Miten suojaamme ajoneuvodataa, hallitsemme pääsyä tietoihin ja täytämme eurooppalaisten sääntelyviranomaisten sekä valtion tietopalvelujen tarjoajien vaatimukset.
Kaikki tietojen käsittely ja tallennus tapahtuu EU:n ja ETA:n alueella. Emme käytä kuluttajatason pilvipalveluita.
Käyttöoikeudet myönnetään vain tarpeen mukaan, niitä arvioidaan säännöllisesti ja ne poistetaan, kun niitä ei enää tarvita.
Laitteet käyttävät salattua tallennustilaa. Monivaiheinen tunnistautuminen on käytössä kaikissa järjestelmissä, jotka käsittelevät rajoitettua dataa.
Viranomaisilta saatua dataa käytetään tiukasti sovittujen rajojen sisällä eikä sitä koskaan siirretä sallittujen ympäristöjen ulkopuolelle.
Tämä sivu tiivistää Good2Know'n hallintomallin, tietoturvan ja tietosuojan periaatteet. Se koskee kaikkia työntekijöitä, alihankkijoita ja järjestelmiä, jotka käsittelevät ajoneuvodataa, mukaan lukien viranomaisten toimittamaa dataa. Täydellinen sisäinen toimintaperiaate on pyynnöstä yritysasiakkaiden ja viranomaiskumppaneiden saatavilla.
Good2Know noudattaa koko yrityksen laajuista tietosuojakäytäntöä, joka asettaa odotukset henkilötietojen lainmukaiselle, asianmukaiselle ja läpinäkyvälle käsittelylle GDPR:n ja sovellettavan kansallisen lainsäädännön mukaisesti. Henkilötietojen käsittelyn vastuut, valvontatoimet ja viitekehys on määritelty ja niitä arvioidaan säännöllisesti.
Tietoturvakäytäntömme määrittelee periaatteet tietovarojen suojaamiseksi: luottamuksellisuus, eheys ja saatavuus. Se asettaa vähimmäisvaatimukset sille, miten järjestelmiä, dataa ja resursseja suojataan.
Noudatamme yhtenäistä lähestymistapaa tietoturva- ja tietosuojariskeihin. Riskit tunnistetaan ja arvioidaan periaatetasolla, ja niihin puututaan oikeasuhtaisilla toimenpiteillä. Riskien arviointi on kiinteä osa suunnittelua ja toimintaa, ei jälkikäteen tehtävä asia.
Good2Know noudattaa periaatteita, jotka määrittelevät, milloin tietosuojaa koskeva vaikutustenarviointi (DPIA) tai tiedonsiirtoa koskeva vaikutustenarviointi (TIA) on tarpeen. Nämä varmistavat, että GDPR-velvoitteet arvioidaan aina, kun käsittelyyn liittyy kohonnut riski tai kansainvälisiä tiedonsiirtoja.
Käsittelytoimet dokumentoidaan ja pidetään ajan tasalla. Lakisääteistä selostetta käsittelytoimista (ROPA) ylläpidetään erikseen, ja käytössä on periaatteet tiedon tarkkuuden ja jatkuvan vaatimustenmukaisuuden varmistamiseksi.
Traficomin ja muiden viranomaisten toimittamaa dataa käsitellään tiukasti sovellettavien sopimusten ja lainsäädännön asettamissa rajoissa. Erityisesti:
Käyttöoikeudet myönnetään minimioikeuksien periaatteella. Oikeudet osoitetaan henkilöille, joiden työtehtävät niitä vaativat, niitä arvioidaan säännöllisesti ja ne perutaan, kun niitä ei enää tarvita. Monivaiheista tunnistautumista vaaditaan aina tarvittaessa, erityisesti arkaluonteista tai rajoitettua dataa käsittelevissä järjestelmissä.
Good2Know'n käyttämät pilvipalvelut toimivat EU:n ja ETA:n alueella ja täyttävät yritystason tietoturvavaatimukset. Emme käytä kuluttajatason pilvipalveluita rajoitetun tai viranomaisten toimittaman datan käsittelyyn. Kaikki pilviympäristöt toimivat pääsynhallinnan, lokituksen ja laitehallinnan valvontamme alaisina.
Toiminta rajoitettua dataa käsittelevissä järjestelmissä lokitetaan. Lokit sisältävät tarkoituksen täyttämiseksi tarvittavat tiedot (aikaleimat, hakuparametrit ja toimijan tunnisteet), mutta eivät sisällä vastauksen hyötykuormaa. Lokit ovat:
Tietoturvapoikkeamat, mukaan lukien kaikki rajoitettuun tai viranomaisten toimittamaan dataan liittyvät tapaukset, lokitetaan ja niihin puututaan viipymättä. Tarvittaessa ulkoiset raportointivelvoitteet tunnistetaan ja täytetään asiaankuuluvien vaatimusten mukaisesti.
Siirrettävien tietovälineiden uhat tarkistetaan ennen käyttöä, eikä sisällön automaattista suorittamista siirrettäviltä tietovälineiltä sallita.
Dataa säilytetään vain niin kauan kuin on tarpeen sen käyttötarkoitusta varten, ja se poistetaan, kun käyttötarkoitus on päättynyt. Säilytysperiaatteet koskevat kaikkia Good2Know'n käsittelemiä tietoluokkia.
Ohjelmallista pääsyä Good2Know'n järjestelmiin ohjaavat seuraavat tekijät:
Vain sellaiset palveluntarjoajat, jotka tarjoavat EU:n ja ETA:n alueella tapahtuvan palvelinisännöinnin, yritystason valvontatoimet ja sopimusoikeudelliset tietoturvasitoumukset, saavat käsitellä rajoitettua tai viranomaisten toimittamaa dataa puolestamme. Toimittajien vaatimustenmukaisuutta arvioidaan säännöllisesti. Datan edelleenluovutus on kielletty, ellei sitä ole erikseen sallittu.
Varmuuskopioita ylläpidetään asianmukaisesti, ja järjestelmät on suunniteltu tukemaan palautumista häiriötilanteissa. Toimintavarmuuden periaatteemme asettavat odotukset datan saatavuudelle, eheydelle ja säilymiselle häiriöiden aikana.
Sovellettavien vaatimusten noudattamista valvotaan säännöllisesti ja riskipohjaisesti sisäisen hallintomallimme odotusten mukaisesti.
Tätä käytäntöä ylläpidetään, arvioidaan ja päivitetään organisaation vaatimusten mukaisesti. Se on voimassa, kunnes se korvataan virallisesti hyväksytyllä versiolla. Täydellinen sisäinen käytäntö, mukaan lukien yksityiskohtaiset valvontakuvaukset, on yritysasiakkaiden ja viranomaiskumppaneiden saatavilla asianmukaisten salassapitoehtojen mukaisesti.
Yritysasiakkaat, viranomaisdatan tarjoajat ja integraatiokumppanit voivat pyytää täydellistä hallinto-, tietoturva- ja tietosuojakäytäntöämme sekä tietosuojasopimusta (DPA) ja muita tukevia asiakirjoja.
Ota yhteyttä