapäällikkö ja tietsujavastaava. Tietturvan tteuttamisesta teknisissä järjestelmissä (tekninen tietturva) vastaa salta IT-sast. ITsastlla tulee lla riittävä asiantuntemus teknisten ratkaisujen määrittelyyn ja tteuttamiseen sekä tietverkkjen ja järjestelmien tietturvavalvntaan. Yksiköiden mien palveluiden salta teknisten järjestelmien tietturvan tteutumisesta ja valvnnasta vastaa järjestelmän mistaja. Tietturvavastaava krdini IT-palveluiden ja yksiköiden teknisen tietturvan tteuttamista. Esimiesten tehtävä n hulehtia, että heidän henkilöstönsä tuntee tietturvaperiaatteet ja -vastuut ja saa tarvittavan kulutuksen. 6

Jkainen timisthenkilökunnan jäsen ja sveltuvilta sin vukratyöntekijä sekä Bltin tarjamiin palveluihin käyttöikeuden saanut käyttäjä n velvllinen nudattamaan annettuja hjeita. Jkainen vastaa malla timinnallaan tietturvan tteutumisesta ja edistää hyvän tietturvakulttuurin kehittymistä. Tietturvaperiaatteiden ja hjeiden nudattaminen Jkaisen Bltiin työspimus-, asiakas- tai työnhakusuhteessa leva henkilö n velvllinen nudattamaan tässä asiakirjassa määriteltyjä periaatteita ja niitä täsmentäviä hjeita, muita Bltin antamia tietturvahjeita sekä tietjärjestelmien, -verkkjen, -kneiden ja -välineiden käyttösääntöjä. Plitiikiden, periaatteiden tai hjeiden laiminlyöminen tai niiden vastaisesti timiminen katstaan tietturvarikkeeksi. Tietturvaperiaatteiden ja hjeiden tarkituksellinen laiminlyönti vi jhtaa seuraamuksiin. Henkilökunnan seuraamukset tietturvarikkeen jhdsta vivat lla rikkeen vakavuudesta riippuen 1. hjaava puhuttelu 2. suullinen humautus 3. kirjallinen varitus 4. irtisanminen 5. työsuhteen purkaminen Ohjaavan puhuttelun pitää tietturvavastaava. Muiden seuraamusten salta timivalta niiden päättämisestä määräytyy työspimuslain perusteella. Muut Blt-palveluiden käyttäjän seuraamukset tietturvarikkeen jhdsta vivat lla 1. Ohjeistus 2. Suullinen humautus 3. Kirjallinen varitus 4. Palvelun tai tietn käsiksi pääsyn estäminen Ohjeistuksen antaa tietturvavastaava. Muiden seuraamusten salta timivalta seuraamusten suhteen nudatetaan tehtyjä spimuksia. Tietjärjestelmien käyttösäännöissä kuvataan tarvittaessa esimerkein rikkeitä, niiden vakavuutta ja seuraamuksia. Mikäli rikkeeseen liittyy riksepäily, päättää timitusjhtaja tutkintapyynnön tekemisestä pliisille. Riksepäilyn tapauksessa Blt vi sulkea käyttöikeudet määräajaksi. Käyttöikeudet vidaan sulkea myös, mikäli yhtiön tietturva merkittävästi vaarantuu käyttäjän timinnan takia. Tietturvaplitiikan ja periaatteiden hyväksyntä ja ylläpit Tietturvaplitiikan ja -periaatteiden valmistelusta ja ylläpidsta vastaa tietturvavastaava. 7

Tietturvakuvauksen ja periaatteet katselmi ja hyväksyy knsernin jhtryhmä vähintään vuden välein. Spimuskumppaneita tiedtetaan tarpeen mukaan. Rlit ja pääsynvalvnta Kullekin luttamuksellisen tiedn tietrekisterille n rekisteriselsteen yhteydessä kuvattava rlit ja niitä vastaavat pääsyikeudet. Kyseiset pääsyikeudet n tteutettava kaikissa teknisissä järjestelmissä, jissa rekisterin tieta säilytetään. Tarvittaessa rekisterin käyttöä valvtaan myös lkitiedstin, jista vidaan tdentaa, kuka tieta n käsitellyt ja millin. Haavittuvuudet, paikkaukset ja hjelmistversiiden päivityskäytännöt Tietjärjestelmien (fyysisen laitteistn, tietliikennejärjestelmien, käyttöjärjestelmien, palvelinhjelmistjen ja svellushjelmistjen) tietturvapäivitykset asennetaan pääsääntöisesti välittömästi, kun se n käyttöä khtuuttmasti haittaamatta mahdllista ja kun henkilöstö vi sen mm. työaikjen puitteissa tehdä. Pikkeuksena tilanteet, jissa vidaan aukttmasti tdeta, että kyseinen tietturvahaavittuvuus le Bltin käyttötapauksessa relevantti. Tällaisesta päätöksestä vastaa viimekädessä tietturvavastaava. Blt myötävaikuttaa siihen, että kaikki järjestelmätimittajat ja kumppanit, jiden palvelun kautta Bltin luttamukselliset tiedt vivat jutua vaaraan, nudattavat samaa periaatetta, ja keskeyttää tarvittaessa sellaisen palvelun käytön, jnka tietturvahaavittuvuus vaarantaa luttamuksellisen tiedn turvallisuuden. Tietturvapikkeamien raprtinti ja käsittely Jkaisen työntekijän ja Bltin tieta käsittelevän henkilön velvllisuus n ilmittaa havaitsemistaan tietturvapikkeamista ja puutteista sekä epäilemistään väärinkäytöksistä tai tietturvarikkmuksista tietturvapäällikölle tietturva@blt.wrks tai malle esimiehelleen. Havaittuja pikkeamia hyödynnetään tietturvallisten timintatapjen, prsessien ja teknisten ympäristöjen kehittämisen tukena. Mikäli pikkeamiin liittyy riksepäily, päättää timitusjhtaja tutkintapyynnön tekemisestä pliisille. Fyysinen tietturva Bltin luttamuksellisten tietjen tallentamisessa pyritään takaamaan mahdllisimman hyvä tiedn sujaaminen fyysisiltä uhilta (kuten tulipal, lunnnilmiöt jne), yritysvakilun ja sabtaasin kaltaisilta uhilta ja vahingilta. Lähtökhtaisesti tieta ei tallenneta Bltin tilissa leville palvelimille tai laitteille, vaan ammattimaisesti ylläpidettyjen data centerien palvelimille, jiden fyysinen tietturva, varmuuskpiinti, redundanssi, saavutettavuus ja kulunvalvnta vat krkealla taslla (kuten Amazn AWS). 8

Kulunvalvnta Tilihin, jissa säilytetään luttamuksellista tieta (sähköisesti tai ei-sähköisesti) n järjestettävä kulunvalvnta. Integriteetti ja varmuuskpit Luttamuksellisen tiedn integriteetti ja saatavuus n taattava varmuuskpiin ja suunnittelemalla tietjärjestelmäarkkitehtuuri siten, että se varmistaa riittävän redundanssin ja virheentarkistuksen (esim. RAID-levyjärjestelmä, palvelinten ja palveluiden kahdennus ja maantieteellinen hajautus). Missään realistisesti kuviteltavissa levassa skenaarissa luttamuksellinen tiet ei saa suunnittelematta hävitä tai krruptitua. Saavutettavuus Järjestelmät n suunniteltava niin, että luttamukselliseen tietn n sen lunne humiiden taattu pääsy ilman viivettä, jka haittaisi suritettavien tehtävien surittamista khtuuttmasti. Esimerkiksi yrityksellä välttämättömän tiedn palauttaminen varmuuskpilta ei saa kestää niin kauan, että se vaarantaa yrityksen timinnan. Valvnta, testaus ja auditinti Kunkin tietjärjestelmän, tietvarannn tai palvelun tietturvallisuuden tteutumisen seurannasta ja valvnnasta vastaa järjestelmän, aineistn tai palvelun mistaja. Tietturvan tteutumista yhtiössä valvtaan ulkpulisten auditintien, sisäisen tarkastuksen ja katselmusten avulla. Teknistä tietturvaa arviidaan lisäksi jatkuvan teknisen valvnnan keinin. Tärkeimpiin ympäristöihin ja järjestelmiin tehdään erillisiä tietturvatarkastuksia auditintisuunnitelman mukaisesti. Yhtiön timinnan kannalta kriittisiin järjestelmiin ja palveluihin tehdään tarvittaessa ulkpulisen tai sisäisen arviijan timesta tietturvatarkastus ennen tutantn tta ja sen jälkeen auditintisuunnitelman mukaisesti. IT-sast vastaa tietverkkjen ja järjestelmien valvnnasta niin sisäverkssa kuin verkn internetrajapinnassa. Tietjärjestelmä- ja hjelmisttimittajien sekä viranmaisten ja muiden spimuskumppaneiden haavittuvuustiedttamista seurataan aktiivisesti. Ohjelmisthaavittuvuuksia skannataan järjestelmistä säännöllisesti. Haavittuvuuksien aiheuttamia riskejä ja vaikuttavauutta arviidaan krjaustimien perustaksi. Ulkisten tietjärjestelmien valvnnan järjestelyt varmistetaan spimuksilla. Tietsujavastaava valv ja seuraa tietsujasäännösten, annettujen hjeiden ja henkilötietjen käsittelyn asianmukaisuutta erillisen seuranta- ja valvntasuunnitelman mukaisesti. Ulkpulisten palvelutarjajien prsessien ja järjestelmien auditintimahdllisuus varmistetaan spimuksilla. Auditinteja tehdään riskiarvin perusteella kuitenkin vähintään kerran spimuskauden aikana. Palveluntarjajille asetettuja tietturvavaatimuksia seurataan säännöllisesti asiakastapaamisissa. 9

Arkkitehtuurisuunnittelu ja kuvaukset Ennen tteuttamista kunkin tietjärjestelmän suunnittelussa humiidaan tämän dkumentin vaatimukset. Tarvittaessa tietjärjestelmästä tehdään arkkitehtuurikuvaus, ja kuvaus, jka tdentaa, miten järjestelmä tteuttaa tämän dkumentin vaatimukset. Kulutukset, hjeistukset, tiedttaminen ja tietturvatietisuuden ylläpit Tietturvakulutus Perehdytyksessä käsitellään aina tietturvallisuuden perusperiaatteet ja salassa pidettävän tiedn käsittelyyn liittyvät yleiset periaatteet. Henkilöille, jtka käsittelevät salassa pidettävää tieta tai henkilötietja, annetaan erikseen tiedn lukitteluun ja käsittelyyn hjaavaa kulutusta. Perehdytyksiin ja kulutuksiin sallistuneista henkilöstön jäsenistä pidetään kirjaa. Tietturvavastaava vastaa siitä, että henkilöstölle (ja sveltuvilta sin palveluiden käyttäjille) n tarjlla tietturvaperehdytystä ja -kulutusta. Henkilöstön tietturvasaamisen tasa sveltuvin menetelmin. Ohjelmistkehityksen tietturvaperiaatteet Kaikessa Bltin hjelmistkehityksessä nudatetaan seuraavia periaatteita: Kaikki luttamuksellinen tiet tulee sujata arkkitehtuurisin ratkaisuin niin, että minimidaan riski sen integriteetin tai luttamuksellisuuden vaarantumiseen myös kuviteltavissa levissa hjelmintivirhe tai vikatilanteissa Tiet sujataan tarvittaessa kryptgrafisin keinin ja mikäli mahdllista sitä ei tallenneta lainkaan selkkielisenä, kuten salasanat ja henkilötunnukset Kaikki salaus, tietturvaratkaisut, haavittuvuuksien ehkäisy jne tehdään kullinkin vallitsevien parhaiden käytäntöjen mukaisesti Ulkisen kirjastt ja palvelut pyritään valitsemaan siten, että niiden tietturvatas n krkea, ja ne päivitetään aina kun tietturva sitä vaatii Kaikessa tteutuksessa mietitään virheen ja ulkisen uhan mahdllisuutta ja rakennetaan valmius trjua uhka. Blt-hjelmistn tietturva-arkkitehtuuri kuvataan erillisessä dkumentaatissa. 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute