Tietoturva

Panostamme suuresti varmistaaksemme työskentelemämme tietojen turvallisuuden. Tässä yleiskatsaus toimenpiteistä, joita olemme toteuttaneet tähän tarkoitukseen.

Yksityisyys

Moodup noudattaa GDPR:n ja henkilötietojen suojelusta sekä henkilötietojen käsittelystä annetun lain (90/2018) määräyksiä kaikessa toiminnassaan. Moodup käsittelee henkilötietoja ainoastaan dokumentoitujen ohjeiden perusteella tietojen käsittelijältä.

Moodupin yksityisyyteen liittyvät velvoitteet on lueteltu käsittelysopimuksessa, joka on allekirjoitettu ennen henkilötietojen käsittelyä tietojen käsittelijän puolesta. Lisätietoja Moodupin yksityisyydestä löytyy täältä: /privacy

Salaus

Kaikki Moodupin käsittelemät tietojen käsittelijän puolesta olevat tiedot säilytetään salattuina käyttäen AES (Advanced Encryption Standard) -algoritmia. Kaikki viestintä Moodupin verkkopalvelimien kanssa on salattua TLS v1.3 -standardin mukaisesti.

Moodupin verkkopalvelimet ovat suojattuja palomuureilla, jotta vain salattu viestintä on mahdollista.

Käyttäjien salasanat Moodupissa tallennetaan tiivistetyssä muodossa, eivätkä ne siten ole koskaan saatavilla henkilökunnalle.

Varmuuskopiointi

Moodupin tietokannat varmuuskopioidaan päivittäin, ja varmuuskopiot tallennetaan salattuna vähentääksemme tietojen menetyksen riskiä. Varmuuskopiot säilytetään erillisillä verkkopalvelimilla, joihin pääsee vain Moodupin henkilökunta SSH-yhteyden kautta, joka on salattu salasanalla ja SHA-256-standardin mukaisesti generoidulla turvatunnuksella.

Varmuuskopiot poistetaan 30 päivän kuluttua varmuuskopioiden luomisesta, jotta henkilötietoja ei säilytetä pidempään kuin mitä tietojenkäsittelysopimuksissa sallitaan.

DDoS-suojelu

Moodup käyttää nimipalvelimia ja omistettuja verkkopalvelimia, jotka on suunniteltu suojaamaan hajautettuja palvelunestohyökkäyksiä vastaan. Kaikki käyttäjien ja vierailijoiden viestintä Moodupin verkkopalvelimien kanssa kulkee näiden nimipalvelimien ja verkkopalvelimien kautta estääkseen DDoS-hyökkäysten vaarantavan Moodupin tietokantojen tietoturvan.

Viestintä palvelimien kautta, jotka suojaavat Moodupin tietokantoja DDoS-hyökkäyksiltä, on myös salattua, kuten viestintä muiden Moodupin verkkopalvelimien kanssa.

Tietokeskukset

Moodupin verkkopalvelimet ja tietokannat ovat sijoitettu tietokeskuksiin, jotka on suunniteltu, rakennettu ja valvotaan ympäri vuorokauden varmistaakseen suojauksen luvattomalta pääsyltä ja luonnonkatastrofeilta.

Tietokeskukset ovat ympäröity valvotuilla pääsyporteilla. Turvakameroita käytetään valvomaan, kuka pääsee rakennuksiin ja niiden turvallisiin alueisiin.

Moodup käyttää vain Euroopan unionissa sijaitsevia tietokeskuksia ja allekirjoittaa tietojenkäsittelysopimuksia niiden operaattoreiden kanssa varmistaakseen GDPR-määräysten noudattamisen.

Työntekijöiden pääsy

Kaikki Moodupin työntekijät allekirjoittavat luottamuksellisuussopimuksen ennen kuin heille myönnetään pääsy yrityksen tietokantoihin ja verkkopalvelimiin. Pääsy tietoihin myönnetään periaatteella, että työntekijöillä on pääsy vain heidän tehtäviensä suorittamiseen tarvittaviin tietoihin.

Työntekijöiden pääsyoikeudet tarkistetaan säännöllisesti, jotta pääsy turhaan tietoon voidaan sulkea.

Moodup vaatii työntekijöitä suojaamaan työasemansa, joilla he käyttävät ja työskentelevät tiedon kanssa, salasanoilla, jotka täyttävät vähimmäisvaatimukset pituuden ja monimutkaisuuden suhteen. Työntekijöiden on aina lukittava työasemansa, kun he ovat poissa niiden luota.

Käyttäjän pääsy

Kaikkien Moodupin käyttäjien on asetettava kaksivaiheinen todennus tilin luomisen yhteydessä. Jos käyttäjä yrittää kirjautua sisään uudesta sijainnista tai tavallista useammin, heidän on varmennettava henkilöllisyytensä molemmilla todennustekijöillä.

Moodup vaatii käyttäjiä luomaan salasanat, joissa on vähimmäispituus ja monimutkaisuus, jotta brute force -hyökkäykset olisivat mahdottomia. Moodup estää myös väliaikaisesti pääsyn IP osoitteelta sen verkkopalvelimiin, jos useita kirjautumisyrityksiä tapahtuu lyhyen ajan kuluessa.

Moodupilla on pääsynhallintajärjestelmä, jonka avulla työpaikat voivat varmistaa, että johtajilla on vain pääsy niihin tietoihin, joihin heillä on valtuudet työskennellä. Esimerkiksi johtajien pääsyä tiettyihin alueisiin tai osastoihin työpaikalla voidaan rajoittaa.

Lokitus

Moodupin verkkopalvelimiin ja tietokantoihin sekä työntekijöiden että käyttäjien pääsyä kirjataan lokitusjärjestelmään joka kerta, kun he käyttävät tai työskentelevät tietojen kanssa.

Työntekijät, joille on myönnetty valtuudet tarkastella lokitusjärjestelmän merkintöjä, tarkistavat säännöllisesti merkinnät varmistaakseen, että tietoihin pääsy on sopusoinnussa kyseisten työntekijöiden ja käyttäjien valtuutusten kanssa.

Lokitusjärjestelmä ei tallenna henkilökohtaisia tietoja vaan vain Moodupin tunnistenumeron kyseiselle käyttäjälle/työntekijälle, aikaleiman ja viitenumerot niihin tietoihin, joihin he ovat päässeet tai joiden kanssa he ovat työskennelleet.

Arviointi

Moodup suorittaa vuosittain arvioinnit sekä tietoturva- että yksityisyyskäytännöistään. Tällaisten arviointien aikana Moodup työskentelee alan asiantuntijoiden, kuten lakimiesten ja tietoturva-asiantuntijoiden, kanssa varmistaakseen noudattavansa parhaita alan käytäntöjä.