Docuen palvelun tietoturva

Järjestelmän kehittäminen

Olemme parhaillaan rakentamassa ISO27001-tietoturvastandardin mukaista tietoturvan johtamisjärjestelmää.

Noudatamme järjestelmiemme kehityksessä alan parhaita käytäntöjä ja päivitämme palveluamme jatkuvasti mm. viimeisimmät OWASP-suositukset huomioiden. Kehittäjiämme ja ylläpitäjiämme koulutetaan säännöllisesti tietoturva-asioissa.

Sovellustemme ja palvelinympäristöjemme tietoturva testataan säännöllisesti kuusi kertaa vuodessa ulkopuolisen tietoturvayrityksen toimesta.

Käyttäjien kirjautumistiedot ja käyttöoikeudet

Jokaisella käyttäjällä on henkilökohtainen, sähköpostiin sidottu käyttäjätunnus. Käyttäjät voivat kirjautua palveluun joko Googlen tai Microsoftin käyttäjätunnuksillaan taikka henkilökohtaisella salasanalla.

Kirjautumistietoja ei säilytetä palvelimella selväkielisenä eikä Docuella ole pääsyä käyttäjien salasanoihin. Käyttäjän matkapuhelimeen lähetetään lisävarmistukseksi varmennuskoodi, jos käyttäjä kirjautuu palveluun tavanomaisesta poikkeavasta laitteesta tai selaimesta.

Käyttäjien oikeuksia hallitaan yritystilikohtaisesti, ja tilin pääkäyttäjät määrittelevät mitä oikeuksia ja mihin tietoihin kullakin käyttäjällä on pääsy.

Tietoliikenteen ja asiakirjojen suojaus

Kaikki tietoliikenne tietokoneen ja palvelimen välillä salataan SSL-tekniikalla.

Sähköisessä allekirjoituksessamme allekirjoituslinkin avaamiseen tarvitaan henkilökohtainen PIN-koodi, joka lähetään allekirjoituslinkin saajalle. Jokaisesta asiakirjasta lasketaan 256-bittinen HASH-tiiviste sen jälkeen, kun kaikki allekirjoitukset on kerätty. Tiiviste talletetaan palvelimelle yhdessä asiakirjan kanssa ja sen avulla voidaan havaita jälkikäteen, mikäli asiakirjaa muutetaan allekirjoitusten jälkeen. Tiivisteen avulla voidaan toisin sanoen jälkikäteen varmentaa, onko asiakirja tehty Docuella ja ettei asiakirjaa ole muokattu allekirjoituksen jälkeen.

Kaikki asiakirja-aines säilytetään palvelimella salattuna. Palvelun ylläpitäjällä ei ole pääsyä asiakirja-ainekseen kuin ainoastaan luvan kanssa.

Palvelimet ja suojaustason valvonta

Asiakirja-aines ja käyttäjätiedot säilytetään palvelimilla, joissa käytetään luokkansa parhaita turvallisuus- ja suojauskäytäntöjä.

Palvelimet sijaitsevat Amazonin konesaleissa EU-alueella ja varmuuskopiot on maantieteellisesti hajautettu. Lisäksi tieto on aina hajautettu usealle eri palvelimelle ja saatavuusalueelle (availability zone). Lisävarmistuksena kaikki data varmuuskopioidaan säännöllisesti Amazonista riippumattoman palveluntarjoajan ympäristössä sijaitsevalle varmuuskopiopalvelimelle.

Palvelinten saapuvaa ja lähtevää tietoliikennettä valvotaan palomuurein. Palvelintarjoajat valvovat tietoliikennettä reaaliaikaisesti ja puuttuvat analyysin pohjalta havaittuihin uhkiin välittömästi.