Siirry sisältöön

Kiekun tietoturva

Kieku-järjestelmä on rakennettu täyttämään valtioneuvoston antama asetus tietoturvallisuudesta valtionhallinnossa ja VAHTI suositusten mukaiset perustason tietoturvallisuuden vaatimukset. Henkilöstöhallinnon tietojen ympäristön osalta Kieku-järjestelmä täyttää korotetun tason tietoturvallisuuden vaatimukset.

Tietoturvallisuuden osalta noudatetaan 1.1.2020 alkaen tiedonhallintalakia ja turvallisuusluokiteltujen aineistojen osalta valtioneuvoston antamaa asetusta. Palkeet noudattaa EU-tietosuoja-asetusta ja muuta tietosuojalainsäädäntöä.

Keskeisiä tietoturvallisuuteen liittyviä periaatteita

  • Kieku-järjestelmässä saa olla korkeintaan aikaisemman tietoturvallisuusasetuksen mukaisesti III suojaustason materiaalia. Suojaustasojen I ja II materiaalia ei saa tallentaa järjestelmään.  Asiakkaat ja Palkeet vastaavat tallentamiensa tietojen osalta edellä mainitun periaatteen noudattamista.
  • Kieku-järjestelmän tuotantoympäristöön ja tietoihin annetaan pääsy vain sellaisille henkilöille, joilla on tehtävänsä perusteella tähän tarve tai oikeus.
  • Kieku-toiminnan tietoturvavaatimusten toteutumisen varmistamiseen käytetään sisäisen valvonnan lisäksi ulkopuolisia auditoijia.
  • Palkeet omistaa Kieku-järjestelmän ja vastaa sen tietoturvallisuudesta ja tietosuojasta, rakenteellisista ja teknisistä ratkaisuista sekä ohjeistuksien antamisesta asiakkaille.
  • Palkeet vastaa palvelutuotannosta ja oman toimintansa tietoturvallisuudesta ja tietosuojasta.
  • Kukin asiakas vastaa omasta toiminnastaan ja sen tietoturvallisuudesta sekä tietosuojasta.
  • Palkeet vastaa palvelutuotannon käyttövaltuuksien oikeellisuudesta ja asiakkaiden käyttövaltuuksien toteutuksista toimeksiantojen mukaisesti. Asiakas vastaa käyttövaltuuksiensa sisältöjen oikeellisuuksista ja ajantasaisuuksista.

Käyttöpalveluympäristö

Tietoturvaratkaisuilla estetään asiattomien pääsy Kieku-järjestelmän tuotannon palvelimille ja tietoihin sekä mahdollistetaan palvelutuottajien valvonta. Kiekun käyttöpalveluympäristö sijaitsee Suomessa. Keskeiset henkilöstöhallinnon tietokannat ovat salattuja ja niiden käyttöä valvotaan tiukennetusti. Toisessa EU-maassa työskentelevä käyttöpalveluhenkilöstö ei pääse näkemään asiakkaiden tietoja. Käyttöpalveluympäristön käyttöjärjestelmiin ja ohjelmistoihin tehdään säännöllisiä tietoturvapäivityksiä.

Järjestelmät

  • Tietoturvavaatimusten toteutumisesta vastaa Palkeet.
  • Toimittajien ehdottamia tietoturvapäivityksiä viedään tuotantoon säännöllisesti Kieku-julkaisujen yhteydessä.
  • Tietoturvallisuus ja tietosuoja huomioidaan jo uuden toiminnallisuuden kehittämisvaiheessa.

Käyttövaltuushallinta

  • Käyttöoikeuksia hakevat esimiehet alaisilleen tai toimittajien nimetyt hyväksytyt vastuuhenkilöt organisaatioidensa henkilöstölle. Toimittajien käyttövaltuudet hyväksyy Palkeet.
  • Laajoja käyttöoikeuksia annetaan vain tarvittaessa ja erityisellä harkinnalla sekä niiden ajantasaisuutta valvotaan tehostetusti.
  • Vaaralliset työyhdistelmät on tunnistettu palvelukeskuksessa ja niiden syntyminen estetään käyttöoikeuksien antamisen yhteydessä.
  • Lokitietoa järjestelmään kirjautumisesta ja käytöstä kerätään erillisille palvelimille. Kirjautumisia seurataan kuukausittain ja käyttöön liittyviä lokeja tarkastellaan tarpeen mukaan esimerkiksi väärinkäytösepäilysten yhteydessä.