Kontrollit

Yrityksen säilytysvaatimukset on dokumentoitu, ja henkilötietoja säilytetään tarvittaessa liiketoimintatarkoituksia varten ja/tai sovellettavien lakien tai määräysten mukaisesti.

Yritys edellyttää, että työntekijät allekirjoittavat salassapitosopimuksen perehdytyksen yhteydessä.

Yrityksen tietoturvakäytännöt ja -menettelyt on dokumentoitu ja ne tarkistetaan vähintään vuosittain.

Yritys käyttää suojattuja tiedonsiirtoprotokollia luottamuksellisten ja arkaluonteisten tietojen salaamiseen, kun tietoja siirretään julkisten verkkojen kautta.

Yritys dokumentoi uudet käyttötarkoitukset aiemmin kerätyille tiedoille, tiedottaa rekisteröityjä, hankkii tarvittaessa suostumuksen ja varmistaa, että tietoja käytetään dokumentoidun käyttötarkoituksen mukaisesti.

Johto ja/tai lakiasiain neuvonantaja tarkastaa ja hyväksyy henkilötietojen keräämismenetelmät varmistaakseen oikeudenmukaisen ja lainmukaisen käsittelyn.

Yritys teettää vähintään vuosittain huoltotarkastuksia ympäristöturvallisuustoimenpiteille yrityksen datakeskuksissa.

Yrityksellä on käytössä virallinen järjestelmäkehityksen elinkaaren (SDLC) menetelmä, joka ohjaa tietojärjestelmien sekä niihin liittyvien teknologia- ja vaatimusten kehittämistä, hankintaa, käyttöönottoa, muutoksia (mukaan lukien hätämuutokset) ja ylläpitoa.

Yritys on laatinut tietosuojakäytännön, joka on kirjoitettu selkeällä ja yksinkertaisella kielellä, selkeästi päivätty ja joka antaa tietoa yrityksen käytännöistä ja tarkoituksista henkilötietojen keräämiseen, käsittelyyn, hallintaan ja luovuttamiseen.

Yrityksellä on prosessit ja menettelyt pyyntöjen, tiedustelujen, valitusten tai riitojen vastaanottamiseen, kirjaamiseen ja todentamiseen, kun ne koskevat henkilön yksityisyysoikeuksia henkilötietojen saantiin, tarkasteluun, oikaisuun ja/tai poistamiseen. Tietopyynnöt kirjataan historiallisia ja auditointitarkoituksia varten.

Yritys suorittaa kontrollien itsearviointeja vähintään vuosittain varmistaakseen, että kontrollit ovat käytössä ja toimivat tehokkaasti. Korjaavat toimenpiteet toteutetaan asiaankuuluvien havaintojen perusteella. Jos yritys on sitoutunut havaitun poikkeaman osalta SLA:han, korjaava toimenpide saatetaan valmiiksi kyseisen SLA:n puitteissa.

Yritys asettaa tietosuojakäytäntönsä asiakkaiden, työntekijöiden ja asiaankuuluvien kolmansien osapuolten saataville ennen tai viimeistään siinä vaiheessa, kun henkilötietoja kerätään henkilöltä.

Yritys tekee taustatarkistuksia uusille työntekijöille.

Yrityksellä on käytössään tietosuojakäytäntö, joka kuvaa selkeästi kerättävien henkilötietojen laajuuden, yrityksen velvoitteet, henkilön oikeudet päästä tietoihin, päivittää tai poistaa henkilötietoja sekä tarjoaa ajantasaiset yhteystiedot kysymyksiä, pyyntöjä tai huolenaiheita varten.

Yritys poistaa luottamuksellisia tietoja sisältävät asiakastiedot sovellusympäristöstä, kun asiakas päättää palvelun käytön, parhaiden käytäntöjen mukaisesti.

Yritys tarkistaa ja päivittää tietosuojakäytäntöään tarpeen mukaan tai muutosten yhteydessä varmistaakseen jatkuvan vaatimustenmukaisuuden sovellettavien lakien, määräysten ja asiaankuuluvien standardien kanssa.

Yhtiön hallituksen jäsenillä on riittävä asiantuntemus valvoa johdon kykyä suunnitella, toteuttaa ja ylläpitää tietoturvakontrolleja. Hallitus käyttää tarvittaessa kolmansien osapuolten tietoturva-asiantuntijoita ja konsultteja.

Yritys tarkistaa tietosuojakäytännön tarpeen mukaan tai muutosten yhteydessä ja päivittää sitä vastaavasti varmistaakseen, että se on sovellettavien lakien ja määräysten sekä asianmukaisten standardien mukainen.

Yhtiö ylläpitää kyberturvavakuutusta lieventääkseen liiketoiminnan häiriöiden taloudellisia vaikutuksia.

Yritys toimittaa pyydetyt tiedot varmennuksen jälkeen viivytyksettä ja sovellettavan lainsäädännön mukaisesti.

Yritys tarkistaa ja päivittää säännöllisesti henkilötietoihin liittyviä käytäntöjään ja menettelytapojaan varmistaakseen, että kerätyt tiedot on selkeästi määritelty välttämättömiksi tai valinnaisiksi, niitä käsitellään sovellettavien lakien ja sääntelyvaatimusten mukaisella suostumustasolla ja niitä käytetään ainoastaan tietosuojaselosteessa määriteltyihin tarkoituksiin.

Yrityksen käytäntö kieltää luottamuksellisen tai arkaluonteisen asiakasdatan käytön tai tallentamisen muissa kuin tuotantojärjestelmissä tai -ympäristöissä.

Yritys tarkistaa pääsyn konesaleihin vähintään kerran vuodessa.

Yrityksellä on tuotantoympäristöjä varten monisijaintistrategia, jonka avulla toiminta voidaan käynnistää uudelleen muissa yrityksen datakeskuksissa, jos jokin toimipiste menetetään.

Yrityksen tuotantojärjestelmiin voi muodostaa etäyhteyden vain valtuutettu henkilöstö hyväksytyn, salatun yhteyden kautta.

Yritys vahvistaa poistopyynnöt ja poistaa vahvistuksen jälkeen pyydetyt tiedot sovellettavien lakien ja määräysten mukaisesti.

Yritys hankkii, dokumentoi ja säilyttää nimenomaisen suostumuksen ennen arkaluonteisten tietojen keräämistä, käyttöä tai luovuttamista sovellettavien lakien ja sääntelyvaatimusten mukaisesti.

Yrityksellä on käytössään viralliset säilytys- ja hävityskäytännöt, jotka ohjaavat yrityksen ja asiakkaiden tietojen turvallista säilyttämistä ja hävittämistä.

Yrityksen tuotantojärjestelmiin voidaan muodostaa etäyhteys vain valtuutettujen työntekijöiden toimesta, joilla on käytössään voimassa oleva monivaiheinen tunnistautuminen (MFA).

Yritys tarjoaa asiakkaille ohjeistuksia ja teknisen tuen resursseja, jotka liittyvät järjestelmän käyttöön ja toimintaan.

Yritys on laatinut, ylläpitää ja tarkastaa vähintään vuosittain dokumentaation kolmansille osapuolille kerättävien, käsiteltävien, tallennettavien ja/tai luovutettavien henkilötietojen luonteesta, laajuudesta ja tarkoituksesta.

Yhtiön riskinarvioinnit suoritetaan vähintään vuosittain, ja niihin sisältyy tavoitteisiin vaikuttavien uhkien, muutosten sekä petosriskien tunnistaminen.

Yrityksellä on dokumentoitu riskienhallintaohjelma, joka sisältää uhkien tunnistamisen, riskien arvioinnin ja lieventämisstrategiat.

Tietoturvakontrollien suunnitteluun, kehittämiseen, käyttöönottoon, toimintaan, ylläpitoon ja seurantaan liittyvät roolit ja vastuut on virallisesti määritelty tehtävänkuvauksissa ja/tai rooleja ja vastuita koskevassa käytännössä.

Ennen kuin henkilötietoihin myönnetään pääsy, yritys varmistaa henkilön tai hänen valtuutetun edustajansa henkilöllisyyden ja varmistaa, että tällainen pääsy on lain mukaan sallittua.

Yritys arvioi ja hyväksyy henkilötietoja tuottavat kolmannen osapuolen lähteet varmistaakseen tietojen luotettavuuden ja laillisen keräämisen.

Yritys testaa poikkeamien hallintasuunnitelmansa vähintään kerran vuodessa.

Yhtiön hallituksella on dokumentoitu toimintaohje, jossa määritellään sen valvontavastuut sisäisen valvonnan osalta.

Yritys edellyttää, että työntekijät suorittavat tietoturvatietoisuuskoulutuksen 30 päivän kuluessa työsuhteen alkamisesta ja sen jälkeen vähintään vuosittain.

Yritys on dokumentoinut ja viestinyt tietoturva- ja tietosuoja‑tapahtumien hallinnan käytännöt ja menettelyt.

Yhtiön hallitus kokoontuu vähintään kerran vuodessa ja pitää virallista kokouspöytäkirjaa. Hallitukseen kuuluu yhtiöstä riippumattomia jäseniä.

Yhtiön hallitusta tai asiaankuuluvaa alakomiteaa informoi ylin johto vähintään vuosittain yhtiön kyberturvallisuus- ja tietosuojariskien tilanteesta. Hallitus antaa johdolle tarvittaessa palautetta ja suuntaa.

Yrityksellä on dokumentoidut prosessit, joilla varmistetaan, että tietosuojaan liittyvät valitukset käsitellään, dokumentoidaan ja viestitään rekisteröidyille.

Yritys tarjoaa kuvauksen tuotteistaan ja palveluistaan sisäisille ja ulkoisille käyttäjille.

Yritys hävittää henkilötiedot turvallisesti dokumentoitujen käytäntöjen mukaisesti. Henkilötiedot anonymisoidaan, poistetaan turvallisesti ja/tai tuhotaan, kun niitä ei enää tarvita.

Yrityksen johto on määritellyt roolit ja vastuut valvoakseen tietoturvakontrollien suunnittelua ja käyttöönottoa.

Yrityksen tietoturvaan liittyvät sitoumukset viestitään asiakkaille puitesopimuksissa (MSA) tai käyttöehdoissa (TOS).

Yrityksellä on käytössä prosessit fyysisen pääsyn myöntämiseen, muuttamiseen ja päättämiseen yrityksen datakeskuksiin valvontavastuullisten antaman valtuutuksen perusteella.

Yrityksen verkko on segmentoitu, jotta voidaan estää luvaton pääsy asiakastietoihin.

Yritys määrittelee tavoitteensa mahdollistaakseen kyseisiin tavoitteisiin liittyvien riskien tunnistamisen ja arvioinnin.

Henkilöt voivat hyväksyä tai hylätä ei-välttämättömät evästeet, eikä henkilötietoja käsitellä ilman pätevää suostumusta.

Yritys salaa kannettavat ja irrotettavat mediavälineet käytettäessä.

Yritys ylläpitää organisaatiokaaviota, joka kuvaa organisaatiorakenteen ja raportointilinjat.

Laadi järjestelmäsi kuvaus auditointiraportin osaa III varten.

Yritys edellyttää, että "tuotantoverkkoon" kirjaudutaan yksilöllisillä käyttäjätunnuksilla ja salasanoilla tai valtuutetuilla Secure Shell (SSH) -avaimilla.

Yrityksellä on ulkoisille käyttäjille tarkoitettu tukijärjestelmä, jonka avulla käyttäjät voivat ilmoittaa järjestelmävioista, häiriöistä, huolenaiheista ja muista valituksista oikeille henkilöille.

Yrityksen esihenkilöiden on tehtävä suoritusarvioinnit suorille alaisilleen vähintään kerran vuodessa.

Yritys edellyttää, että palvelun ohjelmisto- ja infrastruktuurikomponentteihin tehtävät muutokset valtuutetaan, dokumentoidaan virallisesti, testataan, tarkastetaan ja hyväksytään ennen kuin ne otetaan käyttöön tuotantoympäristössä.

Yritys tiedottaa järjestelmämuutoksista valtuutetuille sisäisille käyttäjille.

Yksityishenkilöt, asiakkaat tai valtuutetut tilinhaltijat voivat päivittää henkilötietonsa varmistaakseen niiden oikeellisuuden ja täydellisyyden.

Yrityksellä on tietoluokittelukäytäntö, jolla varmistetaan, että luottamukselliset tiedot suojataan asianmukaisesti ja että niihin pääsevät käsiksi vain valtuutetut henkilöt.

Yhtiö tiedottaa yksilön henkilötietojen oikaisuista tai poistamisista valtuutetuille käyttäjille ja asiaankuuluville kolmansille osapuolille, joille henkilötietoja on jaettu tai siirretty.

Yritys edellyttää, että työntekijät hyväksyvät toimintaohjeet työsuhteen alkaessa. Toimintaohjeita rikkoviin työntekijöihin kohdistetaan kurinpitotoimia kurinpitokäytännön mukaisesti.

Yrityksellä on käytössä toiminnan jatkuvuus- ja katastrofipalautussuunnitelmat, joissa kuvataan viestintäsuunnitelmat tietoturvan jatkuvuuden ylläpitämiseksi tilanteissa, joissa keskeistä henkilöstöä ei ole käytettävissä.

Yritys ilmoittaa, kun henkilötietoja kerätään tai käytetään uusiin tarkoituksiin, joita ei ole aiemmin määritelty tietosuojakäytännössä.

Yritys ilmoittaa asiakkaille kriittisistä järjestelmämuutoksista, jotka voivat vaikuttaa heidän käsittelyynsä.

Yritys edellyttää, että urakoitsijat allekirjoittavat salassapitosopimuksen toimeksiannon alkaessa.

Yrityksellä on kirjalliset sopimukset toimittajien ja kolmansien osapuolten kanssa, jotka sisältävät salassapito- ja tietosuojasitoumukset.

Yritys edellyttää, että tuotantodatavarastoihin kirjaudutaan valtuutetuilla, turvallisilla todennusmenetelmillä, kuten ainutlaatuisella SSH-avaimella.

Yritys hankkii henkilön suostumuksen ja mieltymykset keruuhetkellä tai ennen tietojen keräämistä, ylläpitää dokumentaatiota ja toteuttaa valitut mieltymykset oikea-aikaisesti.

Yritys edellyttää, että vierailijat kirjautuvat sisään, käyttävät vierailijatunnistetta ja että valtuutettu työntekijä saattaa heitä, kun he vierailevat konesalissa tai muilla suojatuilla alueilla.

Yrityksen viralliset käytännöt määrittelevät haavoittuvuuksien hallinnan ja järjestelmävalvonnan vaatimukset.

Yritys edellyttää, että järjestelmiin ja sovelluksiin kirjaudutaan käyttäen yksilöllistä käyttäjätunnusta ja salasanaa tai valtuutettuja Secure Shell (SSH) -avaimia.

Yhtiö edellyttää, että alihankkijasopimuksissa on mukana toimintaohjeisto tai viittaus yhtiön toimintaohjeistoon.