Uusi tietosuoja-asetus GDPR

EU:n tietosuoja-asetus (GDPR) paitsi harmonisoi niin myös tiukentaa henkilötietojen käsittelyä koko EU:n alueella. Tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018. Sen jälkeen EU:n tietosuoja-asetus on voimassa ja velvoittaa kaikkia organisaatioita myös Suomessa.

Mitä tämä tarkoittaa Apixin asiakkaalle?

Asetus tuo asiakkaillemme mukanaan uusia velvoitteita rekisterinpitäjänä ja Apix Messaging Oy:lle (myöhemmin Apix) henkilötietojen käsittelijänä. Henkilötietoa on kaikki se informaatio, mikä on suoraan tai epäsuoraan tunnistettavissa tiettyä henkilöä koskevaksi.

Apix on bisnesdokumenttien ja laskujen välityspalvelujen tuottajana henkilötietojen käsittelijä. Asiakkaamme puolestaan ovat rekisterinpitäjiä Apixin palveluun syötettävien henkilötietojen osalta. Tietosuojalainsäädäntö velvoittaa ensisijaisesti rekisterinpitäjiä. Tämä tarkoittaa, että teidän on rekisterinpitäjän roolissa informoitava tietosuojakäytännöistä henkilökuntaanne ja asiakkaitanne omien käytäntöjenne mukaisesti.

Tietosuoja-asetus edellyttää, että rekisterinpitäjä ja henkilötietojen käsittelijä tekevät keskenään kirjallisen henkilötietojen käsittelysopimuksen (DPA). Tämä on olennainen muutos nykyiseen lainsäädäntöön nähden ja se koskettaa kaikkia Apixin asiakkaita. Helpottaaksemme asiakkaidemme dokumentointitaakkaa olemme laatineet puolestanne sopimuksen henkilötietojen käsittelystä. Tämä sopimus sisältää tietosuoja-asetuksen edellyttämät tiedot henkilötietojen käsittelyn ulkoistamisesta. Sopimusta voidaan tarvittaessa täydentää rekisterinpitäjän omilla ohjeilla ja lausekkeilla.

Apixin palvelusopimusten liitteeksi tuleva sopimus henkilötietojen käsittelystä ei vaikuta millään tavalla sovitun palvelun sisältöön tai asiakaskohtaisesti sovittuihin ehtoihin.

Tietosuoja-asetuksen mukainen päivitys sopimusrakenteeseemme ei vaadi teiltä minkäänlaisia toimenpiteitä, mikäli hyväksytte liitteiden mukaiset henkilötietojen käsittelyn periaatteet. Henkilötietoliitteen mukaiset muutokset tulevat voimaan sopimusehdoissa määritetyn ilmoitusajan kuluttua, kuitenkin viimeistään 25.5.2018 tietosuoja-asetuksen tullessa voimaan.

Mikäli ette ole vielä saaneet tietosuojaliitettä, henkilötietojen käsittelyohjetta tai teillä on muuta kysyttävää, olettehan yhteydessä servicedesk@apix.fi.

Apix Messaging Oy:n tietoturvakäytännöt

Tämän dokumentin sisältö

Tämä dokumentti kuvaa Apixin tietoturvakäytäntöjä siltä osin kuin ne liittyvät asiakkaan aineistojen, sekä sanomien suojaamiseen ja käsittelyyn Apixin järjestelmissä. Aineistoissa ja sanomissa voi olla mukana EU:n tietosuoja-asetuksen (GDPR) alaista tietoa. Apix käsittelee asiakkaidensa aineistoja, sekä sanomia poikkeustilanteita lukuun ottamatta vain koneellisesti ja silloinkin vain siinä määrin kuin asiakkaalle luvatun palvelun toimittamiseksi on välttämätöntä.

Asiakas lähettää ja vastaanottaa Apixin palveluiden välityksellä aineistoja, joita käsitellään asiakkaan ohjeiden mukaisesti. Asiakkaalta lähtevistä aineistoista luetaan niihin liittyviä vastaanottajatietoja ja niistä muodostetaan sanomia (kuten esimerkiksi sähköisiä laskuja). Vastaavasti asiakkaalle saapuvista sanomista muodostetaan aineistoja, jotka toimitetaan asiakkaalle. Aineistoja ja sanomia säilytetään vain sen aikaa kun lait, asetukset sekä toimintaympäristö edellyttävät. Säilytysaika aineistojen osalta voidaan myös sopia erikseen asiakkaan kanssa pidemmäksi. Apixilla on kaksi erillistä arkistoa, joissa on mahdollista säilöä asiakkaan aineistoja. Kirjanpitolain mukaisessa ns. ’6+1’ arkistossa aineistoja säilytetään 7 vuotta, mikäli asiakkaalla on erillinen 6+1-arkistointisopimus Apixin kanssa. Mikäli arkistointisopimusta ei ole on aineisto-arkistossa tallessa kuluvan ja edeltävän kuukauden aineistot.

Sanoma-arkistossa säilytetään sanomia sekä niiden käsittelyyn liittyvää lokitietoa enintään 12 kuukautta.

Fyysinen suojaus ja aineiston sijainti

Asiakkaiden aineistojen, sekä sanomien käsittely tapahtuu EU:n alueella sijaitsevissa konesaleissa.

Fyysisten, salassa pidettävien dokumenttien tuhoamisen Apix ostaa palveluna ulkopuoliselta palveluntarjoajalta. Apixin omat tilat on suojattu lukoin, hälytysjärjestelmin sekä kameravalvonnalla. Avainten haltijoista pidetään kirjaa ja hälyttimien koodeja vaihdetaan säännöllisesti. Mahdollisen murron tapahtuessa Apixin toimitilojen verkosta ei pääse suoraan tuotantojärjestelmin ilman vahvaa henkilökohtaista tunnistautumista. Asiakkaiden aineistoa ei säilytetä Apixin toimitiloissa, työntekijöiden koneilla eikä Apixin itse ylläpitämillä toimistokäyttöön tarkoitetuilla palvelimilla.

Tekninen suojaus

Kaikki Apixin palveluympäristöt (tuotanto-, testi- ja kehitysympäristöt) ovat erillisissä tietoverkoissa ja pääsy eri ympäristöjen ja tietoverkkojen välillä on rajoitettu. Kaikki tietoverkot on suojattu palomuureilla ja ainoastaan ulkoiseen tiedonsiirtoon tarvittavat palvelimet ovat yhteydessä internetiin. Tietoliikenne internetiin kytkettyjen palvelimien ja aineistoja, sekä sanomia käsittelevän palvelualustan välillä on rajoitettu käytettäväksi ainoastaan tarvittavalle kommunikointiprotokollalle ja pisteestä-pisteeseen yhteydelle. Lisäksi moninaiset valvontajärjestelmät sekä automatisoidut hyökkäyksen tunnistus- ja vastinejärjestelmät ovat käytössä protokollatasolla. Testi- ja kehitysympäristöissä ei säilytetä asiakkaan aineistoa tai sanomia.

Asiakkaan aineistoja, sekä sanomia säilytetään aina salattuna ulkoverkon rajapinnasta erillään. Kerroksittain rakennetussa ympäristössä tietoliikenneyhteydet järjestelmien ja konesalien välillä ovat aina salattuja ja sisäverkkoon pääsy vaatii kaksivaiheisen henkilökohtaisen kirjautumisen. Asiakkaalla on mahdollisuus päästä käsiksi omiin aineistoihinsa käyttäjätunnuksella ja salasanalla suojatun SSL-varmennetun sivuston kautta. Tietoturvaloukkausten varalta Apix valvoo ja päivittää aktiivisesti järjestelmiään sekä pitää tietoturvakäytännöt ajan tasalla. Palvelimet on kahdennettu ja aineistot, sekä sanomat on varmuuskopioitu mahdollisten vikatilanteiden minimoimiseksi.

Työntekijöiden työasemat, kannettavat tietokoneet, puhelimet ja muut elektroniset työvälineet on suojattu laitteesta riippuen ajantasaisilla virustorjuntaohjelmistoilla, salauksella ja pääsynhallintajärjestelmällä. Apixin työntekijöillä on mahdollisuus tehdä etätöitä salatun yhteyden välityksellä vain Apixin tarjoamilla työtehtäviin tarkoitetuilla välineillä.

Tietoliikenneyhteydet ja aineiston siirto

Apix ei siirrä asiakkaan aineistoja tai sanomia omien järjestelmiensä ulkopuolelle lukuun ottamatta palvelun tarjoamiseksi välttämätöntä tiedonsiirtoa. Välttämätöntä tiedonsiirtoa on esimeriksi aineistoista muodostettujen sanomien toimittaminen niiden vastaanottajan käyttämille operaattoreille. Tiedonsiirtokanavia on erilaisia ja kussakin kanavassa käytetään parasta saatavilla olevaa salausta.

Konesalit ja laitteistot

Aineiston ja sanomien käsittelyä varten Apix käyttää myös kolmansien osapuolten konesali- ja laitteistopalveluja. Käytetyt palvelinympäristöt ovat turvallisia, tulipalolta suojattuja ja niissä on kahdennetut tietoliikennepalvelut, kaapeloinnit ja virransyötöt. Näitä tiloja ja palveluja monitoroidaan 24/7 ja niissä on käytössä automaattiset tulipalon valvonta- ja hallintaratkaisut, jotka aktivoiduttuaan eivät pakota palvelinympäristön alasajoa tai sammuttamista. Palvelinympäristöihin on rajoitettu pääsy ja vain nimetyillä henkilöillä on oikeus mennä näihin tiloihin.

Saatavuuden hallinta

Asiakkaan aineistoja, sekä sanomia käsitellään manuaalisesti vain poikkeustilanteessa tai asiakkaan erikseen pyytäessä. Jokaisesta manuaalisessa käsittelystä jää merkintä lokitietoihin käsittelijästä ja käsittelyyn johtaneesta syystä. Aineistoihin ja sanomiin pääsy on rajattu vain henkilöihin, joiden työtehtävät vaativat niiden käsittelyä. Apixilla on käytössä valvotut käyttäjien hallintaprosessit. Apixin turvapäällikkö tarkistaa kaikki uuden käyttöoikeuspyynnöt ennen käyttöoikeuden myöntämistä. Tuotanto-, testi- ja kehitysympäristöjen käyttöoikeus myönnetään vain tarpeen mukaan. Apix kouluttaa henkilöstöä säännöllisesti tietoturvakäytännöistä ja aineistoihin liittyvistä oikeuksista sekä velvollisuuksista. Jokainen Apixin työntekijä on allekirjoittanut kirjallisen salassapitosopimuksen.

Tietosuojasta vastaava taho

Apix Servicedesk
servicedesk@apix.fi
(09) 4289 1324