Luottamus. Tietoturva

    Tietoturva.

    Suhtaudumme tietoturvaan ja tietosuojaan vakavasti. Alustamme on suunniteltu varmistamaan, että tietonne pysyvät luottamuksellisina ja turvassa ja että niitä käsitellään alan parhaiden käytäntöjen mukaisesti.

    Versio
    1.2.2
    Voimassa alkaen
    2 April 2026
    Viimeksi tarkistettu
    8 May 2026

    Lyhyesti

    • Tietonne salataan siirron aikana ja levossa, niitä käsitellään vain Euroopan unionin alueella eikä niitä koskaan lähetetä ulkopuolisille tekoälypalveluntarjoajille.
    • Käytämme omia tekoälymallejamme omassa infrastruktuurissamme, noudatamme tiukkaa tietojen minimointia emmekä koskaan käytä asiakastietoja mallien kouluttamiseen tai profilointiin.
    • Kovennetut järjestelmät, roolipohjainen pääsynhallinta, monivaiheinen tunnistautuminen, jatkuva valvonta ja testatut katastrofipalautusmenettelyt suojaavat käytettävyyttä ja eheyttä.
    • Käytäntömme noudattavat ISO/IEC 27001 -standardin periaatteita ja sisäänrakennetun tietosuojan mukaista GDPR-vaatimustenmukaisuutta.
    • Lisätietoja on alla.

    Salaus

    Kaikki siirrettävä data suojataan TLS 1.2- ja TLS 1.3 -protokollilla, mikä varmistaa turvallisen viestinnän asiakkaiden ja järjestelmiemme välillä.

    Levossa oleva data salataan AES 256 -salauksella tai vastaavilla vahvoilla salausstandardeilla luvattoman pääsyn estämiseksi.

    Tekoäly ja tietojen käsittely

    Käytämme omia tekoälymallejamme, joita hallinnoidaan ja käytetään kokonaan omassa infrastruktuurissamme.

    • Asiakastietoja ei lähetetä kolmansien osapuolten tekoälypalveluntarjoajille.
    • Emme käytä ulkoisia palveluja, kuten OpenAI:ta, Anthropicia (Claude) tai vastaavia rajapintoja.
    • Kaikki tekoälykäsittely tapahtuu hallitussa ja suojatussa ympäristössämme Euroopan unionin alueella.
    • Asiakastietoja ei koskaan käytetä jaettujen tai ulkoisten mallien kouluttamiseen.

    Näin varmistamme täyden hallinnan tietojen käsittelyyn, poistamme kolmansista osapuolista aiheutuvan altistumisen ja ylläpidämme tiukkaa luottamuksellisuutta.

    Väliaikainen tietojen käsittely

    Noudatamme tiukkaa tietojen minimoinnin periaatetta:

    • Tiedostoja käsitellään vain siinä määrin kuin pyydetyn toiminnallisuuden tuottaminen edellyttää.
    • Käsittely on väliaikaista ja ajallisesti rajattua.
    • Tietoja ei säilytetä pidempään kuin on tarpeen.
    • Väliaikaiset käsittely-ympäristöt eristetään ja poistetaan turvallisesti käytön jälkeen.

    Emme käytä asiakastietoja kouluttamiseen, profilointiin tai mihinkään toissijaisiin tarkoituksiin.

    Tietojen omistajuus

    Asiakkaat säilyttävät aina täyden omistajuuden omiin tietoihinsa.

    • Emme myy, jaa tai kaupallista asiakastietoja.
    • Tietoja käsitellään ainoastaan palvelun tuottamiseksi.
    • Pääsy asiakastietoihin on tiukasti rajattu ja valvottu.

    EU-infrastruktuuri ja tietojen sijainti

    Infrastruktuurimme on suunniteltu varmistamaan vahva tietosuoja ja sääntelyn noudattaminen:

    • Tietoja säilytetään ja käsitellään yksinomaan Euroopan unionin alueella.
    • Asetamme etusijalle EU:ssa sijaitsevan infrastruktuurin ja EU-pohjaiset palveluntarjoajat.
    • Kaikki käsittely on GDPR-vaatimusten mukaista.

    Lisätietoja henkilötietojen käsittelystä on kohdassa Tietosuojaseloste.

    Tietoturvakovennus

    Järjestelmämme määritetään ja ylläpidetään tiukkojen tietoturvan parhaiden käytäntöjen mukaisesti:

    • Kovennetut palvelinympäristöt ja mahdollisimman pieni hyökkäyspinta.
    • Jatkuva paikkaus ja tietoturvapäivitykset.
    • Vähimpien oikeuksien periaate kaikissa järjestelmissä.
    • Verkon segmentointi ja arkaluonteisten komponenttien eristäminen.

    Pääsynhallinta

    Pääsy järjestelmiin ja tietoihin on tiukasti hallittua:

    • Roolipohjainen pääsynhallinta (RBAC).
    • Monivaiheinen tunnistautuminen (MFA) sisäisissä järjestelmissä.
    • Vahvat tunnistautumis- ja valtuutusmekanismit.

    DDoS-suojaus ja käytettävyys

    Toteutamme useita suojauskerroksia järjestelmien käytettävyyden varmistamiseksi:

    • Verkkotason DDoS-torjunta.
    • Liikenteen suodatus ja pyyntömäärien rajoittaminen.
    • Redundantti infrastruktuuri yksittäisten vikapisteiden vähentämiseksi.

    Varmuuskopiot ja katastrofipalautus

    Ylläpidämme toimenpiteitä tietojen säilyvyyden ja palvelun jatkuvuuden varmistamiseksi:

    • Säännölliset salatut varmuuskopiot.
    • Testatut palautusmenettelyt.
    • Suunniteltu varmistamaan tietojen eheys ja saatavuus poikkeamatilanteissa.

    Häiriönsietokyky ja vikatilanteiden testaus

    Testaamme aktiivisesti järjestelmiemme häiriönsietokykyä todellisia vikatilanteita vastaavissa olosuhteissa:

    • Hallittu vikojen injektointi (Chaos Engineering -käytännöt, mukaan lukien Chaos Monkey -tyyppiset testit).
    • Simuloidut infrastruktuurihäiriöt (instanssi-, verkko- ja riippuvuushäiriöt).
    • Katastrofipalautussimulaatiot palautusmenettelyjen varmentamiseksi.
    • Säännöllinen vikasietotestauksen suorittaminen järjestelmien jatkuvuuden varmistamiseksi.

    Nämä käytännöt auttavat varmistamaan, että järjestelmämme pysyvät vakaina, palautuvat nopeasti ja jatkavat toimintaansa myös haastavissa olosuhteissa.

    Valvonta ja poikkeamiin reagointi

    Valvomme järjestelmiämme jatkuvasti tietoturvatapahtumien varalta:

    • Keskitetty lokitus ja reaaliaikainen hälytys.
    • Epäilyttävän toiminnan automaattinen tunnistaminen.
    • Määritellyt poikkeamienhallintamenettelyt ja sisäinen eskalointi.
    • Asiakkaiden oikea-aikainen ilmoittaminen olennaisesta tietoturvapoikkeamasta.

    Tietoturvatestaus ja standardit

    Kehitämme tietoturvatasoamme jatkuvasti:

    • Tietoturvakäytännöt, jotka noudattavat ISO/IEC 27001 -standardin periaatteita.
    • Säännölliset haavoittuvuusarvioinnit ja penetraatiotestaukset.
    • Tietoturvakontrollien ja -käytäntöjen jatkuvat sisäiset tarkastukset.

    Vaatimustenmukaisuus ja parhaat käytännöt

    Olemme sitoutuneet ylläpitämään korkeaa tietoturvan ja tietosuojan tasoa:

    • GDPR-vaatimustenmukaisuus sisäänrakennetusti ja oletusarvoisesti.
    • Tietojen minimoinnin ja käyttötarkoitussidonnaisuuden periaatteet.
    • Jatkuva parantaminen kehittyvien sääntely- ja tietoturvavaatimusten täyttämiseksi.

    Katso myös Tietosuojaseloste, Käyttöehdot ja Evästekäytäntö.

    Yhteydenotto

    Lisätietoja henkilötietojen käsittelystä ja GDPR:n mukaisista oikeuksistanne on kohdassa Tietosuojaseloste.

    Jos Teillä on kysyttävää tietoturvakäytännöistämme, ottakaa meihin yhteyttä osoitteessa ten.reirracdetsurt@ytiruces.