Kiekun tietoturva
Kieku-järjestelmä on rakennettu täyttämään valtioneuvoston antama asetus tietoturvallisuudesta valtionhallinnossa ja VAHTI suositusten mukaiset perustason tietoturvallisuuden vaatimukset. Henkilöstöhallinnon tietojen ympäristön osalta Kieku-järjestelmä täyttää korotetun tason tietoturvallisuuden vaatimukset.
Tietoturvallisuuden osalta noudatetaan 1.1.2020 alkaen tiedonhallintalakia ja turvallisuusluokiteltujen aineistojen osalta valtioneuvoston antamaa asetusta. Palkeet noudattaa EU-tietosuoja-asetusta ja muuta tietosuojalainsäädäntöä.
Keskeisiä tietoturvallisuuteen liittyviä periaatteita
- Kieku-järjestelmässä saa olla korkeintaan aikaisemman tietoturvallisuusasetuksen mukaisesti III suojaustason materiaalia. Suojaustasojen I ja II materiaalia ei saa tallentaa järjestelmään. Asiakkaat ja Palkeet vastaavat tallentamiensa tietojen osalta edellä mainitun periaatteen noudattamista.
- Kieku-järjestelmän tuotantoympäristöön ja tietoihin annetaan pääsy vain sellaisille henkilöille, joilla on tehtävänsä perusteella tähän tarve tai oikeus.
- Kieku-toiminnan tietoturvavaatimusten toteutumisen varmistamiseen käytetään sisäisen valvonnan lisäksi ulkopuolisia auditoijia.
- Palkeet omistaa Kieku-järjestelmän ja vastaa sen tietoturvallisuudesta ja tietosuojasta, rakenteellisista ja teknisistä ratkaisuista sekä ohjeistuksien antamisesta asiakkaille.
- Palkeet vastaa palvelutuotannosta ja oman toimintansa tietoturvallisuudesta ja tietosuojasta.
- Kukin asiakas vastaa omasta toiminnastaan ja sen tietoturvallisuudesta sekä tietosuojasta.
- Palkeet vastaa palvelutuotannon käyttövaltuuksien oikeellisuudesta ja asiakkaiden käyttövaltuuksien toteutuksista toimeksiantojen mukaisesti. Asiakas vastaa käyttövaltuuksiensa sisältöjen oikeellisuuksista ja ajantasaisuuksista.
Käyttöpalveluympäristö
Tietoturvaratkaisuilla estetään asiattomien pääsy Kieku-järjestelmän tuotannon palvelimille ja tietoihin sekä mahdollistetaan palvelutuottajien valvonta. Kiekun käyttöpalveluympäristö sijaitsee Suomessa. Keskeiset henkilöstöhallinnon tietokannat ovat salattuja ja niiden käyttöä valvotaan tiukennetusti. Toisessa EU-maassa työskentelevä käyttöpalveluhenkilöstö ei pääse näkemään asiakkaiden tietoja. Käyttöpalveluympäristön käyttöjärjestelmiin ja ohjelmistoihin tehdään säännöllisiä tietoturvapäivityksiä.
Järjestelmät
- Tietoturvavaatimusten toteutumisesta vastaa Palkeet.
- Toimittajien ehdottamia tietoturvapäivityksiä viedään tuotantoon säännöllisesti Kieku-julkaisujen yhteydessä.
- Tietoturvallisuus ja tietosuoja huomioidaan jo uuden toiminnallisuuden kehittämisvaiheessa.
Käyttövaltuushallinta
- Käyttöoikeuksia hakevat esimiehet alaisilleen tai toimittajien nimetyt hyväksytyt vastuuhenkilöt organisaatioidensa henkilöstölle. Toimittajien käyttövaltuudet hyväksyy Palkeet.
- Laajoja käyttöoikeuksia annetaan vain tarvittaessa ja erityisellä harkinnalla sekä niiden ajantasaisuutta valvotaan tehostetusti.
- Vaaralliset työyhdistelmät on tunnistettu palvelukeskuksessa ja niiden syntyminen estetään käyttöoikeuksien antamisen yhteydessä.
- Lokitietoa järjestelmään kirjautumisesta ja käytöstä kerätään erillisille palvelimille. Kirjautumisia seurataan kuukausittain ja käyttöön liittyviä lokeja tarkastellaan tarpeen mukaan esimerkiksi väärinkäytösepäilysten yhteydessä.