Yksi Secappin tunnetuimmista ominaisuuksista on sen korkea tietoturvallisuus verrattuna esimerkiksi kuluttajakäyttöön tarkoitettuihin sovelluksiin. Mutta mitä tietoturvallisuus tarkalleen ottaen Secappin kohdalla tarkoittaa? Se selviää lukemalla tämän artikkelin.
1. Ketkä tuottavat Secappia?
Secapp Oy on suomalaisten henkilöiden yksityisomistuksessa oleva suomalainen yritys, jonka toimitilat ovat Suomessa ja jonka perustajat työskentelevät edelleen yrityksessä. Joukossamme työskentelee yli 40 ammattilaista Secapp-ratkaisujen, ohjelmointikehityksen, palvelinympäristöjen, asiakkuuksien hoitamisen ja teknisen tuen parissa, sekä myynnissä, markkinoinnissa ja hallinnossa.
Koko henkilöstöämme koulutetaan jatkuvasti tietoturva-asioissa ja luottamuksellisten tietojen tai niitä sisältävien järjestelmien käyttö on rajattu työtehtävien perusteella. Secappilaisten taustat tarkistetaan ja turvallisuuskriittiset asiakkaat ovat tehneet avainhenkilöistämme tarvittavat turvallisuusselvitykset.
2. Tietojen sijainti
Erilaiset datat ja organisaatioihin sekä ihmisiin liittyvät tiedot ovat nousseet valtavan arvokkaiksi digitalisoituneessa maailmassa.
Esimerkiksi monilla kuluttajapikaviestimillä datan käsittely on yhdysvaltalaisista yrityksistä riippuvaista ja niitä valvovien viranomaisten sääntöjen alaista. Muun muassa WhatsApp, Facebook ja Zoom ovat Yhdysvalloissa velvollisia noudattamaan niin sanottua Law Enforcement Actia, joka edellyttää asiakastietojen luovuttamista viranomaisille tietyissä tilanteissa. Mahdollisissa ongelmatilanteissa palvelun toimivuus tai tietojen luottamuksellisuus voi täkäläisestä näkökulmasta vaarantua. Suomesta käsin on myös vaikea vaikuttaa siihen, millä tavoin esimerkiksi Kiina tai Venäjä ottavat tällaisia palveluja kohteekseen. Lisäksi on hyvä muistaa, että monet sovellukset ovat mainosrahoitteisia ja saattavat käyttää palvelusta keräämiään tietoja toimintansa rahoittamisen apuna.
Secapp ei ole tällaisiin säädöksiin sidottuna Suomessa. Secappilla suomalaisten asiakkaiden tiedot tallennetaan aina Suomeen korkean tietoturvallisuuden palvelimille, joiden fyysinen turvallisuus täyttää KATAKRI-auditointityökalun asettamat vaatimukset (tästä lisää myöhemmin). Näin ollen tiedot pysyvät saatavilla erilaisissa häiriötilanteissa riippumatta siitä, mitä Suomen ulkopuolella tapahtuu.
Kotimainen järjestelmä luo turvaa erilaisten skenaarioiden varalle. Jos esimerkiksi Yhdysvaltojen ja Kiinan välinen kauppasota kiihtyisi merkittävästi tai Euroopan Unioni toteaisi, että kyseisissä maissa kotipaikkaansa pitävien pikaviestintäsovelluksia tuottavien yritysten toiminta loppuu unionin alueella, sillä olisi suuri vaikutus monien organisaatioiden sisäiseen viestintään. Tämän vuoksi on tärkeää, että markkinoilla on myös eurooppalaisia, sekä suomalaisia ratkaisuja.
Toki Secapp toimii myös ulkomailla ja teemme yhteistyötä globaalien toimijoiden kanssa. Sovelluksemme ovat saatavilla Googlen ja Applen sovelluskaupoista ja ne käyttävät mobiililaitteiden käyttöjärjestelmiin kuuluvia viestintämahdollisuuksia ja toimintoja täydentämään omaa toimintaansa. Lisäpalvelujen, kuten kansainvälisen tekstiviestiliikenteen, suhteen käytämme tarvittaessa myös ulkomaisia toimijoita emmekä poteroidu sovelluksen toiminnoissa Suomeen. Kaikki Secappin ydintoiminnot, kuten viestinvälitys, dokumentaatio ja videopuhelut, tuotetaan kuitenkin omilta servereiltämme riippumatta kolmansista osapuolista.
3. Tekninen tietoturvallisuus
Secappilla kaikki viestiliikenne toimii salatuilla yhteyksillä ja toimintaamme auditoidaan hallinnollisesti ja teknisesti vuosittain. Tämä tarkoittaa myös sitä, että Secappilla on toimintamallit ja varautumissuunnitelmat valmiina mahdollisiin häiriötilanteisiin. Tämä antaa askelmerkit muun muassa siihen, kuinka häiriöistä toivutaan ja kuinka asiakkaat voivat käyttää Secappia häiriöstä huolimatta.
Secappilla on tehty paljon töitä sen eteen, että häiriöt eivät lähtökohtaisesti koskaan vaikuta loppukäyttäjään asti.
Myös GDPR-vaatimukset on otettu Secappilla erittäin vakavasti. Tämä tarkoittaa sitä, että Secapp-sovelluksessa olevien tietojen hallinta on aina asiakasorganisaation käsissä, eikä niitä luovuteta millekään muulle taholle tai käytetä esimerkiksi mainonnan kohdentamiseen. Tiedot ja niihin liittyvät lokitiedot kuuluvat organisaatiolle, eikä yksittäinen työntekijä voi esimerkiksi väärinkäytöstapauksissa hävittää omia tietojaan, vaan organisaatiolla on tarvittavat kirjausketjutiedot vastuullaan olevista asioista. Näin ollen asiakas voi itse seurata, mitä tietoa on missäkin ja kenen käytettävissä.
Secappin mobiilisovellus on yhteystietojen osalta täysin irrallaan puhelimesta eikä käytä ollenkaan puhelimen yhteystietoja, vaan ainoastaan organisaation määrittämiä käyttäjiä. Tämän ansiosta esimerkiksi viestien lähetys organisaation ulkopuolisille tai muuten virheellisille vastaanottajille on paljon epätodennäköisempää kuin esimerkiksi kuluttajasovelluksissa.
Jos työntekijä vaihtaa työpaikkaa tai hänet irtisanotaan, Secappilla olevat tiedot ja käyttöoikeudet voidaan poistaa keskitetysti ja etänä, jolloin mitään sisältöä ei pääse vuotamaan organisaation ulkopuolelle. Tietojen etähallinta onnistuu myös esimerkiksi laitteiden katoamis- tai varkaustapauksissa.
Secapp käyttää Suomessa toimivia konesalitoimijoita, joiden tilojen fyysinen turvallisuus täyttää KATAKRI-vaatimukset ja joiden tietoturva on varmistettu ja sertifioitu monilla tavoilla, esimerkiksi SOC 1 Type II ja SOC 2 Type II. Tiedot ja esimerkiksi lokit säilytetään kahden eri toimijan tiloissa, jolloin edes konesalien massiiviset häiriöt tai toimijan ongelmat eivät vaaranna toipumista ongelmatilanteista.
Secappin SaaS-palvelun tietoturvan hallintajärjestelmä puolestaan on ISO27001-sertifioitu (Huld Certification Oy). Järjestelmä on myös useiden asiakkaiden auditoima, ja Secapp itse on suorittanut pilvipalvelujen turvallisuutta mittaavan PiTuKri-arvioinnin, jota myös asiakkaamme voivat käyttää esimerkiksi viranomaisten käyttämien tietojärjestelmien turvallisuutta arvioidessaan. Sitä voidaan käyttää myös apuna yritysten ja yhteisöjen muussa turvallisuustyössä ja sen kehittämisessä.
Yksi Secappin tunnetuimmista ominaisuuksista on sen korkea tietoturvallisuus verrattuna esimerkiksi kuluttajakäyttöön tarkoitettuihin sovelluksiin. Mutta mitä tietoturvallisuus tarkalleen ottaen Secappin kohdalla tarkoittaa? Se selviää lukemalla tämän artikkelin.
1. Ketkä tuottavat Secappia?
Secapp Oy on suomalaisten henkilöiden yksityisomistuksessa oleva suomalainen yritys, jonka toimitilat ovat Suomessa ja jonka perustajat työskentelevät edelleen yrityksessä. Joukossamme työskentelee yli 40 ammattilaista Secapp-ratkaisujen, ohjelmointikehityksen, palvelinympäristöjen, asiakkuuksien hoitamisen ja teknisen tuen parissa, sekä myynnissä, markkinoinnissa ja hallinnossa.
Koko henkilöstöämme koulutetaan jatkuvasti tietoturva-asioissa ja luottamuksellisten tietojen tai niitä sisältävien järjestelmien käyttö on rajattu työtehtävien perusteella. Secappilaisten taustat tarkistetaan ja turvallisuuskriittiset asiakkaat ovat tehneet avainhenkilöistämme tarvittavat turvallisuusselvitykset.
2. Tietojen sijainti
Erilaiset datat ja organisaatioihin sekä ihmisiin liittyvät tiedot ovat nousseet valtavan arvokkaiksi digitalisoituneessa maailmassa.
Esimerkiksi monilla kuluttajapikaviestimillä datan käsittely on yhdysvaltalaisista yrityksistä riippuvaista ja niitä valvovien viranomaisten sääntöjen alaista. Muun muassa WhatsApp, Facebook ja Zoom ovat Yhdysvalloissa velvollisia noudattamaan niin sanottua Law Enforcement Actia, joka edellyttää asiakastietojen luovuttamista viranomaisille tietyissä tilanteissa. Mahdollisissa ongelmatilanteissa palvelun toimivuus tai tietojen luottamuksellisuus voi täkäläisestä näkökulmasta vaarantua. Suomesta käsin on myös vaikea vaikuttaa siihen, millä tavoin esimerkiksi Kiina tai Venäjä ottavat tällaisia palveluja kohteekseen. Lisäksi on hyvä muistaa, että monet sovellukset ovat mainosrahoitteisia ja saattavat käyttää palvelusta keräämiään tietoja toimintansa rahoittamisen apuna.
Secapp ei ole tällaisiin säädöksiin sidottuna Suomessa. Secappilla suomalaisten asiakkaiden tiedot tallennetaan aina Suomeen korkean tietoturvallisuuden palvelimille, joiden fyysinen turvallisuus täyttää KATAKRI-auditointityökalun asettamat vaatimukset (tästä lisää myöhemmin). Näin ollen tiedot pysyvät saatavilla erilaisissa häiriötilanteissa riippumatta siitä, mitä Suomen ulkopuolella tapahtuu.
Kotimainen järjestelmä luo turvaa erilaisten skenaarioiden varalle. Jos esimerkiksi Yhdysvaltojen ja Kiinan välinen kauppasota kiihtyisi merkittävästi tai Euroopan Unioni toteaisi, että kyseisissä maissa kotipaikkaansa pitävien pikaviestintäsovelluksia tuottavien yritysten toiminta loppuu unionin alueella, sillä olisi suuri vaikutus monien organisaatioiden sisäiseen viestintään. Tämän vuoksi on tärkeää, että markkinoilla on myös eurooppalaisia, sekä suomalaisia ratkaisuja.
Toki Secapp toimii myös ulkomailla ja teemme yhteistyötä globaalien toimijoiden kanssa. Sovelluksemme ovat saatavilla Googlen ja Applen sovelluskaupoista ja ne käyttävät mobiililaitteiden käyttöjärjestelmiin kuuluvia viestintämahdollisuuksia ja toimintoja täydentämään omaa toimintaansa. Lisäpalvelujen, kuten kansainvälisen tekstiviestiliikenteen, suhteen käytämme tarvittaessa myös ulkomaisia toimijoita emmekä poteroidu sovelluksen toiminnoissa Suomeen. Kaikki Secappin ydintoiminnot, kuten viestinvälitys, dokumentaatio ja videopuhelut, tuotetaan kuitenkin omilta servereiltämme riippumatta kolmansista osapuolista.
3. Tekninen tietoturvallisuus
Secappilla kaikki viestiliikenne toimii salatuilla yhteyksillä ja toimintaamme auditoidaan hallinnollisesti ja teknisesti vuosittain. Tämä tarkoittaa myös sitä, että Secappilla on toimintamallit ja varautumissuunnitelmat valmiina mahdollisiin häiriötilanteisiin. Tämä antaa askelmerkit muun muassa siihen, kuinka häiriöistä toivutaan ja kuinka asiakkaat voivat käyttää Secappia häiriöstä huolimatta.
Secappilla on tehty paljon töitä sen eteen, että häiriöt eivät lähtökohtaisesti koskaan vaikuta loppukäyttäjään asti.
Myös GDPR-vaatimukset on otettu Secappilla erittäin vakavasti. Tämä tarkoittaa sitä, että Secapp-sovelluksessa olevien tietojen hallinta on aina asiakasorganisaation käsissä, eikä niitä luovuteta millekään muulle taholle tai käytetä esimerkiksi mainonnan kohdentamiseen. Tiedot ja niihin liittyvät lokitiedot kuuluvat organisaatiolle, eikä yksittäinen työntekijä voi esimerkiksi väärinkäytöstapauksissa hävittää omia tietojaan, vaan organisaatiolla on tarvittavat kirjausketjutiedot vastuullaan olevista asioista. Näin ollen asiakas voi itse seurata, mitä tietoa on missäkin ja kenen käytettävissä.
Secappin mobiilisovellus on yhteystietojen osalta täysin irrallaan puhelimesta eikä käytä ollenkaan puhelimen yhteystietoja, vaan ainoastaan organisaation määrittämiä käyttäjiä. Tämän ansiosta esimerkiksi viestien lähetys organisaation ulkopuolisille tai muuten virheellisille vastaanottajille on paljon epätodennäköisempää kuin esimerkiksi kuluttajasovelluksissa.
Jos työntekijä vaihtaa työpaikkaa tai hänet irtisanotaan, Secappilla olevat tiedot ja käyttöoikeudet voidaan poistaa keskitetysti ja etänä, jolloin mitään sisältöä ei pääse vuotamaan organisaation ulkopuolelle. Tietojen etähallinta onnistuu myös esimerkiksi laitteiden katoamis- tai varkaustapauksissa.
Secapp käyttää Suomessa toimivia konesalitoimijoita, joiden tilojen fyysinen turvallisuus täyttää KATAKRI-vaatimukset ja joiden tietoturva on varmistettu ja sertifioitu monilla tavoilla, esimerkiksi SOC 1 Type II ja SOC 2 Type II. Tiedot ja esimerkiksi lokit säilytetään kahden eri toimijan tiloissa, jolloin edes konesalien massiiviset häiriöt tai toimijan ongelmat eivät vaaranna toipumista ongelmatilanteista.
Secappin SaaS-palvelun tietoturvan hallintajärjestelmä puolestaan on ISO27001-sertifioitu (Huld Certification Oy). Järjestelmä on myös useiden asiakkaiden auditoima, ja Secapp itse on suorittanut pilvipalvelujen turvallisuutta mittaavan PiTuKri-arvioinnin, jota myös asiakkaamme voivat käyttää esimerkiksi viranomaisten käyttämien tietojärjestelmien turvallisuutta arvioidessaan. Sitä voidaan käyttää myös apuna yritysten ja yhteisöjen muussa turvallisuustyössä ja sen kehittämisessä.