Palvelun tietoturva

Sopimustiedolle on olennaisen tärkeää, että asiakkaiden käyttäjätiedot ja asiakirja-aines pysyvät suojattuna ja tallessa. Valmis asiakirja-aines on ainoastaan oikeutettujen rekisteröityjen käyttäjien saatavilla ja sitä säilytetään turvallisesti ja asianmukaisesti varmuuskopioituna. Käyttäjätietoja ei myöskään säilytetä selväkielisenä. Tietosuojaus ja suojaus on huomioitu kokonaisvaltaisesti kehitystyössä ja palvelun teknisessä toteutuksessa.

Järjestelmän kehittäminen

Sopimustieto noudattaa järjestelmänsä kehityksessä OWASP-suojausohjeita. Osana kehitystyötä Sopimustieto arvioi palvelintensa, palvelinliikenteen ja tuotantojärjestelmiensä tietoturvaa teettämällä säännöllisesti tietoturvatarkastuksen ulkopuolisella tietoturvayrityksellä. Viimeisimmän tietoturva-arvion on tehnyt Nixu Oyj keväällä 2017.

Käyttäjien kirjautumistiedot ja käyttöoikeudet

Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Kirjautumistietoja ei säilytetä palvelimella selväkielisenä. Lisävarmennuksena käyttäjän matkapuhelimeen lähetetään varmennuskoodi, kun käyttäjä kirjautuu palveluun tavanomaisesta poikkeavasta laitteesta tai selaimesta. Yritystilin käyttöoikeuksien hallinta on roolipohjainen. Tilin pääkäyttäjä(t) määrittelee roolit, jotka antavat käyttöoikeudet tietylle tietotyypille ja nimeää tilin käyttäjät haluttuun rooliin.

Tietoliikenteen ja asiakirjojen suojaus

Kaikki tietoliikenne tietokoneen ja palvelimen välillä salataan SSL-tekniikalla. Allekirjoituslinkin avaamiseen tarvitaan lisäksi nelinumeroinen koodi, joka lähetään allekirjoituslinkin saajalle. Jokaisesta asiakirjasta lasketaan 256-bittinen HASH-tiiviste sen jälkeen, kun kaikki allekirjoitukset on kerätty. Tiiviste talletetaan palvelimelle yhdessä asiakirjan kanssa ja sen avulla voidaan havaita jälkikäteen, mikäli asiakirjaa muutetaan allekirjoitusten jälkeen. Tiivisteen avulla voidaan toisin sanoen jälkikäteen varmentaa, onko asiakirja tehty Sopimustiedon palvelulla. Kaikki asiakirja-aines säilytetään palvelimella salattuna. Palvelun ylläpitäjällä ei ole pääsyä asiakirja-ainekseen kuin ainoastaan luvan kanssa.

Palvelimet ja suojaustason valvonta

Asiakirja-aines ja käyttäjätiedot säilytetään palvelimilla, joissa käytetään luokkansa parhaita turvallisuus- ja suojauskäytäntöjä. Tämä tarkoittaa mm. konesalien kattavaa suojausta tulipaloa ja sähkökatkoa vastaan sekä tarkkaa työntekijöiden valintaprosessia ja kulunvalvontaa. Palvelimet sijaisevat EU-alueella ja tieto on hajautettu usealla eri palvelimelle. Lisävarmenteena kaikki data varmuuskopioidaan säännöllisesti erilliselle varmuuskopiopalvelimelle. Palvelinten saapuvaa ja lähtevää tietoliikennettä valvotaan palomuurein. Palvelintarjoajat valvovat tietoliikennettä reaaliaikaisesti ja puuttuvat analyysin pohjalta havaittuihin uhkiin välittömästi.