Järjestelmän kehittäminen

Docue Technologies noudattaa järjestelmänsä kehityksessä OWASP-suojausohjeita. Osana kehitystyötä Docue arvioi palvelintensa, palvelinliikenteen ja tuotantojärjestelmiensä tietoturvaa teettämällä säännöllisesti tietoturvatarkastuksen ulkopuolisella tietoturvayrityksellä. Palvelun viimeisimmän tietoturva-arvion on suorittanut 9.9.2019 elfGROUP Cyber Security Services Ltd.

Käyttäjien kirjautumistiedot ja käyttöoikeudet

Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Kirjautumistietoja ei säilytetä palvelimella selväkielisenä. Lisävarmennuksena käyttäjän matkapuhelimeen lähetetään varmennuskoodi, kun käyttäjä kirjautuu palveluun tavanomaisesta poikkeavasta laitteesta tai selaimesta. Yritystilin käyttöoikeuksien hallinta on roolipohjainen. Tilin pääkäyttäjä(t) määrittelee roolit, jotka antavat käyttöoikeudet tietylle tietotyypille ja nimeää tilin käyttäjät haluttuun rooliin.

Tietoliikenteen ja asiakirjojen suojaus

Kaikki tietoliikenne tietokoneen ja palvelimen välillä salataan SSL-tekniikalla. Allekirjoituslinkin avaamiseen tarvitaan lisäksi nelinumeroinen koodi, joka lähetään allekirjoituslinkin saajalle. Jokaisesta asiakirjasta lasketaan 256-bittinen HASH-tiiviste sen jälkeen, kun kaikki allekirjoitukset on kerätty. Tiiviste talletetaan palvelimelle yhdessä asiakirjan kanssa ja sen avulla voidaan havaita jälkikäteen, mikäli asiakirjaa muutetaan allekirjoitusten jälkeen. Tiivisteen avulla voidaan toisin sanoen jälkikäteen varmentaa, onko asiakirja tehty Sopimustiedon palvelulla. Kaikki asiakirja-aines säilytetään palvelimella salattuna. Palvelun ylläpitäjällä ei ole pääsyä asiakirja-ainekseen kuin ainoastaan luvan kanssa.

Palvelimet ja suojaustason valvonta

Asiakirja-aines ja käyttäjätiedot säilytetään palvelimilla, joissa käytetään luokkansa parhaita turvallisuus- ja suojauskäytäntöjä. Tämä tarkoittaa mm. konesalien kattavaa suojausta tulipaloa ja sähkökatkoa vastaan sekä tarkkaa työntekijöiden valintaprosessia ja kulunvalvontaa. Palvelimet sijaitsevat EU-alueella, ja tieto on hajautettu usealle eri palvelimelle. Lisävarmenteena kaikki data varmuuskopioidaan säännöllisesti erilliselle varmuuskopiopalvelimelle. Palvelinten saapuvaa ja lähtevää tietoliikennettä valvotaan palomuurein. Palvelintarjoajat valvovat tietoliikennettä reaaliaikaisesti ja puuttuvat analyysin pohjalta havaittuihin uhkiin välittömästi.