Tietoturva

Tietosuoja & GDPR

Data-analytiikkaan keskittyvänä organisaationa LOGEX toimii henkilötietojen käsittelijänä suorittaakseen analytiikkaa asiakkaidensa puolesta. LOGEX käsittelee tietoja ainoastaan laillisella perusteella, joka on määritelty GDPR-asetuksen artiklassa 6(1)(b) ("Sopimuksen täyttäminen"). LOGEX käsittelee ainoastaan asiakkaiden järjestelmistä erikseen tuotuja tietoja, eikä integroidu asiakkaiden järjestelmiin tai muokkaa niissä olevia tietoja. Tämä tarkoittaa, että asiakkaan järjestelmissä oleva data säilyy muuttumattomana ja toimii edelleenkin ensisijaisena ja ainoana oikeana tietolähteenä (single source of truth).

Toimintamme luonteen vuoksi LOGEX käsittelee henkilötietojen lisäksi myös EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisia "erityisiin henkilötietoryhmiin" kuuluvia tietoja, kuten yksilön terveystietoja. Vain LOGEXin valtuutetuilla työntekijöillä sekä asiakkaidemme nimetyillä käyttäjillä on pääsy näihin tietoihin.

LOGEX on nimittänyt tietosuojavastaavan (Privacy Officer) valvomaan GDPR:n ja muiden asiankuuluvien tietosuojasäännösten noudattamista. Tietosuojavastaava työskentelee tiiviissä yhteistyössä tietosuojavastaaviemme (Data Protection Officer, DPO) kanssa. He vastaavat tietosuojahallinnon rakenteista sekä kansainvälisten ja kansallisten tietosuojasäädösten vaatimusten täyttämisestä.

Kaikki henkilötietojen käsittelyyn liittyvät kysymykset voi osoittaa paikallisille tietosuojavastaavillemme, joiden yhteistiedot löytyvät paikallisilta LOGEX-verkkosivuilta.

LOGEXin asiakkaat eri puolilla maailmaa edellyttävät, että noudatamme sekä kansainvälisiä että paikallisia tietoturvavaatimuksia silloin, kun ne ovat sovellettavissa. Näiden vaatimusten täyttämiseksi LOGEXilla on seuraavat aktiiviset turvallisuussertifikaatit ja akkreditoinnit:

LOGEX tarjoaa sosiaali- ja terveydenhuollon analytiikkaa pilvipalveluna (Software-as-a-Service, SaaS). Tämä tarkoittaa, että koko LOGEX-sovellus toimii verkkopohjaisesti, toisin kuin aiemmin, jolloin tarvittiin paikallinen  asennus asiakkaan laitteelle. Sekä asiakkaiden data että laskentalogiikka sijaitsevat pilvi-infrastruktuurissamme. Asiakkaidemme käyttäjät voivat käyttää sovellusta miltä tahansa tietokoneelta, jossa on verkkoselain (tekniset vaatimukset on kuvattu alla).

SaaS-alusta mahdollistaa tuotteidemme skaalautuvuuden ilman tukiresurssien lineaarista kasvua. Samalla varmistamme, että kaikki asiakkaat hyötyvät uusimmista ominaisuuksista ja saavat tärkeät ylläpito- ja tietoturvapäivitykset ilman viivettä.

Hosting ja infrastruktuuri

Hyödynnömme niin sanottua "cloud-agnostic" arkkitehtuuria, mikä tarkoittaa, että teknologiamme on rakennettu mahdollisimman vähäisellä riippuvuudela yksittäisistä pilvipalveluntarjoajista. Näin vältämme toimittajalukon riskin ja voimme tarvittaessa siirtää tuotteemme nopeasti pilvitoimittajalta toiselle liiketoiminnan jatkuvuuden turvaamiseksi.

Kuten seuraavassa luvussa tarkennetaan, LOGEXin tuotteita isännöidään eri pilvipalveluntarjoajilla eri maissa, sekä kansainvälisten että paikallisten kumppaneiden kautta. Käytämme eri pilvipalveluita kunnioittaaksemme paikallisia tietosuojavaatimuksia, tietojen sijaintia koskevia sääntöjä sekä alueellisia näkemuksiä. Käytämme mahdollisuuksien mukaan hyväksi todettuja, toimittajien tarjoamia ratkaisuja toimintavarmuuden ja tietoturvan takaamiseksi.

LOGEX-sovellukset ovat käytettävissä kaikilla nykyaikaisilla selaimilla (suositeltavina Chrome ja Microsoft Edge, Firefox tuettu parhaalla mahdollisella tavalla) suojatun HTPPS-yhteyden kautta – VPN-yhteyttä ei tarvita. Tietokoneen teknisten ominaisuuksien osalta suositellaan vähíntään 8 GB keskusmuistia, 20 Mbit internet-yhteyttä sekä Windows 10 tai 11 käyttöjärjestelmää (64-bittinen versio).

LOGEX-sovellukset toimivat niin sanottuina "single-page" -sovelluksina, joissa tiedot ladataan selaimeen vähitellen. Tämä mahdollistaa sulavan ja responsiivisen käyttökokemuksen. Verkkoyhteyden nopeus ja laitteen muistikapasiteetti vaikuttavat siihen, kuinka nopeasti suuret tietomäärät latautuvat selaimeen.

Sovellukset on suunniteltu käytettäväksi kannettavalla tietokoneella tai pöytäkoneella. Tableteilla tai mobiililaitteilla käyttöä ei suositella, sillä sovelluksia ei ole suunniteltu kosketusnäytöille.

LOGEX hyödyntää DevOps-menetelmää sovellustensa kehittämisessä ja ylläpidossa.

Koska LOGEXin tuotteita tarjotaan ja hostataan useissa maissa, noudatamme kehityksessä periaateta "kehitetään keskitetysti, otetaan käyttöön paikallisesti". Ohjelmistokehitystiimimme toimii Brnon Solution Centerissä Tšekeissä, ja se koostuu muun muassa backend-kehittäjistä, tietokantakehittäjistä, frontend-kehittäjistä, UX/UI-suunnittelijoista, järjestelmäanalyytikoista, scrum mastereista ja testiautomaation asiantuntijoista.

Tietoturvallisuuden hallintajärjestelmä (ISMS)

LOGEX on suunnitellut ja ottanut käyttöön tietoturvan hallintajärjestelmän (Information Security Management System, ISMS), joka muodostuu vastuualueista, tavoitteista, sovituista toimintatavoista sekä teknologisista ja toiminnallisista turvakontrolleista. ISMS:n tavoitteena on hallita tietoturvariskejä tehokkaasti koko organisaation tasolla. ISMS:ää hallinnoidaan keskitetysti, ja se kattaa kaikki aiemmin mainitut konserniyhtiöt. Tietoturvajärjestelmämme on suunniteltu, toteutettu, sertifioitu ja auditoitu vuosittain ISO 27001- ja NEN 7510 -standardien mukaisesti.

Tietoturvatestaus (koodin tarkistus, haavoittuvuusskannaus ja penetraatiotestaus)

LOGEXin sovellukset ja infrastruktuuri testataan ulkoisten penetraatiotestien avulla vähintään kerran vuodessa. Ulkoisten tietoturvatestaustoimien lisäksi käytössä on kattava testausstrategia, joka kattaa koko ohjelmistokehityksen elinkaaren. Testaamme säännöllisesti (tunnettuja) haavoittuvuuksia ja ohjelmistojen heikkouksia käyttämällä kolmansien osapuolien tai yhteisön kehittämiä työkaluja  staattiseen koodianalyysiin, ohjelmistokomponenttien analyysiin ja haavoittuvuuksien skannaukseen. Näiden testaustoimien sisällyttäminen kehitysprosessiimme mahdollistaa:

• itse kehitettyyn ohjelmistoon mahdollisesti jääneiden virheiden ja heikkouksien tunnistamisen ja poistamisen jo koodausvaiheessa

• kolmannen osapuolen tai avoimen lähdekoodin komponenttien tuomien tunnettujen haavoittuvuuksien havaitsemisen ja korjaamisen

• tuotantojärjestelmien haavoittuvuuksien jatkuvan seurannan ja poistamisen.

Tietoturvapoikkeamien hallinta

Tietoturvapoikkeamia pidetään mahdollisuutena kehittää toimintaamme. Siksi LOGEX kannustaa työntekijöitään ilmoittamaan kaikista tapauksista – riippumatta niiden vakavuudesta, aiheuttajasta tai siitä, onko tilanteesta aiheutunut haittaa. Kaikki LOGEXin työntekijät kantavat vastuuta organisaation tietoturvasta, ja poikkeamien raportointi on olennainen osa tätä vastuuta.

Ttietoturvapoikkeamie tai tietovuodon sattuessa noudatetaan ennalta määriteltyä toimintamallia (Incident Response Procedure), jonka vaiheet ovat:

1. Poikkeaman tunnistaminen ja luokittelu

2. Vahinkojen rajaaminen ja tilanteen selvittäminen

3. Korjaavat toimenpiteet ja palautuminen

4. Tarvittaessa viestintä asianosaisten suuntaan

5. Tapahtuman dokumentointi, juurisyyn analysointi ja arviointi

Kaikki poikkeamat kirjataan keskitetysti läpinäkyvyyden ja jäljitettävyyden takaamiseksi.