Zmarta Groupin tietotekniikan turvallisuuskäytäntö

Yleistä tietojen ja datan hallinnasta

Tämä tietotekniikan turvallisuuskäytäntö koskee Zmarta Group -konsernia ("Zmarta") ja konserniin kuuluvia yrityksiä, kuten Freedom Rahoitus Oy:tä.

Käytännössä esitetään Zmartan ohjaavat periaatteet, linjaukset sekä yleinen päämäärä tietoturvallisuustyössä.

Määritelmät

Tietoturvan on tarkoitus tarjota Zmartan/Freedom Rahoituksen tietoresursseille sopiva ja oikea-aikainen suoja ja se kattaa seuraavat turvallisuusnäkökohdat:

  • Saatavuus – että tieto on saatavilla odotettavissa määrin ja haluttuna ajankohtana.
  • Eheys – että tietoja suojataan ei-toivotuilta ja luvattomilta muutoksilta tai tuhoilta.
  • Salassapito – että dataa tai muita tietoja ei aseteta saataville tai julkisteta ilman lupaa.
  • Luottamuksellisuus – että tiedot ovat tietosuojaa koskevien lakien ja asetuksien sekä sisäisten ohjeiden mukaisia, eikä niitä aseteta saataville tai julkisteta ilman lupaa.
  • Jäljitettävyys – että voimme jäljittää merkittävät muutokset järjestelmässä sekä jälkeenpäin johtaa yksiselitteisesti tietyt toiminnot tai tapahtumat tunnistettuun objektiin tai käyttäjään (kuka, mitä, milloin).

Tausta

Hyvä tietoturva on hyvin tärkeää Zmartan toiminnan suojaamiseksi sisäisiä ja ulkoisia tietotekniikan uhkia vastaan. Tietoturvatyön tavoitteena on myös suojata työntekijöitä ja kuluttajia, joita autamme toimiessamme asuntolainojen, kulutusluottojen ja vakuutusten välittäjänä, sekä palveluntoimittajiamme ja muita yhteistyökumppaneita.

Tietoturvatyössä tietoon liittyviä riskejä hallitaan järjestelmällisesti ja johdonmukaisesti. Työ ei ole staattista, vaan sitä on jatkuvasti kehitettävä ja paranneltava liiketoiminnan ja ympäröivän maailman muuttuessa.

Lähtökohtanamme tietoturvallisuustyössä on yhtiön ja sidosryhmien tietosuojatarpeet ei-toivottujen tapahtumien ja sattumien varalta.

Ohjeet

Painopiste

On erittäin tärkeää, että tietoa ja sen taustalla olevaa infrastruktuuria suojataan tunnistettavilta uhilta, kuten manipuloinnilta, vaurioilta, korruptiolta, luvattomilta toimilta, vilpillisiltä transaktioilta, puhtailta virheiltä, olivatpa ne tahattomia vai tahallisia, sekä salassapidon rikkomiselta Zmarta Group -konsernin ja sen asiakkaiden tai yhteistyökumppaneiden välillä.

Tässä käytännössä kuvatut turvatoimet muodostavat ohjeet siitä, miten tietoa ja tietojärjestelmiä (sekä sisäisiä että ulkoisia) käytetään turvallisella tavalla. Tietoturvallisuuskäytännön tarkoitus on varmistaa, että kaikki Zmartan tietoresurssien käsittely on sovellettavien lakien, asetusten ja yleisten ohjeiden sekä Zmartan sisäisten ohjeiden, käytäntöjen ja menettelytapojen mukaista.

Zmartan tietoturvatyölle on ominaista:

  • Että tietoturvan varmistamiseksi on olemassa riittävät tiedot,
  • Että kriisinhallintakykyä analysoidaan ja ylläpidetään jatkuvasti,
  • Että tietoresursseja luokitellaan olemassa olevan mallin mukaisesti,
  • Että tietoresursseihin perustuvaa uhkakuvaa analysoidaan jatkuvasti,
  • Että negatiivisiin seurauksiin johtavia tapahtumia ehkäistään ja
  • Tietoturvatyö on luonnollinen osa liiketoimintaa.

Tärkeitä periaatteita

Zmarta Group -konsernin tietoturva sisältää seuraavat periaatteet:

Panostaminen turvatoimiin toteutetaan liiketoiminnan asettamien vaatimusten, tehdyn riskiarvioinnin ja tehokkuusvaatimusten perusteella.

Tietoturvan käyttöönoton on oltava toteuttamiskelpoista ja käytännöllistä, ja suojaustaso ja tehokkuus on oltava tasapainossa.

Tietoturva on jatkuva prosessi, joka on integroitu liiketoimintaan.

Työntekijöiden, konsulttien, liiketoimintakumppaneiden ja palveluntoimittajien on ymmärrettävä ja oltava tietoisia siitä, kuinka Zmarta Group suhtautuu tietoturvaan.

Tietoturvalla on oltava suunniteltu rakenne. Se tehostaa Zmartan laatimia tietoturvallisuusvaatimuksia ja varmistaa niiden noudattamisen.

Kaikkiin järjestelmiin pääsyssä käytetään turvallisia tunnistautumis- ja todentamismenetelmiä. Asiattomilla henkilöillä ei ole pääsyä Zmartan tietoresursseihin. Tietoturvan on varmistettava, että vain luvan saaneilla henkilöillä on pääsy tietoihin, joita he tarvitsevat työtehtäviensä suorittamiseksi.

Käytössä on oltava valvontamenetelmä sen varmistamiseksi, että riskitilanteet voidaan havaita ja raportoida, ja että asiamukaisiin toimenpiteisiin voidaan ryhtyä mahdollisesti tulevaisuudessa esiintyvän riskin poistamiseksi tai vähentämiseksi.

Turvallisuuden hallinta

Zmartalla tietoturvatyö jaetaan osa-alueisiin. Näitä ovat fyysinen turvallisuus, hallinnollinen turvallisuus, tietoturva/tietotekniikan turvallisuus, henkilökohtainen turvallisuus ja viestinnän turvallisuus.

Jokaisella turvallisuusalueella on siitä vastaava henkilö. Tietoturvavastaava on yleisesti vastuussa strategisesta turvallisuudesta kaikilla näillä alueilla. Tietoturvatyötä johtaa teknologiajohtaja (CTO).

Luokittelu

Zmartan tietojärjestelmän luokittelu tapahtuu ottaen huomioon tietoturvaan kuuluvat määritelmämme, toisin sanoen salassapitoa, eheyttä, saatavuutta ja jäljitettävyyttä koskevat vaatimukset. Luokittelu on muodollinen tapa määritellä riittävä suojataso tietojärjestelmälle. Tieto on luokittelun keskiössä.

Harvennus & poistaminen

Zmartan henkilötietojen harventamista ja muun tiedon poistamista koskevat menettelyt perustuvat Zmarta Group -konsernin tietokantarekistereihin ja harvennusmenettelyn kirjallisiin toimintaperiaatteisiin.

Käyttö

Henkilötietoja säilytetään ja käsitellään EU:n yleisen tietosuoja-asetuksen (GDPR) ja soveltuvan kansallisen lainsäädännön mukaan sekä muiden asiaan liittyvien lakien ja asetusten mukaisesti. Jos asiasta on epävarmuutta, kysymykset voidaan osoittaa yleiselle tietoturvallisuudesta vastaavalle tai tietosuojavastaavalle (DPO).

Järjestelmän kehittäminen

Tietoturvaa on arvioitava kehityksen, täytäntöönpanon ja muutosvaiheiden kannalta läpi koko ohjelmiston eliniän. Zmartan järjestelmien kehitysprosessi on dokumentoitava, ja muutoksenhallinnan prosesseja ja testejä on valvottava.

Privacy by Design & Privacy by Default EU:n yleisen tietosuoja-asetuksen mukaan

Zmarta Group -konsernin järjestelmäkehityksessä sekä henkilöiden yksityisyyden että tietoturvan on oltava ohjaavia periaatteita.

Meidän on siis työstettävä  sisäänrakennettua yksityisyyden suojaa  (Privacy by Design). Se on konsepti, jota käytetään sellaisten järjestelmien ja ratkaisujen kuvaamiseen, joissa yksityiselämän suoja on olennaisessa osassa, sitä pidetään perusedellytyksenä alusta alkaen järjestelmän ja ratkaisun kehityksessä ja se kulkee punaisena lankana läpi koko järjestelmän elinkaaren. Esimerkkinä toimii tietoturvatoimenpiteiden käyttöönotto jo suunnitteluvaiheessa, kun tarkoituksena on ehkäistä arkaluonteisten tietojen luovuttaminen asiattomille osapuolille.

Privacy by Design -periaatetta täydentää  Privacy by Default -säännös, jonka mukaisesti toteutamme asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että käsitellään vain henkilötietoja, joiden käsittely on tarkoitettu kuhunkin erityistarkoitukseen. Velvoite koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytyksen kestoa ja tietojen saatavuutta.

Data Protection Impact Assessments – vaikutusten arviointi

Teemme vaikutusten arviointia (yleisen tietosuoja-asetuksen mukaisesti) tarkastamalla ja päivittämällä käytännöt ja ohjeet esimerkiksi mitä tulee riskienhallintaan ja muutostöihin (IT-hankinnat, ulkoistukset, palvelukehitys) ja varmistamalla, että ne sisältävät sisäänrakennettua tietosuojaa ja oletusarvoista tietosuojaa koskevia vaatimuksia.

Virustorjunta & palomuurit

Kaikki järjestelmät on suojattava virustorjunnalla ja palomuureilla. Nämä on saatettava ajan tasalle heti, kun ohjelmiston päivitys on saatavilla käyttäjille.

Verkkoon pääsy

Pääsy verkkoon etätyöpaikasta tulisi sallia vain, kun käyttäjä on todennettu pääsynvalvonnan ja vahvistusmenettelyjen kautta siten, miten Zmarta Group on ilmoittanut, esim. VPN:n kautta.

Kaikki arkaluontoinen ja sisäisesti tai ulkoisesti kommunikoitu dataviestintä on suojattava salauksella tai muulla riittävällä turvajärjestelmällä.

Omat sivustot & salattu tiedonsiirto

Erityistä huomiota turvallisuuteen tulee kiinnittää verkkosivuilla, joiden kautta henkilötietoja siirtyy. Tietoturvavastaavan on varmistettava, että turvallisuustaso on jatkuvasti asianmukainen.

Zmarta Group haluaa, että käyttäjät tuntevat itsensä turvalliseksi luovuttaessaan meille henkilötietojaan. Henkilötietojen suojaamiseen käytämme https:aa (ts. SSL-salausta), kun käyt sivustollamme. Tämä tarkoittaa sitä, että kaikki tiedot (kuten henkilötiedot) salataan aina, kun lähetät niitä meille. Käytämme myös ”Symantec Norton Secured – Powered by VeriSign SSL-todistusta”, jossa on Extended Validation, joka aktivoi vihreän osoiterivin näyttämään, että meillä on VeriSignin hallinta ja hyväksyntä.

Käyttäjän turvallisuus

Salasanaa ja käyttäjätunnusta käsitellään turvallisella tavalla, ja kirjautumistunnukset ovat luvanvaraisia.  Zmartan on varmistettava, että sen työntekijät tuntevat hyvin, kuinka Zmarta Group käsittelee henkilötietoja, sekä sen tietoturvarakenteen.

Henkilötietoja ja tietoturvaa koskevista riskitilanteista ilmoittaminen

Henkilötietojen turvallisuutta koskevat riskitilanteet voivat liittyä esimerkiksi tulipaloon tai luvattomaan tunkeutumiseen. Tämä tarkoittaa sitä, että organisaation on huolehdittava riskinhallinnasta. Käytössä on oltava pitkälle kehitetyt menettelyt, jotta henkilötietoja koskevista riskitapahtumista voidaan välittömästi ilmoittaa. Ilmoitus tapahtumasta on tehtävä valvontaviranomaiselle 72 tunnin kuluessa.

Zmartalla on oltava käytössä menettely, joka sisältää mallin riskitilanteiden kuvaamiseen. Tietoturvatyön seuranta tapahtuu varmistamalla, että kaikki riskitapahtumat kirjataan niitä varten tarkoitettuun järjestelmään. Valittujen tai toteutettujen suojatoimenpiteiden seurannan on oltava jatkuvaa.

Jos tapahtuma voi johtaa siihen, että henkilöihin kohdistuu vakavia riskejä, kuten syrjintää, identiteettivarkauksia, petoksia tai taloudellisia varkauksia, Zmartan on ilmoitettava rekisteröidyille tapahtuneesta, jotta he voivat toteuttaa tarvittavat toimenpiteet.

Arkistointi ja säilytys

Jokaisessa järjestelmässä on erilaisia tietoja, joilla on erilaiset harvennusta ja pitkän aikavälin arkistointia koskevat vaatimukset. Zmarta Groupilla on oltava erillinen arkistointimenettely tiedon arkistoinnin tilaamiseksi.

Hankinnat

Zmarta Groupin hankintoihin ja sopimusten hallinnointiin (sopimuksen teon yhteydessä käytävä menettely) tarkoitettujen ohjeiden on varmistettava, että tämän käytännön sääntöjä noudatetaan ja pannaan täytäntöön.

Fyysinen turvallisuus

Kaikki tietoihin pääsyt kirjataan ylös. Kriittisen tärkeää tietojärjestelmää on säilytettävä fyysisesti rajatussa huoneessa. Turvallisuuden on oltava olennainen osa Zmartan liiketoimintaa ja tuettava liiketoimintaa niin, että laatu- ja tehokkuustavoitteet voidaan saavuttaa. Palvelimet ja tallennusvälineet, jotka sisältävät arkaluontoisia tai luottamuksellisia tietoja, on suojattava erityisen hyvin.

Zmartan kaikissa tiloissa on oltava asianmukaiset hälytysjärjestelmät. Zmartan kaikissa tiloissa on oltava palovaroittimet ja evakuointisuunnitelmat sekä opasteet hätäuloskäynteihin ja poistumistiet.

Riskianalyysit

Riskianalyysit on suoritettava vuosittain liiketoiminnan keskeisten prosessien osalta. Ne toteutetaan käyttämällä tähän tarkoitukseen kehitettyjä menetelmiä ja malleja. Käyttämämme riskiluokitus arvioidaan arvoilla matala, kohtalainen tai korkea.

Viitteet ja linkit

Zmarta ei ole vastuussa mistään sisällöstä, joka on linkitetty tai johon on viitattu näiltä sivuilta. Jos esitetyn tiedon käytössä tapahtuu vahinkoa, Zmarta vapautetaan kaikesta vastuusta, mutta tämä ei koske henkilöä tai henkilöjä, joka/jotka olivat linkittäneet kyseiselle sivulle.

Lisäksi Zmarta ei ole vastuussa mistään sivustollamme julkaistuista kommenteista tai viesteistä.

Vastuu

Tämän käytännön sisällöstä määrää Zmartan johto. Tietoturvavastaava vastaa siitä, että käytäntö ja siihen liittyvät asiakirjat päivitetään ja toimitetaan tiedoksi kaikille työntekijöille.

Tietoturvavastaava valvoo myös, että käytäntöä noudatetaan ja että kaikki työntekijät saavat siihen asianmukaisen koulutuksen, jotta tietoisuus asiasta lisääntyy.

Tietosuojaviranomainen ja tietosuojavaltuutettu

Zmartaa/Freedom Rahoitusta valvova tietosuojaviranomainen Suomessa on Tietosuojavaltuutettu. Zmarta/Freedom Rahoitus on ruotsalaisen yrityksen Zmarta Sweden Group KB:n omistuksessa ja kuuluu Zmarta Group -konserniin, jonka päätoimipaikka on Ruotsissa.  Konsernin johtavana valvontaviranomaisena toimii siten Ruotsin tietosuojaviranomainen (Datainspektionen). Koska Zmarta/Freedom Rahoitus toimii Suomessa, molemmat viranomaistahot ovat toimivaltaisia käsittelemään toimintaamme koskevia valituksia.

Sinulla on tietosuojalainsäädännön mukaan oikeus tehdä vallituksia henkilötietojesi käsittelystä asiaa valvovalle viranomaiselle.

Datainspektionenin yhteystiedot ovat: puhelin: 08-657 61 00, s-posti: datainspektionen@datainspektionen.se ja postiosoite; Box 8114, 104 20 Stockholm.

Suomen tietosuojavaltuutetun yhteystiedot ovat: puhelin: 029 56 66700, s-posti: tietosuoja@om.fi ja postiosoite: PB 800, 00521 Helsinki.

Yhteystiedot

Tavoitat Freedom Rahoituksen puhelimitse numerosta 09-42 41 44 00, sähköpostitse osoitteesta info@zmarta.fi/asiakaspalvelu@freedomrahoitus.fi tai postitse osoitteesta; Mikonkatu 15 B, 00100 Helsinki.

Jos sinulla on kysyttävää tietoturvakäytännöstä tai siitä, kuinka käsittelemme henkilötietoja yleisesti, olet tervetullut ottamaan yhteyttä Tietosuojavaltuutettuumme sähköpostitse:  dpo.fi@zmartagroup.com tai postitse: Tietosuojavastaava, Zmarta/Freedom Rahoitus, Mikonkatu 15 B, 00100 Helsinki.

Tämä tietoturvakäytäntö tulee voimaan 15.4.2018 alkaen.

Lataa tiedostona