Tervetuloa Intric Support Centeriin
Turvallisuus & Sääntelynmukaisuus
DPIA-tuki

DPIA-tuki

Jotta asiakkaidemme on helpompi suorittaa tietosuojan vaikutusten arviointi (DPIA), Intric tarjoaa kattavan materiaalin ISO27001-sertifioidun tietoturvallisuuden hallintajärjestelmänsä (ISMS) perusteella. Intric AB on sertifioitu ISO 27001:2022 -standardin mukaisesti, joka on kansainvälisesti tunnustettu standardi tietoturvallisuuden hallintajärjestelmille. Lue lisää sertifikaateistamme Trust Centeristämme.

Alla oleva materiaali sisältää:

  • Ote Intricin sisäisistä teknisistä ja organisatorisista suojatoimenpiteistä.
  • Luettelon alustassa saatavilla olevista tietoturvatoiminnoista (esim. käyttöoikeuksien hallinta, lokitus, salaus), joita voit käyttää tietojesi suojaamiseen.

Voit käyttää tätä materiaalia perustana omaan riskinarviointiin (DPIA). Huomaa, että tarvitsemasi erityiset toimenpiteet riippuvat käsittelemäsi tiedon ja henkilötietojen arkaluonteisuudesta alustassa.

Tietoturvallisuus ja suojatoimenpiteet

Intric tarjoaa AI-alustan tiedonhallintaan ja automatisointiin, jossa tietoturvallisuus ja vaatimustenmukaisuus ovat keskiössä. Alusta voidaan käyttää dedikoidussa pilvi-instanssissa eurooppalaisten isännöintipalveluntarjoajien kanssa tai on-premise-asennuksen kautta. Alusta tukee sekä globaaleja AI-malleja että eurooppalaisia ja ruotsalaisia kielimalleja. On-premise-asennuksissa kielimallit voidaan myös käyttää paikallisesti.

Tietoturvallisuuden hallintajärjestelmä (ISO27001-sertifioitu)

Intric AB:n tietoturvallisuuden hallintajärjestelmä (ISMS) on ISO-27001-sertifioitu ja toimii takuuna siitä, että yrityksemme alusta täyttää julkisen sektorin asiakkaidemme vaatimat tiukat suojaus-, eheys- ja saatavuusvaatimukset.

Alla on yleiskatsaus Intricin ISMS:ään kuuluvista käytännöistä ja ohjeista. Lue lisää Intricin sertifikaateista ja pääsy käytäntöihimme Trust Centeristämme.

Information Security Policy - Kattava viitekehys, joka varmistaa luottamuksellisuuden, eheyden ja saatavuuden kaikille järjestelmille ja tiedoille. Kattaa käyttöoikeuksien hallinnan, tietosuojan, tapahtumien hallinnan ja jatkuvan seurannan.

Access Control and Termination Policy - Vähimmäisoikeuksien periaatetta (least privilege) sovelletaan johdonmukaisesti. Kaikki käyttöoikeudet dokumentoidaan, tarkistetaan neljännesvuosittain ja peruutetaan yhden työpäivän kuluessa päättymisestä.

Acceptable Use Policy - Selkeät ohjeet IT-resurssien käyttöön monitekijätodennuksen (MFA) vaatimuksilla kaikissa tuotantoympäristöissä ja kriittisissä järjestelmissä.

Data Classification Policy - Systemaattinen tiedon luokittelu neljään tasoon (Public, Internal, Confidential, Restricted) erityisillä käsittelyvaatimuksilla jokaiselle tasolle.

Data Handling Procedure - Yksityiskohtaiset vaatimukset tietojen turvalliselle käsittelylle koko elinkaaren ajan, keräyksestä poistamiseen, salatulla arkaluonteisten tietojen salauksella levossa ja siirrossa.

Records Retention and Disposal Policy - Turvallinen tiedon tallennus ja tuhoaminen oikeudellisten vaatimusten ja liiketoimintatarpeiden mukaisesti vahvistetuilla poistomenetelmillä.

Incident Response Policy - Jäsennelty prosessi tietoturvatapahtumien raportoinnille, käsittelylle ja viestinnälle määritellyillä vastausajoilla vakavuuden perusteella.

Baseline Hardening Policy - Kaikkien järjestelmien konfiguraatiostandardit sisältävät verkon kovettamisen, päivitysten hallinnan, lokituksen, MFA:n ja salauksen.

Change Management Policy - Kaikki tuotannon muutokset vaativat hyväksynnän, testauksen ja dokumentoinnin. Lähdekoodimuutokset lokitetaan ja vaativat hyväksynnän ennen tuotantokäyttöönottoa.

Risk Assessment and Treatment Policy - Vuotuinen riskinarviointi tunnistaa uhkat ja haavoittuvuudet. Kriittiset riskit käsitellään välittömästi dokumentoiduilla hoitosuunnitelmilla.

Business Continuity and Disaster Recovery - Testattu palautussuunnitelma varmistaa jatkuvan toiminnan tapahtumien aikana. Säännölliset varmuuskopiot vahvistetulla palautuskapasiteetilla.

Business Impact Analysis Policy - Systemaattinen analyysi kriittisistä prosesseista määritellyillä palautusaikatauluilla (RTO) ja palautuspistetavoitteilla (RPO).

Personnel Security Policy - Taustatarkistukset, luottamuksellisuussopimukset ja vuotuinen pakollinen tietoturvakoulutus kaikelle henkilöstölle. Selkeät roolit ja vastuut tietoturvatyölle.

Board of Directors Charter & Oversight Committee Charter - Selkeä hallinto ja vastuu johdon tasolla tietoturvallisuudelle, riskienhallinnalle ja teknologiavalvonnalle.

Vendor Management Policy - Kaikkien kriittisten toimittajien tietoturva-arviointi ennen ottamista käyttöön ja vuotuinen seuranta. Vaatimukset luottamuksellisuussopimuksille ja tietoturvasitoumuksille.

Physical Security Policy - Valvottu fyysinen pääsy tiloihin ja laitteisiin vähimmäisoikeuksien periaatteen mukaisesti dokumentoidulla käyttöoikeuksien hallinnalla.

Network Security Policy - Segmentoitu verkkorakenne palomuurien, salatun viestinnän (TLS 1.2+) ja säännöllisen verkkoliikenteen seurannan kanssa.

Ote sisäisistä teknisistä suojatoimenpiteistä

Alla on useita esimerkkejä sisäisistä teknisistä suojatoimenpiteistä, jotka on määritelty Intric AB:n ISO-27001-sertifioidun tietoturvallisuuden hallintajärjestelmänsä käytännöissä, menettelyissä ja ohjeissa.

Salaus ja tietosuoja

  • Salaus levossa: Kaikki arkaluonteiset tiedot salataan tallennuksessa käyttäen alan standardialgoritmeja
  • Salaus siirrossa: TLS 1.2+ vaaditaan kaikille tietojen siirroille julkisissa verkoissa
  • Avainten hallinta: Keskitetty salausavainten hallinta pilvipalveluntarjoajan avaintenhallintapalvelun kautta

Käyttöoikeuksien hallinta

  • Monitekijätodennus (MFA): Pakollinen kaikille privilegioiduille tileille ja pääsylle tuotantoon, sähköpostiin, versiohallintaan ja pilvi-infrastruktuuriin
  • Yksilölliset käyttäjätunnukset: Kaikille käyttäjille määritetään yksilölliset tunnukset, joita voidaan jäljittää
  • Salasanavaatimukset: Vähintään 8 merkkiä monimutkaisuusvaatimuksilla, yksilölliset järjestelmittäin
  • Roolipohjainen käyttöoikeus (RBAC): Vähimmäisoikeudet työroolin perusteella
  • Salasananhallintasovellukset: Hyväksytyt salasananhallintasovellukset vaaditaan tunnusten tallentamiseen

Verkotturvallisuus

  • Segmentointi: Tuotanto, kehitys/testaus ja yritysverkot pidetään erillään
  • Palomuurit: Määritetty sallimaan vain tarvittavat portit ja protokollat

Haavoittuvuuksien hallinta

  • Automaattinen haavoittuvuusskannaus: Kuukausittaiset skannaukset infrastruktuurista ja sovelluksista
  • Päivitysten hallinta: Kriittiset tietoturvapäivitykset sovelletaan määriteltyjen aikataulujen mukaisesti
  • Tunkeutumistestaus: Säännölliset tietoturvakontrollien testit
  • Haavoittuvuuksien priorisointi: Kriittiset haavoittuvuudet käsitellään välittömästi

Lokitus ja seuranta

  • Lokitus: Kaikki järjestelmätoiminnot, järjestelmänvalvojan toimet ja tietoturvatapahtumat lokitetaan
  • Aikasynkronointi: NTP:ää käytetään tarkkaan aikaleimaukseen
  • Lokin suojaus: Lokit suojataan luvattomalta pääsyltä ja muokkaukselta
  • Lokin säilytys: Lokit tallennetaan sopimuksen/asiakkaan ohjeiden mukaisesti

Varmuuskopiointi ja palautus

  • Automaattiset varmuuskopiot: Vähintään viikoittainen käyttäjätietojen varmuuskopiointi
  • Maantieteellinen redundanssi: Varmuuskopiot replikoidaan eri saatavuusvyöhykkeisiin
  • Palautustestit: Jaksottaiset varmuuskopioiden eheyden vahvistukset
  • Versiohallinta: Lähdekoodi versiohallitaan jäljitettävyydellä

Kehitysturvallisuus

  • Erikseen kehitysympäristö: Kehitys ja testaus erotettu tuotannosta
  • Koodikatselmus: Kaikki tuotannon muutokset vaativat hyväksynnän
  • Turvallinen lähdekoodin hallinta: Pääsy säilöihin on rajoitettu MFA:lla
  • Syötteen validointi: Tiedot validoidaan estääksesi hyökkäykset

Laitteiden hallinta

  • Mobile Device Management (MDM): Keskitetty päätepisteiden hallinta
  • Levyn salaus: Vaatimukset työasemien ja kannettavien tietokoneiden salaamiselle
  • Automaattiset päivitykset: Käyttöjärjestelmät ja sovellukset pidetään ajan tasalla
  • Näytön lukitus: Automaattinen näytön lukitus käyttämättömyyden jälkeen

Ote organisatorisista suojatoimenpiteistä

Alla on useita esimerkkejä sisäisistä organisatorisista suojatoimenpiteistä, jotka on määritelty Intric AB:n ISO-27001-sertifioidun tietoturvallisuuden hallintajärjestelmänsä käytännöissä, menettelyissä ja ohjeissa.

Käytäntöjen hallinta ja vaatimustenmukaisuus

  • Vuotuinen käytäntöjen tarkistus: Kaikki käytännöt tarkistetaan ja päivitetään vähintään vuosittain
  • ISO27001:2022-sertifiointi: Riippumaton tietoturvallisuuden hallintajärjestelmän sertifiointi
  • Statement of Applicability (SoA): Dokumentoitu kontrollien valinta perusteluineen
  • Vaatimustenmukaisuuskontrollit: Säännöllinen käytäntöjen noudattamisen seuranta

Riskienhallinta

  • Vuotuinen riskinarviointi: Systemaattinen riskien tunnistaminen ja arviointi
  • Riskirekisteri: Dokumentoidut riskit omistajineen ja hoitosuunnitelmineen
  • Riskien hyväksyntä: Muodollinen prosessi jäljellä olevien riskien hyväksymiselle
  • Jatkuva seuranta: Jatkuva seuranta tunnistettuja riskejä

Henkilöstö ja osaaminen

  • Taustatarkistukset: Suoritetaan ennen työsuhteen alkamista paikallisten lakien mukaisesti
  • Luottamuksellisuussopimukset (NDA): Pakollinen kaikelle henkilöstölle ennen pääsyä
  • Tietoturvakoulutus: Vuotuinen pakollinen koulutus kaikelle henkilöstölle
  • Roolikohtainen koulutus: Erikoiskoulutus tietoturvallisuuskriittisille rooleille
  • Suorituskyvyn arviointi: Vuotuinen tarkistus sisältää tietoturvavastuut

Käyttöoikeuksien hallintaprosessit

  • Ottamisprosessi: Jäsennelty prosessi käyttöoikeuksien myöntämiselle työsuhteen alkaessa
  • Neljännesvuosittainen käyttöoikeuksien tarkistus: Säännöllinen käyttöoikeuksien tarkistus kriittisille järjestelmille
  • Erottamislista: Varmistaa, että kaikki käyttöoikeudet peruutetaan yhden työpäivän kuluessa
  • Roolinmuutosprosessi: Dokumentoitu prosessi muuttuneille työtehtäville

Tapahtumien hallinta ja toiminta

  • 24/7-seuranta ja raportointi: Selkeät kanavat toiminta- ja tietoturvatapahtumien raportoinnille status.intric.ai -sivuston kautta
  • Määritellyt vastausajat: Kriittiset tapahtumat käsitellään 48 tunnin sisällä
  • Dokumentoitu prosessi: Kaikki tapahtumat seurataan tikettijärjestelmässä
  • Jälkianalyysi: Opit dokumentoidaan ja viestitään
  • Asiakasviestintä: Jäsennelty viestintäsuunnitelma tapahtumien aikana

Muutosten hallinta

  • Muodollinen muutosprosessi: Kaikki tuotannon muutokset vaativat testauksen ja hyväksynnän
  • Palautussuunnitelmat: Dokumentoidut palautussuunnitelmat ongelmien sattuessa
  • Hätämuutokset: Eri menettelyt kiireellisille muutoksille jälkihyväksynnällä
  • Asiakasviestintä: Tiedot suunnitelluista muutoksista

Toimittajien ja kumppaneiden hallinta

  • Toimittajien riskinarviointi: Tietoturva-arviointi ennen ottamista käyttöön
  • Vuotuinen toimittajien tarkistus: Kriittisten toimittajien tietoturvan tarkistus (SOC 2 -raportit)
  • Sopimusehdot: Selkeät tietoturvasitoumukset sopimuksissa
  • Alitoimittajien valvonta: Toimittajien alitoimittajien tarkistus
  • Lopetushallinta: Jäsennelty prosessi irtisanomisessa mukaan lukien tietojen hallinta

Liiketoiminnan jatkuvuus

  • Business Impact Analysis (BIA): Kriittisten prosessien tunnistaminen
  • Dokumentoidut palautustavoitteet: RTO ja RPO määritelty kriittisille järjestelmille
  • Disaster Recovery Plan: Testattu suunnitelma palautukseen suurempien tapahtumien aikana
  • Vuotuinen testaus: BCP/DRP-suunnitelmat testataan vähintään vuosittain
  • Dokumentoitu redundanssi: Järjestelmät jakautuneet eri vyöhykkeisiin

Toiminnallisuus teknisille suojatoimenpiteille Intricissä

Intric-alusta tarjoaa kattavan ja joustavan toiminnallisuuden, joka antaa asiakkaidemme täyden hallinnan teknisien suojatoimenpiteiden toteuttamiseen, räätälöitynä organisaation erityisvaatimuksille tiedon luokittelusta ja riittävästä tietoturvatasosta.

Alla kuvataan alustaan sisäänrakennettu toiminnallisuus, jonka tarkoituksena on aktiivisesti nostaa tietoturvatasoa ja tukea sääntelyn noudattamista.

Käyttöoikeuksien hallinta ja valtuuksien hallinta

  • Roolipohjainen käyttöoikeus (RBAC): Asiakkaat voivat määritellä yksityiskohtaiset käyttäjäroolit ja rajoittaa pääsyä tiettyihin toimintoihin, asiakirjoihin ja AI-malleihin
  • Single Sign-On (SSO): Integraatio asiakkaan olemassa olevan identiteettienhallinnan kanssa (Azure AD, Google Workspace, jne.) keskitetylle käyttöoikeuksien hallinnalle
  • Monitekijätodennus (MFA): Mahdollisuus vaatia MFA:ta kaikille käyttäjille SSO-integraation kautta

Mallin valinta ja tietojen minimointi

  • AI-mallin valinta: Asiakkaat valitsevat globaalien, eurooppalaisten, ruotsalaisten tai paikallisten kielimallien välillä tietoturvavaatimusten perusteella
  • Paikalliset mallit (on-premise): Mahdollisuus ajaa AI-mallit kokonaan asiakkaan infrastruktuurin sisällä ilman ulkoista tietojen siirtoa
  • Tietojen minimointi: Asiakkaat määrittelevät, mitä tietoja käsitellään ja voivat rajoittaa laajuutta

Salaus ja tietosuoja

  • Päästä päähän -salaus: Kaikki tiedot salataan sekä siirrossa että levossa
  • Asiakkaan hallinnoimat avaimet: On-premise-ratkaisussa asiakkailla on täysi hallinta salausavaimista
  • Salattu tallennus: Kaikki dokumentaatio ja keskusteluhistoria tallennetaan salattuna
  • Turvalliset API-kutsut: Kaikki järjestelmien välinen viestintä tapahtuu salattujen kanavien kautta (TLS 1.2+).

Lokitus ja jäljitettävyys

  • Tarkastuslokit: Asiakkaat voivat jäljittää kaikki käyttäjätoiminnot, asiakirjapääsyt ja järjestelmämuutokset
  • Lokin vienti: Mahdollisuus viedä lokit integraatiota varten asiakkaan SIEM-järjestelmään
  • Tietopääsyn loki: Täydellinen lokitus siitä, kenellä on pääsy mihinkin tietoon
  • Käyttäjien vastuu: Näkyvyys siihen, mikä käyttäjä on vastuussa sekä työkaluista/avustajista että ladatuista tiedoista

Tietojen hallinta, poisto ja varmuuskopiointi

  • Tietojen omistajuus: Asiakkaat säilyttävät täyden omistajuuden kaikista järjestelmän tiedoista
  • Valikoiva poisto: Mahdollisuus poistaa tiettyjä asiakirjoja, keskusteluja tai käyttäjiä
  • Massapoisto: Toiminnallisuus poistaa kaikki tiedot palvelun päättyessä
  • Vientitoiminto: Asiakkaat voivat viedä kaikki tietonsa strukturoiduissa muodoissa
  • Automaattinen poisto: Konfiguroitavat säilytyssäännöt automaattiselle poistolle tietyn ajan kuluttua
  • Automaattiset varmuuskopiot: Säännölliset varmuuskopiot asiakkaan tiedoista (pilvipalvelun osalta)
  • Palautustoiminto: Asiakkaat voivat palauttaa poistettuja tietoja määritellyn ajanjakson sisällä (14 päivää)
  • Varmuuskopiointitiheys: Päivittäin
  • Omat varmuuskopiot: On-premise-ratkaisussa asiakkaat vastaavat varmuuskopioista oman käytäntönsä mukaisesti

Verkotturvallisuus

  • Verkon eristäminen: On-premise-ratkaisussa järjestelmä voidaan eristää kokonaan internetistä

Edistynyt tietoturvakonfiguraatio

  • Istunnon aikakatkaisu: Päivittäinen käyttämättömyysaika automaattista uloskirjautumista varten
  • Salasanakäytäntö: Asiakkaat voivat määritellä monimutkaisuusvaatimukset ja kiertosäännöt salasanoille

Tarvitsetko apua? Jos tarvitset lisätukea tai haluat ottaa yhteyttä muihin asiakkaihin, jotka ovat suorittaneet vastaavia arviointeja, älä epäröi ottaa yhteyttä Intricin tukeen.