Q&A: Miten APSIS on valmistautunut GDPR:ään

Kirjoittanut APSIS

2017-11-30

25. toukokuuta vuonna 2018 aletaan soveltaa EU:n yleistä tietosuoja-asetusta (GDPR), jonka tarkoituksena on säädellä EU:n jäsenmaiden ja niiden kansalaisten henkilötietojen käsittelyä. Tämän myötä sinä, APSIS-asiakkaana, olet rekisterinpitäjä (controller) ja APSIS tietojen käsittelijä (processor). Tämä merkitsee sitä, että meidän velvollisuutemme on tehdä tarvittavat toimenpiteet varmistaaksemme, että tiedot joita säilytämme puolestasi, ovat saatavilla ja suojattuina GDPR:n vaatimusten mukaisesti.

Läpinäkyvyyden lisäämiseksi olemme luoneet listan usein kysytyistä kysymyksistä, jotka liittyvät GDPR:ään sekä siihen, kuinka käytät palvelujamme.

 

GDPR

Kuinka APSIS on valmistautunut GDPR:n soveltamisajankohdan lähenemiseen?
GDPR:n noudattamiseksi olemme APSIKSELLA suorittaneet täydellisen arvion sen vaikutuksista infrastruktuuriimme, liiketoimintaamme ja kehitystyöhömme.
 
Millaisiin APSIKSEN säilyttämiin tietoihin GDPR vaikuttaa?
Asiakkaamme luomat ja/tai lataamat tiedot (kuten sähköposti).
 
Tiedot ovat asiakkaamme hallittavissa ja ainoastaan hänen tiedossaan. Näin ollen asiakkaallamme on täysi kontrolli poistoprosessista.
 
Lokit ja varmuuskopiot puhdistetaan/poistetaan sykleissä, ottaen huomioon GDPR:n mukanaan tuomat vaatimukset.
 
Käyttääkö APSIS kolmannen osapuolen yhteistyökumppaneita, jotka ovat merkityksellisiä GDPR:n suhteen?
APSIS tekee yhteistyötä Amazon AWS:n sekä Rackspace LTD:n kanssa pilvi- ja hosting-palveluissa.
 
 

DATA

Missä asiakkaiden luoma data sijaitsee fyysisesti?
Tiedot ovat tallennettuna EU:n alueella.
 
Kuinka paljon siellä on tietoa, ja kuinka pitkäksi aikaa se tallennetaan? 

Tallennetun tiedon määrä riippuu siitä miten asiakas käyttää sovelluksia. Emme mittaa yksittäisen asiakkaan tietomäärää.
 
Lisätietoja saat tutustumalla backup policy –dokumenttiimme.
 
Kaikki periaatteet varmistavat, että APSIS noudattaa GDPR:n vaatimuksia.
 
Onko tiedot tallennettu erikseen vai jaetaanko säilytyspaikka muiden APSIS-asiakkaiden kanssa?
APSIS pilvipalveluissa kullakin asiakkaalla on pääsy vain omiin tietoihinsa eli tietoihin pääsy ja niiden käsittely on rajattu vain ao. asiakkaalle.
 
Kenellä on pääsy tietoihin?
Asiakas on ainoa, jolla on pääsy omiin tietoihinsa.
Kuitenkin asiakkaan suostumuksella APSIS tuki- ja kehitystyöntekijät voivat saada pääsyn tietoihin. Tässä tapauksessa käytetään tähän tarkoitukseen suunniteltuja suojattuja sisäänkirjautumistunnuksia.
 
Kuinka monta kopiota/varmuuskopiota on olemassa? 

Tiedot varmuuskopioidaan päivittäin ja ne tallennetaan APSIKSEN varmuuskopioinnin periaatteiden mukaisesti. GDPR:n mukaisesti tietojen poistamisen jälkeen myös tietojen varmuuskopiot poistuvat kulloisestakin toimintaympäristöstä.
 
Onko lähteitä ja varmuuskopioita yksi vai useampia? 

APSIKSELLA on yksi lähde ja useita varmuuskopioita.
 
Ovatko tiedot salattuja? 

Tiedot tallennetaan salatun yhteyden taakse. Varmuuskopiot ovat salattuja.
 
Käytetäänkö tietoja muihin tarkoituksiin kuin mihin me asiakkaina niitä käytämme? 

Ei.
 

Turvallisuus

Miten työskentelette APSIKSELLA turvallisuuden varmistamiseksi?
APSIKSELLA aktiivisesti töitä turvallisuuden (data, fyysinen turvallisuus jne.) varmistamiseksi. Käymme turvamenetelmiämme läpi jatkuvasti.
 
Lisäksi APSIKSELLA on yhteistyökumppaneita, joiden ainoana tehtävänä on suojata APSIKSEN ja sen asiakkaiden tietoja.
 
Pidättekö lokia tiedoista?
Kyllä pidämme.
 
Kuvailkaa valvontaanne ja mahdollisten poikkevuuksien käsittelyänne. 
Poikkeavuuksista pidetään lokia, dokumentoidaan ja välitetään eteenpäin tarvittaville tahoille.
 
Kuinka käsittelette turvallisuutta sovelluksiin tunkeutumiseen liittyen?
Valvontajärjestelmillä sekä välittömällä tietoturvakorjauksella.
 
DevOps-tiimimme ryhtyy välittömästi toimiin, jos järjestelmissämme tapahtuu äkillisiä muutoksia. Kumppanimme Amazon ja Rackspace ryhtyvät heti toimiin, jos jokin uhkaa APSIS-ympäristöjä.

 

Prosessit

Kuvailkaa prosessianne poikkeavuuksien suhteen.
Tapahtumat dokumentoidaan ja käsitellään incident-tiimin toimesta, johon kuuluu myös C-tason edustus.

Millainen on prosessinne APSIS-järjestelmien sisäänkirjautumisen turvatasoista. 

Katsothan käytäntömme sisäänkirjautumisen turvatasoista.
 
Kuvailkaa varmuuskopiointi- ja palauttamisrutiininne.
Katsothan backup policy –dokumenttimme.
 
 
Haluatko pikakurssin henkilötietojen käsittelystä markkinoijille? Lataa englanninkielinen whitepaperimme!