Siirry sisältöön

Turvatoimenpiteet

itslearning on toteuttanut tässä lisäyksessä esitetyt turvatoimenpiteet, sekä organisatoriset että tekniset toimenpiteet, alan standardien mukaisesti.

itslearning voi ajoittain päivittää tai muuttaa tällaisia turvatoimenpiteitä edellyttäen, että tällaiset päivitykset ja muutokset eivät heikennä palvelujen yleistä turvallisuutta.

 

Organisatoriset toimenpiteet

itslearning johtoryhmä on osallistunut aktiivisesti tietoturvakulttuurin kehittämiseen yrityksessä jatkuvan tietoisuusohjelman avulla, ja sillä on hallintorakenne, jonka avulla se voi hallita tietoturvan toteuttamista palveluissaan ja jolla on selkeät roolit ja vastuut organisaatiossa.

 

Toimintojen johtaminen

Useat alan parhaat käytännöt ja käytännöt varmistavat alustan parhaan mahdollisen luottamuksellisuuden, saatavuuden ja eheyden. Nämä käytännöt perustuvat tiukkoihin vaatimuksiin useilla aloilla, kuten;

  • Tietoturva
  • Hosting-ympäristön turvallisuus
  • Kolmannen osapuolen pääsy
  • Kapasiteetin valvonta
  • Muutosten hallinta
  • Varmuuskopiointi ja palautus
  • Kulunvalvonta
  • Dokumentaatio
  • Kirjaaminen ja seuranta
  • Tapahtumiin reagoiminen
  • Julkaisujen hallinta

 

Turvallisuusryhmä

itslearning on oltava tietoturva-asiantuntijaryhmä, joka vastaa organisaation yleisestä tietoturvasta. Heidän tehtäviinsä kuuluu vastuu seuraavista asioista;

  • Turvallisuuteen liittyvien tehtävien koordinointi
  • Yritysympäristön, verkon ja laitteiden suojaaminen
  • Sovelluksen turvallisuus (sisäinen tunkeutumistestaus ja sovellusten tarkastukset).
  • Seuranta ja kirjaaminen
  • Prosessien ja toimintatapojen hallinta (katastrofista toipuminen, korjausten hallinta jne.)
  • Työntekijöiden koulutus ja koulutus tietoturva-alalla
  • Kolmannen osapuolen suorittamien turvatarkastusten koordinointi ja mahdollisten havaintojen seuranta.
  • Koodin tarkistaminen mahdollisten tietoturva-aukkojen varalta.

 

Roolit ja vastuualueet

Kaikilla työntekijöillä on selkeät roolit yrityksessä, ja heille annetaan pääsy vain heidän oman roolinsa edellyttämiin tietoihin. Rajoitetulla määrällä työntekijöitä on hallinnollinen pääsy tuotantoympäristöömme, ja heidän oikeuksiaan säännellään tiukasti ja tarkistetaan tietyin väliajoin. Kaikki tuotantoympäristön sovellukseen, ympäristöön tai laitteistoon tehtävät merkittävät muutokset tarkistetaan aina vähintään kahden henkilön toimesta.

Henkilöstön turvallisuus

Kaikkien itslearning -osoitteessa työskentelevien on tehtävä tiukka salassapitosopimus. Kaikkien työntekijöiden on noudatettava luottamuksellisuutta, liike-elämän etiikkaa ja ammatillisia standardeja koskevia yrityskäytäntöjä. Henkilöstön, joka osallistuu asiakastietojen turvaamiseen, käsittelyyn ja käsittelyyn, on suoritettava tehtäväänsä vastaava koulutus.

Kulunvalvonta

Kaikille työntekijöille, palkatuille konsulteille tai kolmansille osapuolille, jotka pyytävät pääsyä itslearning -tietojärjestelmiin, on asetettu tiukat vaatimukset. Pääsynvalvontaa valvotaan tunnistusjärjestelmällä. Käyttäjältä edellytetään seuraavaa:

  • Johdolla on oltava hyväksyntä pyydetylle käyttöoikeudelle.
  • käyttämään vahvoja salasanoja, jotka ovat yrityksen salasanakäytännön mukaisia.
  • Vaihda salasanasi säännöllisin väliajoin
  • dokumentoitava, että pyydetty käyttöoikeus on tarpeen hänen roolinsa/tehtävänsä hoitamista varten
  • Varmista, että käytetty laite (tietokone, tabletti, matkapuhelin) on asianmukaisesti suojattu ja lukittu, kun käyttäjä on poissa.

 

itslearning Käyttäjäpäätteen automaattinen tilapäinen lukitus, jos päätelaite jätetään käyttämättömäksi.

Sisäiset tiedonsaantiprosessit ja -käytännöt on suunniteltu estämään asiattomien henkilöiden ja/tai järjestelmien pääsy henkilötietojen käsittelyyn käytettäviin järjestelmiin. Kaikki tietoihin tehdyt muutokset kirjataan kirjausketjuun vastuuvelvollisuuden luomiseksi.

 

Fyysinen turvallisuus

  • Tietokeskukset
    itslearning tarjoaa kaikki asiakaspalvelunsa yrityksen toimistotiloista erillisissä tietokeskuksissa. Pääsyä datakeskuksiin valvotaan ja suojataan tiukasti, jotta vähennetään luvattoman pääsyn, tulipalon, tulvan tai muun fyysiselle ympäristölle aiheutuvan vahingon todennäköisyyttä. Fyysinen pääsy datakeskuksiin on rajoitettu pieneen määrään itslearning ja/tai sen hosting-keskusten tarjoajien työntekijöitä. Tietokeskukseen pääsy edellyttää tiukkoja turvallisuusselvityksiä, jotka turvallisuusjohdon on hyväksyttävä ennen sinne pääsyä.

  • Toimistotilat
    Kaikki itslearning :n toimistotilat on suojattu kulunvalvonnalla. Vain kutsutut vierailijat ja työntekijät pääsevät itslearning työtilaan. Tietokonelaitteiden varkauksista tai katoamisista johtuvien turvallisuusongelmien välttämiseksi on toteutettu useita toimenpiteitä. Näihin kuuluvat turvallisuusohjeet ja hyväksyttävän käytön periaatteet, todentamisjärjestelmät ja tarvittaessa tallennusyksiköiden salaus.

 

Tekniset toimenpiteet - Järjestelmän saatavuus

itslearning on toteuttanut alan standarditoimenpiteitä varmistaakseen, että henkilötiedot on suojattu vahingossa tapahtuvalta tuhoutumiselta tai katoamiselta, mukaan lukien:

  • infrastruktuurin redundanssi (mukaan lukien täydellinen verkko-, virta-, jäähdytys-, tietokanta-, palvelin- ja tallennustilan redundanssi).
  • varmuuskopio tallennetaan vaihtoehtoiseen paikkaan ja se on käytettävissä palautusta varten, jos ensisijainen järjestelmä vioittuu.
  • asianmukainen palvelunestosuojaus
  • 365/24/7 henkilökuntaa valvomassa ja korjaamassa vikoja.

 

Tietosuoja

itslearning on toteuttanut useita alan standardeja toimenpiteitä, joilla estetään luvattomia osapuolia lukemasta, kopioimasta, muuttamasta tai poistamasta henkilötietoja kuljetuksen aikana tai levossa.

Tämä saavutetaan erilaisilla alan vakiotoimenpiteillä, joihin kuuluvat:

  • Kerroksellisten palomuurien, VPN:ien ja salaustekniikoiden käyttö yhdyskäytävien ja putkistojen suojaamiseksi.
  • HTTPS-salaus (kutsutaan myös SSL- tai TLS-yhteydeksi) turvallisilla salausavaimilla.
  • Tietokeskusten etäkäyttö on suojattu useilla verkkoturvatasoilla.
  • Erityisen arkaluonteiset asiakastiedot suojataan lepotilassa salauksella ja/tai hakkeroinnilla (pseudonymisointi).
  • Jokaiselle käytöstä poistetulle levylle suoritetaan levyn poistoprosessi "Disk erase policy" -käytäntömme mukaisesti, ja käytöstä poistaminen kirjataan levyn sarjanumeron mukaan.
  • Säännölliset kolmannen osapuolen suorittamat tietoturva-auditoinnit (vähintään vuosittain), mukaan lukien tunkeutumistestit, jotka ovat asiakkaiden saatavilla.

 

Tietokeskukset

itslearning käyttää ainoastaan huipputeknisiä datakeskuksia, joissa on 365/24/7 paikan päällä tapahtuva turvallisuus- ja valvontatoiminta. Tietokeskukset on sijoitettu nykyaikaisiin paloturvallisiin tiloihin, joihin on oltava elektroninen avainkortti, ja hälytykset on yhdistetty paikan päällä tapahtuvaan turvallisuustoimintaan. Ainoastaan valtuutetut työntekijät ja alihankkijat voivat pyytää sähköistä avainkorttipääsyä näihin tiloihin.

 

Järjestelmän kehittäminen

itslearning -alusta perustuu tunnettujen toimittajien, kuten Microsoftin, Linuxin, Dellin, Fujitsun, Amazonin, Cloudflaren, F5:n ja Ciscon, alan standarditeknologioihin. Järjestelmät korjataan säännöllisesti uusimpaan versioon, jotta varmistetaan, että uusimmat tietoturvaparannukset ovat käytössä. Alustaa päivitetään yleensä useita kertoja neljännesvuosittain, ja virheenkorjaukset julkaistaan nopeasti prioriteettien perusteella ja tarkkojen laatutarkastusten jälkeen.

itslearning on toteuttanut toimenpiteitä minimoidakseen riskin siitä, että sen alustaan sisällytetään koodia, joka voi heikentää asiakaspalvelujen ja käsiteltyjen henkilötietojen turvallisuutta tai eheyttä.

Toimenpiteisiin kuuluvat:

  • Henkilöstön säännöllinen koulutus
  • Tietoturva-arkkitehtien suorittama koodin tarkistus
  • QA-prosessi muutosten tinkimätöntä testausta varten ennen käyttöönottoa.

 

Aliprosessorin turvallisuus

Alihankkijoita palvelukseen ottaessaan itslearning tarkastaa alihankkijoiden turvallisuus- ja tietosuojakäytännöt varmistaakseen, että alihankkijat tarjoavat tietoturvan ja tietosuojan tason, joka vastaa niiden pääsyä tietoihin ja niiden palvelujen laajuutta, joita ne ovat sitoutuneet tarjoamaan. itslearning tarkastaa säännöllisesti nykyisten alihankkijoiden käytännöt ja toimitukset.