Tietoturva

Kieku-järjestelmä on rakennettu siten, että se täyttää valtion tietoturva-asetuksen ja Vahti-ohjeiden mukaisen perustason tietoturvavaatimukset ja henkilöstöhallinnon tietojen osalta korotetun tason vaatimukset.

Keskeisiä tietoturvaan liittyviä periaatteita:

  • Kieku-järjestelmässä saa olla korkeintaan III suojaustason materiaalia. I ja II suojaustason materiaalia ei saa tallentaa järjestelmään. Kirjanpitoyksiköt ja Palkeet vastaavat tallentamiensa tietojen osalta em. periaatteen noudattamisen.
  • Kiekun tuotantoympäristöön ja tietoihin annetaan pääsy vain sellaisille henkilöille, joilla on tehtävänsä perusteella tähän tarve tai oikeus.
  • Kieku-toiminnan tietoturvavaatimusten toteutumisen varmistamiseen käytetään sisäisen valvonnan lisäksi ulkopuolista auditoijaa.
  • Palkeet omistaa Kieku-järjestelmän ja vastaa sen tietoturvasta, rakenteellisista ja teknisistä ratkaisuista sekä ohjeistuksen antamisesta kirjanpitoyksiköille.
  • Palkeet vastaa palvelutuotannosta ja toimintansa tietoturvasta.
  • Kukin kirjanpitoyksikkö vastaa omasta toiminnastaan ja sen tietoturvasta.
  • Palkeet vastaa palvelutuotannon käyttövaltuuksien oikeellisuudesta ja kirjanpitoyksiköiden käyttövaltuuksien toteutuksesta toimeksiannon mukaisesti. Kirjanpitoyksiköt vastaavat käyttövaltuuksiensa oikeasta sisällöstä ja ajantasaisuudesta.

Keskeisimmät tietoturvamekanismit:

Kirjanpitoyksiköiden liittyessä VY-verkkoon Valtori auditoi kirjanpitoyksiköt tietoturvallisuuden perustasoa vastaan.

Käyttöpalveluympäristö

Tietoturvaratkaisuilla estetään asiattomien pääsy Kieku-tuotannon palvelimille ja tietoihin sekä mahdollistetaan operoijien valvonta.
Kiekun konesalit ovat Suomessa. Toisessa EU-maassa työskentelevä käyttöpalveluhenkilöstö ei pääse näkemään tuotannon henkilötietoja.
Keskeiset henkilöstöhallinnon tietokannat on salattu ja niiden käyttöä valvotaan tiukennetusti.
Käyttöpalveluympäristöön tehdään säännöllisiä tietoturvapäivityksiä (mm. käyttöjärjestelmät ja tietokantaohjelmistot)

Järjestelmät

  • Valmisohjelmistojen tietoturvavaatimusten toteutumisesta järjestelmässä vastaavat niiden toimittajat.
  • Toimittajien ehdottamia tietoturvapäivityksiä viedään tuotantoon säännöllisesti Kieku-julkaisujen yhteydessä.
  • Tietoturva huomioidaan uutta toiminnallisuutta tehtäessä.

Käyttövaltuushallinta

  • Käyttöoikeuksia hakevat esimiehet alaisilleen tai toimittajien nimetyt vastuuhenkilöt organisaatioidensa henkilöstölle.
  • Laajoja käyttöoikeuksia annetaan vain tarvittaessa ja erityisellä harkinnalla.
  • Vaaralliset työyhdistelmät palvelukeskuksessa on tunnistettu ja niiden syntyminen estetään Palkeissa, kun annetaan pyydetyt käyttövaltuudet. Samoin toimitaan myös kirjanpitoyksiköiden käyttövaltuuksien konseptin mukaisuuden kohdalla.
  • Lokitietoa järjestelmään kirjautumisesta ja käytöstä kerätään erillisille palvelimille. Kirjautumisia seurataan kuukausittain ja käyttöön liittyviä lokeja tarkastellaan tarpeen mukaan esim. väärinkäytösepäilysten yhteydessä.

Kirjanpitoyksikön henkilöstö, tilat ja työasemat

  • Kirjanpitoyksikkö vastaa tietoturvakäytäntöjen mukaisesti työasemapolitiikasta, tietoturvaohjeista ja henkilökunnan tietoturvakoulutuksesta.