Tietoturva


Docuelle on ensiarvoisen tärkeää, että asiakkaiden käyttäjätiedot ja asiakirja-aineisto ovat suojattuja ja tallessa.

Järjestelmän kehittäminen

Noudatamme järjestelmiemme kehityksessä alan parhaita käytäntöjä ja päivitämme palveluamme jatkuvasti mm. viimeisimpien OWASP Top 10 -suositukset huomioiden. Kehittäjämme ja ylläpitäjämme seuraavat ja heitä koulutetaan säännöllisesti tietoturva-asioissa. Sovellustemme ja palvelinympäristöjemme tietoturva testataan säännöllisesti 6 kertaa vuodessa ulkopuolisen tietoturvayrityksen toimesta.

Käyttäjien kirjautumistiedot ja käyttöoikeudet

Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Kirjautumistietoja ei säilytetä palvelimella selväkielisenä eikä Docuelle ole pääsyä käyttäjien salasanoihin. Lisävarmennuksena käyttäjän matkapuhelimeen lähetetään varmennuskoodi, kun käyttäjä kirjautuu palveluun tavanomaisesta poikkeavasta laitteesta tai selaimesta. Yritystilin käyttöoikeuksien hallinta on roolipohjainen. Tilin pääkäyttäjä(t) määrittelee roolit, jotka antavat käyttöoikeudet tietylle tietotyypille ja nimeää tilin käyttäjät haluttuun rooliin.

Tietoliikenteen ja asiakirjojen suojaus

Kaikki tietoliikenne tietokoneen ja palvelimen välillä salataan SSL-tekniikalla. Allekirjoituslinkin avaamiseen tarvitaan lisäksi nelinumeroinen koodi, joka lähetään allekirjoituslinkin saajalle. Jokaisesta asiakirjasta lasketaan 256-bittinen HASH-tiiviste sen jälkeen, kun kaikki allekirjoitukset on kerätty. Tiiviste talletetaan palvelimelle yhdessä asiakirjan kanssa ja sen avulla voidaan havaita jälkikäteen, mikäli asiakirjaa muutetaan allekirjoitusten jälkeen. Tiivisteen avulla voidaan toisin sanoen jälkikäteen varmentaa, onko asiakirja tehty Docuella. Kaikki asiakirja-aines säilytetään palvelimella salattuna. Palvelun ylläpitäjällä ei ole pääsyä asiakirja-ainekseen kuin ainoastaan luvan kanssa.

Palvelimet ja suojaustason valvonta

Asiakirja-aines ja käyttäjätiedot säilytetään palvelimilla, joissa käytetään luokkansa parhaita turvallisuus- ja suojauskäytäntöjä. Tämä tarkoittaa mm. konesalien kattavaa suojausta tulipaloa ja sähkökatkoa vastaan sekä tarkkaa työntekijöiden valintaprosessia ja kulunvalvontaa. Pääsy palvelimiin on tarkkaan rajattu nimettyihin käyttäjiin ja kaikki ylläpitotoiminnot vaativat MFA-tunnistautumista. Palvelimet sijaitsevat EU-alueella, ja tieto on aina hajautettu usealle eri palvelimelle ja saatavuusalueelle (availability zone). Lisävarmistuksena kaikki data varmuuskopioidaan säännöllisesti kokonaan eri palveluntarjoajan ympäristössä sijaitsevalle varmuuskopiopalvelimelle. Palvelinten saapuvaa ja lähtevää tietoliikennettä valvotaan palomuurein. Palvelintarjoajat valvovat tietoliikennettä reaaliaikaisesti ja puuttuvat analyysin pohjalta havaittuihin uhkiin välittömästi.