Tuula Salakari sanoo:
Hyvä asiakaspalvelu Nuori mies laittoi vielä suoran puh numeron tälle mammalle jos tulee jotain ong...
5. huhtikuuta 2025Tämä tietotekniikan turvallisuuskäytäntö koskee Zmarta Group -konsernia ("Zmarta") ja konserniin kuuluvia yrityksiä, kuten Freedom Rahoitus Oy:tä.
Käytännössä esitetään Zmartan ohjaavat periaatteet, linjaukset sekä yleinen päämäärä tietoturvallisuustyössä.
Tietoturvan on tarkoitus tarjota Zmartan/Freedom Rahoituksen tietoresursseille sopiva ja oikea-aikainen suoja ja se kattaa seuraavat turvallisuusnäkökohdat:
Saatavuus – että tieto on saatavilla odotettavissa määrin ja haluttuna ajankohtana.
Eheys – että tietoja suojataan ei-toivotuilta ja luvattomilta muutoksilta tai tuhoilta.
Salassapito – että dataa tai muita tietoja ei aseteta saataville tai julkisteta ilman lupaa.
Luottamuksellisuus – että tiedot ovat tietosuojaa koskevien lakien ja asetuksien sekä sisäisten ohjeiden mukaisia, eikä niitä aseteta saataville tai julkisteta ilman lupaa.
Jäljitettävyys – että voimme jäljittää merkittävät muutokset järjestelmässä sekä jälkeenpäin johtaa yksiselitteisesti tietyt toiminnot tai tapahtumat tunnistettuun objektiin tai käyttäjään (kuka, mitä, milloin).
Hyvä tietoturva on hyvin tärkeää Zmartan toiminnan suojaamiseksi sisäisiä ja ulkoisia tietotekniikan uhkia vastaan. Tietoturvatyön tavoitteena on myös suojata työntekijöitä ja kuluttajia, joita autamme toimiessamme asuntolainojen, kulutusluottojen ja vakuutusten välittäjänä, sekä palveluntoimittajiamme ja muita yhteistyökumppaneita.
Tietoturvatyössä tietoon liittyviä riskejä hallitaan järjestelmällisesti ja johdonmukaisesti. Työ ei ole staattista, vaan sitä on jatkuvasti kehitettävä ja paranneltava liiketoiminnan ja ympäröivän maailman muuttuessa.
Lähtökohtanamme tietoturvallisuustyössä on yhtiön ja sidosryhmien tietosuojatarpeet ei-toivottujen tapahtumien ja sattumien varalta.
On erittäin tärkeää, että tietoa ja sen taustalla olevaa infrastruktuuria suojataan tunnistettavilta uhilta, kuten manipuloinnilta, vaurioilta, korruptiolta, luvattomilta toimilta, vilpillisiltä transaktioilta, puhtailta virheiltä, olivatpa ne tahattomia vai tahallisia, sekä salassapidon rikkomiselta Zmarta Group -konsernin ja sen asiakkaiden tai yhteistyökumppaneiden välillä.
Tässä käytännössä kuvatut turvatoimet muodostavat ohjeet siitä, miten tietoa ja tietojärjestelmiä (sekä sisäisiä että ulkoisia) käytetään turvallisella tavalla. Tietoturvallisuuskäytännön tarkoitus on varmistaa, että kaikki Zmartan tietoresurssien käsittely on sovellettavien lakien, asetusten ja yleisten ohjeiden sekä Zmartan sisäisten ohjeiden, käytäntöjen ja menettelytapojen mukaista.
Zmartan tietoturvatyölle on ominaista:
Että tietoturvan varmistamiseksi on olemassa riittävät tiedot,
Että kriisinhallintakykyä analysoidaan ja ylläpidetään jatkuvasti,
Että tietoresursseja luokitellaan olemassa olevan mallin mukaisesti,
Että tietoresursseihin perustuvaa uhkakuvaa analysoidaan jatkuvasti,
Että negatiivisiin seurauksiin johtavia tapahtumia ehkäistään ja
Tietoturvatyö on luonnollinen osa liiketoimintaa.
Zmarta Group -konsernin tietoturva sisältää seuraavat periaatteet:
Panostaminen turvatoimiin toteutetaan liiketoiminnan asettamien vaatimusten, tehdyn riskiarvioinnin ja tehokkuusvaatimusten perusteella.
Tietoturvan käyttöönoton on oltava toteuttamiskelpoista ja käytännöllistä, ja suojaustaso ja tehokkuus on oltava tasapainossa.
Tietoturva on jatkuva prosessi, joka on integroitu liiketoimintaan.
Työntekijöiden, konsulttien, liiketoimintakumppaneiden ja palveluntoimittajien on ymmärrettävä ja oltava tietoisia siitä, kuinka Zmarta Group suhtautuu tietoturvaan.
Tietoturvalla on oltava suunniteltu rakenne. Se tehostaa Zmartan laatimia tietoturvallisuusvaatimuksia ja varmistaa niiden noudattamisen.
Kaikkiin järjestelmiin pääsyssä käytetään turvallisia tunnistautumis- ja todentamismenetelmiä. Asiattomilla henkilöillä ei ole pääsyä Zmartan tietoresursseihin. Tietoturvan on varmistettava, että vain luvan saaneilla henkilöillä on pääsy tietoihin, joita he tarvitsevat työtehtäviensä suorittamiseksi.
Käytössä on oltava valvontamenetelmä sen varmistamiseksi, että riskitilanteet voidaan havaita ja raportoida, ja että asiamukaisiin toimenpiteisiin voidaan ryhtyä mahdollisesti tulevaisuudessa esiintyvän riskin poistamiseksi tai vähentämiseksi.
Zmartalla tietoturvatyö jaetaan osa-alueisiin. Näitä ovat fyysinen turvallisuus, hallinnollinen turvallisuus, tietoturva/tietotekniikan turvallisuus, henkilökohtainen turvallisuus ja viestinnän turvallisuus.
Jokaisella turvallisuusalueella on siitä vastaava henkilö. Tietoturvavastaava on yleisesti vastuussa strategisesta turvallisuudesta kaikilla näillä alueilla. Tietoturvatyötä johtaa teknologiajohtaja (CTO).
Zmartan tietojärjestelmän luokittelu tapahtuu ottaen huomioon tietoturvaan kuuluvat määritelmämme, toisin sanoen salassapitoa, eheyttä, saatavuutta ja jäljitettävyyttä koskevat vaatimukset. Luokittelu on muodollinen tapa määritellä riittävä suojataso tietojärjestelmälle. Tieto on luokittelun keskiössä.
Zmartan henkilötietojen harventamista ja muun tiedon poistamista koskevat menettelyt perustuvat Zmarta Group -konsernin tietokantarekistereihin ja harvennusmenettelyn kirjallisiin toimintaperiaatteisiin.
Henkilötietoja säilytetään ja käsitellään EU:n yleisen tietosuoja-asetuksen (GDPR) ja soveltuvan kansallisen lainsäädännön mukaan sekä muiden asiaan liittyvien lakien ja asetusten mukaisesti. Jos asiasta on epävarmuutta, kysymykset voidaan osoittaa yleiselle tietoturvallisuudesta vastaavalle tai tietosuojavastaavalle (DPO).
Tietoturvaa on arvioitava kehityksen, täytäntöönpanon ja muutosvaiheiden kannalta läpi koko ohjelmiston eliniän. Zmartan järjestelmien kehitysprosessi on dokumentoitava, ja muutoksenhallinnan prosesseja ja testejä on valvottava.
Zmarta Group -konsernin järjestelmäkehityksessä sekä henkilöiden yksityisyyden että tietoturvan on oltava ohjaavia periaatteita.
Meidän on siis työstettävä sisäänrakennettua yksityisyyden suojaa (Privacy by Design). Se on konsepti, jota käytetään sellaisten järjestelmien ja ratkaisujen kuvaamiseen, joissa yksityiselämän suoja on olennaisessa osassa, sitä pidetään perusedellytyksenä alusta alkaen järjestelmän ja ratkaisun kehityksessä ja se kulkee punaisena lankana läpi koko järjestelmän elinkaaren. Esimerkkinä toimii tietoturvatoimenpiteiden käyttöönotto jo suunnitteluvaiheessa, kun tarkoituksena on ehkäistä arkaluonteisten tietojen luovuttaminen asiattomille osapuolille.
Privacy by Design -periaatetta täydentää Privacy by Default -säännös, jonka mukaisesti toteutamme asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että käsitellään vain henkilötietoja, joiden käsittely on tarkoitettu kuhunkin erityistarkoitukseen. Velvoite koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytyksen kestoa ja tietojen saatavuutta.
Teemme vaikutusten arviointia (yleisen tietosuoja-asetuksen mukaisesti) tarkastamalla ja päivittämällä käytännöt ja ohjeet esimerkiksi mitä tulee riskienhallintaan ja muutostöihin (IT-hankinnat, ulkoistukset, palvelukehitys) ja varmistamalla, että ne sisältävät sisäänrakennettua tietosuojaa ja oletusarvoista tietosuojaa koskevia vaatimuksia.
Kaikki järjestelmät tulee pitää ajan tasalla viimeisten tietoturvapäivitysten mukaisesti. Sisäänrakennettuja tietoturvajärjestelmiä ei tule laittaa pois päältä.
Pääsy verkkoon etätyöpaikasta tulisi sallia vain, kun käyttäjä on todennettu pääsynvalvonnan ja vahvistusmenettelyjen kautta siten, miten Zmarta Group on ilmoittanut, esim. VPN:n kautta.
Kaikki arkaluontoinen ja sisäisesti tai ulkoisesti kommunikoitu dataviestintä on suojattava salauksella tai muulla riittävällä turvajärjestelmällä.
Erityistä huomiota turvallisuuteen tulee kiinnittää verkkosivuilla, joiden kautta henkilötietoja siirtyy. Tietoturvavastaavan on varmistettava, että turvallisuustaso on jatkuvasti asianmukainen.
Zmarta Group haluaa, että käyttäjät tuntevat itsensä turvalliseksi luovuttaessaan meille henkilötietojaan. Henkilötietojen suojaamiseen käytämme https:aa (ts. SSL-salausta), kun käyt sivustollamme. Tämä tarkoittaa sitä, että kaikki tiedot (kuten henkilötiedot) salataan aina, kun lähetät niitä meille. Käytämme myös ”Symantec Norton Secured – Powered by VeriSign SSL-todistusta”, jossa on Extended Validation, joka aktivoi vihreän osoiterivin näyttämään, että meillä on VeriSignin hallinta ja hyväksyntä.
Salasanaa ja käyttäjätunnusta käsitellään turvallisella tavalla, ja kirjautumistunnukset ovat luvanvaraisia. Zmartan on varmistettava, että sen työntekijät tuntevat hyvin, kuinka Zmarta Group käsittelee henkilötietoja, sekä sen tietoturvarakenteen.
Henkilötietojen turvallisuutta koskevat riskitilanteet voivat liittyä esimerkiksi tulipaloon tai luvattomaan tunkeutumiseen. Tämä tarkoittaa sitä, että organisaation on huolehdittava riskinhallinnasta. Käytössä on oltava pitkälle kehitetyt menettelyt, jotta henkilötietoja koskevista riskitapahtumista voidaan välittömästi ilmoittaa. Ilmoitus tapahtumasta on tehtävä valvontaviranomaiselle 72 tunnin kuluessa.
Zmartalla on oltava käytössä menettely, joka sisältää mallin riskitilanteiden kuvaamiseen. Tietoturvatyön seuranta tapahtuu varmistamalla, että kaikki riskitapahtumat kirjataan niitä varten tarkoitettuun järjestelmään. Valittujen tai toteutettujen suojatoimenpiteiden seurannan on oltava jatkuvaa.
Jos tapahtuma voi johtaa siihen, että henkilöihin kohdistuu vakavia riskejä, kuten syrjintää, identiteettivarkauksia, petoksia tai taloudellisia varkauksia, Zmartan on ilmoitettava rekisteröidyille tapahtuneesta, jotta he voivat toteuttaa tarvittavat toimenpiteet.
Jokaisessa järjestelmässä on erilaisia tietoja, joilla on erilaiset harvennusta ja pitkän aikavälin arkistointia koskevat vaatimukset. Zmarta Groupilla on oltava erillinen arkistointimenettely tiedon arkistoinnin tilaamiseksi.
Zmarta Groupin hankintoihin ja sopimusten hallinnointiin (sopimuksen teon yhteydessä käytävä menettely) tarkoitettujen ohjeiden on varmistettava, että tämän käytännön sääntöjä noudatetaan ja pannaan täytäntöön.
Kaikki tietoihin pääsyt kirjataan ylös. Kriittisen tärkeää tietojärjestelmää on säilytettävä fyysisesti rajatussa huoneessa. Turvallisuuden on oltava olennainen osa Zmartan liiketoimintaa ja tuettava liiketoimintaa niin, että laatu- ja tehokkuustavoitteet voidaan saavuttaa. Palvelimet ja tallennusvälineet, jotka sisältävät arkaluontoisia tai luottamuksellisia tietoja, on suojattava erityisen hyvin.
Zmartan kaikissa tiloissa on oltava asianmukaiset hälytysjärjestelmät. Zmartan kaikissa tiloissa on oltava palovaroittimet ja evakuointisuunnitelmat sekä opasteet hätäuloskäynteihin ja poistumistiet.
Riskianalyysit on suoritettava vuosittain liiketoiminnan keskeisten prosessien osalta. Ne toteutetaan käyttämällä tähän tarkoitukseen kehitettyjä menetelmiä ja malleja. Käyttämämme riskiluokitus arvioidaan arvoilla matala, kohtalainen tai korkea.
Zmarta ei ole vastuussa mistään sisällöstä, joka on linkitetty tai johon on viitattu näiltä sivuilta. Jos esitetyn tiedon käytössä tapahtuu vahinkoa, Zmarta vapautetaan kaikesta vastuusta, mutta tämä ei koske henkilöä tai henkilöjä, joka/jotka olivat linkittäneet kyseiselle sivulle.
Lisäksi Zmarta ei ole vastuussa mistään sivustollamme julkaistuista kommenteista tai viesteistä.
Tämän käytännön sisällöstä määrää Zmartan johto. Tietoturvavastaava vastaa siitä, että käytäntö ja siihen liittyvät asiakirjat päivitetään ja toimitetaan tiedoksi kaikille työntekijöille.
Tietoturvavastaava valvoo myös, että käytäntöä noudatetaan ja että kaikki työntekijät saavat siihen asianmukaisen koulutuksen, jotta tietoisuus asiasta lisääntyy.
Zmartaa/Freedom Rahoitusta valvova tietosuojaviranomainen Suomessa on Tietosuojavaltuutettu. Zmarta/Freedom Rahoitus on ruotsalaisen yrityksen Zmarta Sweden Group KB:n omistuksessa ja kuuluu Zmarta Group -konserniin, jonka päätoimipaikka on Ruotsissa. Konsernin johtavana valvontaviranomaisena toimii siten Ruotsin tietosuojaviranomainen (Datainspektionen). Koska Zmarta/Freedom Rahoitus toimii Suomessa, molemmat viranomaistahot ovat toimivaltaisia käsittelemään toimintaamme koskevia valituksia.
Sinulla on tietosuojalainsäädännön mukaan oikeus tehdä vallituksia henkilötietojesi käsittelystä asiaa valvovalle viranomaiselle.
Datainspektionenin yhteystiedot ovat: puhelin: 08-657 61 00, s-posti: datainspektionen@datainspektionen.se ja postiosoite; Box 8114, 104 20 Stockholm.
Suomen tietosuojavaltuutetun yhteystiedot ovat: puhelin: 029 56 66700, s-posti: tietosuoja@om.fi ja postiosoite: PB 800, 00521 Helsinki.
Tavoitat Freedom Rahoituksen puhelimitse numerosta 09-42 41 44 00, sähköpostitse osoitteesta info@zmarta.fi/asiakaspalvelu@freedomrahoitus.fi tai postitse osoitteesta; Kaivokatu 8 (8. kerros), 00100 Helsinki.
Jos sinulla on kysyttävää tietoturvakäytännöstä tai siitä, kuinka käsittelemme henkilötietoja yleisesti, olet tervetullut ottamaan yhteyttä Tietosuojavaltuutettuumme sähköpostitse: dpo.fi@zmartagroup.com tai postitse: Tietosuojavastaava, Zmarta/Freedom Rahoitus, Kaivokatu 8 (8. kerros), 00100 Helsinki.
Tämä tietoturvakäytäntö tulee voimaan 15.4.2018 alkaen.
Hyvä asiakaspalvelu Nuori mies laittoi vielä suoran puh numeron tälle mammalle jos tulee jotain ong...
5. huhtikuuta 2025Vaihtoehdot selkeät. Nopea toiminta.
2. huhtikuuta 2025Minusta kaikki meni nappiin ja hyvn
20. elokuuta 2024