Regulatory Security Requirements

Regulatory requirement: [ASALK02] Asiakirjan muuttumattomuus REGREQ_ASALK02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: tarkistetaan dokumentaatio. V:tarkistetaan järjestelmän tuottamat allekirjoitukset, kuvailutiedot, lokimerkinnät / kohdat 1,2,3,4,5,6 *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Lähetettävän ja vastaanotettavan asiakirjan vastaavuus tarkistetaan tarkemmin osana Kelan testausta. Muussa kuin asiakirjamuodossa olevan tiedon muuttumattomuus riippuu järjestelmän toteutustavasta ja on sovitettava siihen. Sosiaalihuollon asiakirjat allekirjoitetaan järjestelmäallekirjoituksella ja erikseen määritellyillä asiakirjoille asetetaan vaatimuksia ammattihenkilön sähköisellä allekirjoituksella allekirjoittamisesta. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Asiakirjojen muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella. Tietojen muuttumattomuus on varmistettava sekä paikallisessa tallennuksessa että tiedonsiirrossa. Sähköiset asiakas- tai potilasasiakirjat tulee allekirjoittaa organisaation tai tietoteknisen laitteen tekemällä kehittynyttä sähköistä allekirjoitusta luotettavuudeltaan vastaavalla allekirjoituksella, ns. järjestelmäallekirjoituksella. Järjestelmän tulee liittää asiakirjaan tietosisältöä vastaavat kuvailutiedot. Asiakirja (sen body-osio) allekirjoitetaan muuttumattomuuden takaamiseksi. Asiakirja ei saa sisältää asiakirjan sisältöä muuttavia elementtejä. Asiakirjan muodostamisesta tehdään lokimerkintä. Asiakas- tai potilastietoja voidaan kerätä ja käsitellä järjestelmässä myös muussa kuin asiakirjamuodossa. Asiakas tai potilaskertomuksen muuttumattomuus tulee taata ja muunnos asiakirjaksi tulee olla luotettava.

Regulatory requirement: [ATUN01] Käyttäjän tunnistaminen REGREQ_ATUN01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: tunnistautuminen tai kirjautuminen järjestelmään. Testataan tarvittaessa tunnistamista varmennekortilla ja muilla tuetuilla tunnistautumistavoilla, myös virheelliset tunnistautumisyritykset. D: tarkistetaan ohjeistus ja dokumentaatio. clarification_text: Käyttäjätunnuksen ja vahvan salasanan käyttö mahdollista kun ei haeta luovutuksella saatavia tietoja Kanta-palveluista tai erityistilanteessa käytettäessä esim. hallinnon tukijärjestelmää (esim. ateriatilaukset), jolla ei ole pääsyä muuhun potilaan hoitoon liittyvään tietoon tai muuhun sosiaalihuollon asiakastietoon. Mikäli kohta 4 toteutetaan kompensoiden, parametrointi tehtävä oletusarvoisesti enintään yhden minuutin ajalle ja ohjeistettava parametrointi mahdollisimman lyhyeksi käyttöympäristö ja riskit huomioiden. Kohta 4: palvelu- tai käyttötilannekohtaiset kansalliset määrittelytarkennukset mahdollisia. Sosiaali- ja terveydenhuollossa voidaan käyttää samoja varmenteita. Kertakirjautuminen työasema- tai järjestelmätasolla on sallittua ja suositeltavaa, kun kirjautuminen ja lukitus toteutuvat vaaditulla tavalla. Lähde osin Katakri 2020. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tietojärjestelmän käyttäjä tulee tunnistaa ja todentaa yksiselitteisesti. Tunnistamisessa tulee käyttää sosiaali- ja terveydenhuollon varmennepalvelua ja varmenteita. Erityistilanteissa voi käyttää muuta vahvaa tunnistautumista tai käyttäjätunnusta ja vahvaa salasanaa. Järjestelmässä ei saa olla yleisiä ylläpito- tai jaettuja tunnuksia / oikeuksia ja toiminnallisuuksia, joiden avulla yksittäisen asiakkaan tietojen käyttö ilman käyttäjän yksiselitteistä tunnistamista olisi mahdollista. Mikäli käytetään salasanatodennusta, a) käyttäjiä on ohjeistettu hyvästä turvallisuuskäytännöstä salasanan valinnassa ja käytössä ja salasanan kompleksisuus tulee teknisesti pakottaa b) salasanalle on asetettava tietyt turvallisuuden vähimmäisvaatimukset ja pakottaa salasanan vaihdon sopivin määräajoin. Salasanan vähimmäisvaatimukset ja vaihdon sopiva määräaika tulee suhteuttaa organisaation toimintaympäristön ja käsiteltävän ja säilytettävän tiedon mukaan, muut turvallisuusratkaisut huomioiden. Järjestelmä ei saa välittää salasanaa muille järjestelmille. c) Käyttäjätilillä käytössä olevan salasanan asettaminen uudelleen salasanaksi tulee olla teknisesti estetty silloin, kun järjestelmä edellyttää salasanaa vaihdettavaksi d) Käyttäjätilin käyttäminen pitää teknisesti estää toistaiseksi tai määräajaksi, jos käyttäjän tunnistaminen epäonnistuu liian monta kertaa peräjälkeen e) Järjestelmän ei tule osoittaa käyttäjälle epäonnistuneen tunnistamisyrityksen jälkeen sitä, oliko käyttäjätunnus vai salasana väärä. Järjestelmän tai käyttöliittymän on lukittauduttava tai yhteys järjestelmään katkaistava, kun tunnistautuneen käyttäjän tunnistusväline poistetaan kortinlukijasta tai lukulaitteen läheisyydestä; kompensoitavissa mahdollistamalla lyhyt automaattinen käyttäjäorganisaation parametroima aikalukitus mikäli tunnistusteknologia ei mahdollista tunnistusvälineen läsnäolon varmistamista.

Regulatory requirement: [ATUN02] Tunnistautumisen vaikutukset oikeuksiin REGREQ_ATUN02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: kirjautuminen järjestelmään oikeilla ja virheellisillä varmennekorteilla ja tunnuksilla. Testataan salasanan vaihto ja vanheneminen. D: tarkistetaan ohjeistus clarification_text: Muuta kuin varmennekortilla kirjautumista käytettäessä voi käyttää ainoastaan organisaation omassa asiakas- tai potilasrekisterissä olevia tietoja. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Vain toimikortilla tai vastaavalla vahvalla tunnistuksella tunnistautunut käyttäjä voi hakea luovutuksella saatavia tietoja potilastietovarannosta ja sosiaalihuollon asiakastietovarannosta. Toimikortilla tai vastaavalla vahvalla tunnistuksella, tai käyttäjätunnuksella ja vahvalla salasanalla kirjautunut käyttäjä voi tallentaa asiakas- ja potilastietoa paikallisesta järjestelmästä asiakastietovarantoon. Potilaan hoitoon tai sosiaalihuollon asiakasasiakirjojen sisällöllisiin tietoihin liittyviä tietoja käsitellessä kirjautuminen ainoastaan varmennekorttia, vahvaa tunnistusta tai vahvaa salasanaa käyttäen.

Regulatory requirement: [ATUN03] Varmenteiden validointi REGREQ_ATUN03

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: Tarkistetaan, että järjestelmä tarkistaa varmenteiden eheyden, voimassaolon ja sulkulistalla olon VRK:n tiedoista ja hakee sulkulistatiedot vähintään kerran vuorokaudessa, D: tarkistetaan dokumentaatio clarification_text: Vaatimukset koskevat sosiaali- ja terveydenhuoltoa sekä hyvinvointisovelluksia. Varmenteen eheyden ja tilan tarkistus tulee tehdä sessiokohtaisesti, ei esimerkiksi vain kerran vuorokaudessa. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

1) Varmenteiden eheys, voimassaolo ja mahdollinen sulkulistalla olo on tarkistettava DVV:n tiedoista. Varmenteiden validointi koskee kaikkia järjestelmissä käytettäviä varmennetyyppejä: ammattivarmenteita, henkilöstövarmenteita, toimijavarmenteita, palvelinvarmenteita, järjestelmäallekirjoitusvarmenteita ja hyvinvointisovelluspalveluvarmenteita. 2) Sulkulista jota vasten validointi tehdään on haettava vähintään kerran vuorokaudessa.

Regulatory requirement: [AKVH01] Käyttövaltuushallinta REGREQ_AKVH01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: Tarkastetaan, miten järjestelmän käyttöoikeudet luodaan sekä testataan käyttöoikeuksia todellisuuden kaltaisessa tilanteessa. Tarkastetaan ohitustilanteiden toiminnallisuus ja lokitiedot sekä erillinen luettelo ohitustilanteista. clarification_text: Järjestelmässä itsessään tulee olla mahdollisuus hallita käyttöoikeuksia näiden vaatimusten edellyttämällä tavalla, tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Erityyppisissä järjestelmissä näitä vaatimuksia on toteutettava eri tavoin, tarvittaessa merkittävä miltä osin vaatimus järjestelmässä relevantti. Järjestelmän tulee mahdollistaa säädösten mukainen käyttöoikeuksien määrittelyt, esimerkiksi sosiaalihuollossa palvelutehtävien ja sosiaalipalvelujen mukaisesti. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmän tulee mahdollistaa käyttövaltuuksien antaminen käyttäjän työtehtävien ja annettavien palvelujen mukaisesti eri toiminnallisuuksiin järjestelmän käyttötarkoituksen mukaisesti. Kanta-palveluihin liittyvät toiminnallisuudet tulee rajata käyttäjän työtehtävien ja annettavien palvelujen perusteella. Vain ne henkilöt, joille käyttöoikeus on annettu, voivat käyttää ko toiminnallisuuksia. Järjestelmä ei vaadi laajoja käyttöoikeuksia toimiakseen. Järjestelmässä tulee olla poikkeustilanteiden hallinnan edellyttämät toiminnot, joilla käyttöoikeus voidaan tilapäisesti ohittaa (esimerkiksi pääkäyttäjän oikeuksin, vaikka ko. toimenpide ei kuulu pääkäyttäjän työtehtäviin). Tekijä ja tehty toimenpide tulee silti luotettavasti yksilöidä ja kirjata. Tieto ohitustilanteista tulee saada järjestelmästä esim. erilliseen luetteloon, jonka käsittelystä on ohjeet käyttöympäristön tietoturvapolitiikassa.

Regulatory requirement: [AKVH04] Oletustunnusten estäminen REGREQ_AKVH04

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D/TT: Tarkistetaan kuinka on varmistettu tai ohjeistettu ettei järjestelmässä tai sen osana olevissa palveluissa ole aktiivisia oletustunnuksia tai muita oletuksena tulevia huonoja asetuksia. ASVS 2.5.4 ja 2.10.2. sovellettavissa. clarification_text: Sosiaali- ja terveydenhuoltoa koskevat samat vaatimukset. Mikäli järjestelmästä ei voida joltakin osin poistaa oletustunnuksia, niiden salasanat on vaihdettava ja oltava riittävän vahvoja. Ks. myös muut kovennusvaatimukset kuten AKYM07. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmissä tai sen osana olevissa palveluissa ei saa olla aktiivisia oletustunnuksia.

Regulatory requirement: [AVALO01] Lokitietojen muuttumattomuus REGREQ_AVALO01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan miten järjestelmän lokiympäristö on toteutettu ja kuinka lokimerkintöjen muuttumattomuus toteutetaan. ASVS 7.3.1 ja 7.3.3 sovellettavissa. clarification_text: Katakri 2020 Tulee pyrkiä varmistamaan, että valvonnan kohteena olevat henkilöt eivät itse pääse muuttamaan lokitietoja. Lokitietojen säilyttämiseen ei toistaiseksi vaadita esim. kertakirjoittavaa mediaa. Sosiaali- ja terveyspalveluita koskevat samat vaatimukset. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Lokitietojen muuttumattomuus tulee varmistaa. Järjestelmän tulee mahdollistaa lokitietojen muuttumattomuuden varmistaminen joko järjestelmätasolla tai organisaation omien toimenpiteiden kautta. Järjestelmän tulee mahdollistaa lokitietojen hävittäminen, kun hävittämisen ehdot täyttyvät. Vaatimus koskee vähintään käyttölokia ja teknistä lokia. Tekniset lokit voivat sisältää sekä Kanta-palveluihin liittyviä esim. viestinvälityksen lokimerkintöjä mutta myös muita järjestelmien ja alustojen lokitietoja, joita käytetään mm. teknisten virheiden selvittelyssä ja jotka ovat erillisiä Kanta-palveluihin liittyvistä käyttö- ja luovutuslokeista.

Regulatory requirement: [AVALO02] Käyttöloki REGREQ_AVALO02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Varmistetaan dokumentaatiosta lokien tietosisällön vaatimuksenmukaisuus huomioiden tietosisältövaatimusten TLOK01 ja TKLO02 voimaantulo. V: Käytetään järjestelmää ja tarkistetaan lokiasetukset sekä käydään läpi otos lokitiedoista. ASVS 7.1.4 ja 7.1.2 sovellettavissa. clarification_text: Lokitiedot hävitetään kun ne eivät enää ole tarpeen asiakastietojen käytön ja luovutuksen lainmukaisuuden seuraamiseksi. Tarkemmat vaatimukset käyttölokille kuvataan dokumentissa ’Potilastietojärjestelmien käyttötapaukset’ liite 5 Vaatimukset käyttölokeille tai sen korvaavissa määrityksissä. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot tietojen haun ja käytön osalta (esim. tilanteissa, joissa järjestelmä hakee Kanta asiakastietovarannosta enemmän tietoa kuin mitä käyttäjälle näytetään perusjärjestelmän suodattaessa tietoja). Kaikki järjestelmän pääkäyttäjän ja ylläpitäjän asiakas- ja potilastietojen käsittelyyn liittyvät toimet järjestelmässä on lokitettava. Lokitietojen aikaleimojen on oltava oikeellisia ks. APAKOL08. Käyttölokin säilytysaika on vähintään 12 vuotta.

Regulatory requirement: [AVALO03] Tekninen loki REGREQ_AVALO03

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan lokisisällön vaatimuksenmukaisuus; V: Käytetään järjestelmää ja tarkistetaan käytöstä syntyneet lokitiedot. ASVS 7.1.3 osin sovellettavissa. clarification_text: Ks. KS05. Järjestelmien ja alustojen teknisiä lokeja käytetään mm. teknisten virheiden selvittelyssä ja jotka ovat erillisiä Kanta-palveluihin liittyvistä käyttö- ja luovutuslokeista; tässä vaatimuksessa tarkoitetaan erityisesti Kanta-viestinvälitykseen liittyviä muita kuin käyttö- ja luovutuslokitietoja. delivery_status: later applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Kanta-palvelujen ja niihin liittyvien organisaatioiden ja järjestelmien välisestä viestinnästä on pidettävä lokia. Lokia tulee pitää kaikissa järjestelmissä joiden kautta asiakas- tai potilastietoja välitetään Kanta-palveluihin. Lokeihin kerätään tietoturvaan ja järjestelmän toimivuuteen liittyviä välttämättömiä tietoja ja henkilötietoja kerätään vain voimassa olevien lakien, säädösten ja määräysten mukaisesti. Järjestelmän tekniset virheet on lokitettava. Lokitietojen aikaleimojen on oltava oikeellisia ks. APAKOL08.

Regulatory requirement: [AVALO04] Lokien seurantaväline REGREQ_AVALO04

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen tai järjestelmä mahdollistaa ulkopuolisen seurantavälineen liittämisen. TT: käytetään järjestelmää ja tarkistetaan käytöstä syntyneet lokitiedot clarification_text: Voi olla toteutettu myös ulkoisen seurantavälineen kautta. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tietojärjestelmässä on väline ja dokumentoidut ohjeet lokitietojen seuraamiseen tai järjestelmä mahdollistaa ulkopuolisen seurantavälineen liittämisen. Lokit on pystyttävä hakemaan saataville säännöllistä tai tapauskohtaista seurantaa ja valvontaa varten.

Regulatory requirement: [AVALO05] Verkkoliikenteen tietoliikenneprofiili REGREQ_AVALO05

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan, kuinka on kuvattu ja dokumentoitu järjestelmän tuottama normaali tietoliikenne ja millä tavoin on kuvattu, miten normaalista tietoliikenneprofiilista eroava liikenne on mahdollista havaita. clarification_text: Menettely koskee korkean riskitason järjestelmiä. Suositeltava myös perustasolla. Tarkkoja lukuja tietystä tuotantoympäristöstä ei edellytetä, mutta tulisi kuvata arvio siitä, millainen verkkoliikenteen määrä ja luonne on tyypillisessä tai joissakin tyypillisissä käyttöympäristöissä. Kuvaukseen tulisi kuulua mm. käytetyt tietoliikenneportit, ja mahdollinen tietoliikenteen määrän normaali vaihtelu tyypillisessä käytössä esimerkiksi eri vuorokauden aikoina sekä eri käyttäjämäärien vaikutukset verkkoliikenteeseen. delivery_status: good-to-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Verkkoliikenteen normaali tietoliikenneprofiili (baseline) on tiedossa; on olemassa menettely, jolla normaalista tietoliikenneprofiilista eroava liikenne pyritään havaitsemaan; järjestelmän osalta on pystyttävä kuvaamaan, millaista verkkoliikennettä normaali käyttö aiheuttaa. Kuvaukseen suositellaan kuuluvaksi myös välineet, keinot tai suositukset esimerkiksi porttiskannausten, palvelunestohyökkäysten, väsytys- ja salasanahyökkäysten havaitsemiseksi, torjumiseksi tai niihin varautumiseksi tietojärjestelmäpalvelun tuottajan näkökulmasta.

Regulatory requirement: [AVALO06] Erityissuojattavien tietojen näyttäminen terveydenhuollossa REGREQ_AVALO06

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: käytetään järjestelmää ja testataan erityisuojauksen toimivuus. D: tarkistetaan ohjeistus delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Erityissuojattavia potilastietoja ovat asiakastietolain 26 §:ssä säädettyjen perinnöllisyyslääketieteen ja psykiatrian potilasasiakirjamerkintöjen lisäksi seksuaaliterapian, psykologipalvelun sekä mielenterveys- ja päihdepalvelun potilasasiakirjamerkinnät. Erityissuojaus on toteutettava seksuaaliterapian, psykologipalvelun sekä mielenterveys- ja päihdepalvelun osalta viimeistään 1 päivänä lokakuuta 2026

Regulatory requirement: [AVALO07] Luovutuslokien hallinta REGREQ_AVALO07

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: Todentaminen: APAKOL11, KS04 ja TSL07 clarification_text: Tämän vaatimuksen osalta eri profiilien toteutusvaatimukset näkyvät vaatimusten APAKOL11, KS04 ja TSL07 kohdalla. delivery_status: later applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Luovutustenhallinta toteutetaan sote-palveluissa ja luovutuslokit tallennetaan Kanta-palveluihin viitattujen määritysten mukaisesti. Tietojärjestelmiin liittyvät luovutuslokeihin liittyvät vaatimukset toteutetaan APAKOL11, KS04 ja TSL07 mukaisesti

Regulatory requirement: [ATIKO01] Käyttöohjeet ja ohjeistus REGREQ_ATIKO01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tutustutaan käyttö-, asennus- ja ylläpito-ohjeisiin ja tarkistetaan niiden vastaavuus järjestelmän arvioitavana olevan version kanssa. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmän käyttötarkoituksen mukaista käyttöä sekä sen asennusta ja ylläpitoa varten tulee olla saatavilla tarpeelliset ohjeet. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.

Regulatory requirement: [ATIKO02] Haettujen tietojen säilytys REGREQ_ATIKO02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D/V/TT: Tarkastetaan, että järjestelmässä on toiminto Kanta-arkistosta haettujen tietojen poistamiseksi. Toiminnon tulisi olla automaattinen ja liittyä palvelutapahtuman tai asiakassuhteen päättymiseen. Tarkistetaan, että järjestelmä ei talleta lääkemääräyksiä tai niiden toimituksia pysyvästi pl. mainitut poikkeukset clarification_text: Erikseen määritellyt poikkeukset: Järjestelmään voi kuitenkin tallentaa sellaiset tiedot, jotka ovat välttämättömiä lokeille asetettujen vaatimusten täyttämiseksi. Huomioitava mahdolliset lisäpoikkeukset kansallisissa määrittelyissä ja säädöksissä. Sosiaalihuollon asiakastiedon arkistosta haetut tiedot voidaan tallettaa paikalliseen järjestelmään palveluyksikön asiakassuhteen aikana. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Kanta asiakastietovarannosta haetut tiedot voidaan tallettaa paikalliseen järjestelmään siksi ajaksi kun asiakkalla on asia- tai hoitosuhde ao. yksikköön. Tiedot voidaan säilyttää yhtenä asiakirjana tai purkaa paikallisen järjestelmän käyttämään muotoon. Asia- tai hoitosuhteen päättyessä tiedot on voitava tuhota niiden paikallisesta tallennustavasta riippumatta. Reseptikeskuksesta haettuja lääkemääräyksiin liittyviä asiakirjoja (mm. lääketoimitukset jne.) ei saa pysyvästi (erikseen määriteltyjä poikkeuksia lukuun ottamatta) tallentaa terveydenhuollon tietojärjestelmään. Väliaikaiseksi tallennuksiksi tarkoitetut tiedot tulee tuhota kokonaan ilman palautusmahdollisuutta välittömästi käytön jälkeen, kun niitä ei enää tarvita.

Regulatory requirement: [APAKOL01] Ammattilaiskäyttäjän istunnon katkaisu REGREQ_APAKOL01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: Tarkistetaan, että järjestelmän käyttöliittymä voidaan lukita tai yhteys katkaistaan asiakasorganisaation määrittelemän ajan mukaisesti. Kokeillaan kuvauksen mukaisen istunnon katkaiseminen tai lukittuminen. D: tarkistetaan ohjeistus asiakkaille istunnon katkaisusta ja sen konfiguroinnista. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Jos kyseisen järjestelmän kaikki käyttäjäorganisaatiot huolehtivat lukitsemisesta käyttöjärjestelmän tasolla, lukitustoiminnallisuutta ei tarvitse toteuttaa järjestelmään. Aikakatkaisu voi olla eripituinen eri käyttäjäryhmillä ja/tai käyttöympäristöissä (esim. leikkaussali vs poliklinikka). Aikakatkaisun raja voidaan määritellä palvelunantajakohtaisesti ja kuvata esim. toimijan tietoturvasuunnitelmassa. Alkuperäinen lähde STM kansalliset auditointivaatimukset. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tietojärjestelmän on mahdollistettava käyttöliittymän lukittuminen asiakasorganisaation määrittelemän ajan jälkeen.

Regulatory requirement: [APAKOL02] Asiayhteyden tai hoitosuhteen varmistaminen REGREQ_APAKOL02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: Testataan kuvauksen mukaisen asiayhteyden tai hoitosuhteen toiminta. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Kanta-luovutushauissa täytettävä myös APAKOL12. Erilliset tarkennukset esim. yksityisen ammatinharjoittajan käyttämän web-järjestelmän osalta mahdollisia. Sosiaalihuollossa asiayhteydellä tarkoitetaan, että työntekijän työtehtävällä ja palveluyksiköllä on yhteys asiakkaan palveluyksikköön ja/tai asiakkaan asiaan. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Asiakas- tai potilastietojärjestelmä varmistaa käyttäjän asiayhteyden tai hoitosuhteen asiakkaaseen tai potilaaseen. Sosiaalihuollon asiakasasiakirjojen ja terveydenhuollon potilastietojen käytössä käyttäjä on sosiaali- tai terveydenhuollon ammattihenkilö tai muu organisaation valtuuttama työntekijä ja työskentelee tehtävissä, joiden hoitaminen edellyttää pääsyä tietoihin. Sosiaalihuollossa asiayhteyden käyttökontekstina on asiakkuus sekä mahdollisesti asia.

Regulatory requirement: [APAKOL12] Asiayhteyden tai hoitosuhteen ohjelmallinen todentaminen REGREQ_APAKOL12

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT: Testataan kuvauksen mukaisen asiayhteyden tai hoitosuhteen toiminta. V: Tarkistetaan käyttöloki clarification_text: Potilastiedon arkistoon liittyvissä järjestelmissä nojaudutaan palvelutapahtuman tai erityisen syyn kautta tapahtuvaan hoitosuhteen tai asiallisen yhteyden varmistamiseen. Sosiaalihuollon asiakastiedon arkistoon liittyvissä järjestelmissä nojaudutaan asiakkuusasiakirjaan ja katselevassa järjestelmässä tietojen katselun erityiseen syyhyn. delivery_status: good-to-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Asiakas- tai potilastietojärjestelmä varmistaa ohjelmallisesti käyttäjän asiayhteyden tai hoitosuhteen asiakkaaseen tai potilaaseen. Tekninen varmistus edellyttää tietojärjestelmän todentamaa potilashallinnon tapahtumaa tai sosiaalihuollon asiakkuutta. Jos hoitosuhdetta ei voida varmistaa teknisesti, käyttäjällä voi olla oikeus antaa erityinen syy tietojen käsittelylle. Erityinen syy tallennetaan käyttölokille ja Kanta-asiakastietovarannosta luovutuksella tietoja noudettaessa sen luovutuslokille.

Regulatory requirement: [APAKOL11] Luovutusilmoitus REGREQ_APAKOL11

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: tarkistetaan, kuinka luovutusilmoitus toteutettu; TT+V: testataan luovutusilmoituksen syntyminen ja arkistoituminen Kantaan / todennettavissa myös yhteistestausraportin kautta. clarification_text: Relevantti, jos järjestelmässä tietojen paikallisiin luovutuksiin liittyviä toimintoja tai luovutusilmoituksen tuottaminen. Merkittävä erikseen tietoturvallisuustodistukseen, jos luokan A3 järjestelmässä ei ole tätä toiminnallisuutta. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Muista kuin Kanta-palvelujen kautta tehtävistä asiakkaan tietojen luovutuksista rekisterien välillä on tehtävä luovutusilmoitus jotta tiedot tulevat luovutuslokille ja luovutuksia voidaan seurata. Sosiaalihuollossa tarkentuu myöhemmin.

Regulatory requirement: [APAKOL07] Rekisterien erottaminen REGREQ_APAKOL07

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: V/D: Tarkastetaan, miten rekisterien erottaminen on toteutettu clarification_text: Rekisterien erottaminen ei edellytä erillistä tietokantaa. Kanta-palveluissa tiedot on tallennettava oikeaan rekisteriin. delivery_status: later applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Mikäli järjestelmässä käytetään eri rekistereitä (esim. terveydenhuolto, sosiaalihuollon asiakas- ja ilmoitusrekisteri, työterveyshuolto), tulee eri palveluissa syntyvät rekisterit voida erotella toisistaan.

Regulatory requirement: [APAKOL08] Kellojen synkronoinnin kuvaus REGREQ_APAKOL08

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: TT tarkistetaan kellojen synkronointi, D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaatiosta clarification_text: Toteutustapana esimerkiksi konesali- tai alustapalveluissa sopiva on operaattorin tarjoamien aikapalvelujen käyttö, jos palvelinten kellot synkroidaan siten, että aikaleimat voidaan tuottaa yhtenäisiksi Mittatekniikan keskuksen tarjoaman ajan kanssa. Asiakirjojen, allekirjoitusten ja lokimerkintöjen näkökulmasta sekunnin tarkkuus on riittävä. Ks. myös vaatimus VV08. delivery_status: later applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Viestinvälityksessä, sanomaliikenteessä, lokimerkinnöissä sekä asiakirjojen tai merkintöjen aikaleimoissa on oltava oikeellinen aika. Kanta-palveluihin yhteydessä olevan tietojärjestelmän aika on synkronoitava Mittatekniikan keskuksen toimittaman Suomen virallisen ajan kanssa tieto- ja sanomaliikenteen osalta. Myös muissa järjestelmissä asiakirjamerkinnöissä ja lokimerkinnöissä aikaleimojen on oltava oikeellisia, mutta ei ole välttämätöntä perustua samaan synkronointiin ja tarkkuuteen. Kuvattava todentamista varten, miten on toteutettu.

Regulatory requirement: [ASTUR01] Turvallisen ohjelmoinnin periaatteet järjestelmän toteutuksessa REGREQ_ASTUR01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: Alakohdissa ilmaistaan kunkin kohdan todentamistapa. ASVS V1.1, ASVS V1.5 ja ASVS 1.10.1 osin sovellettavissa. Jos alakohtia on todennettu esimerkiksi tietojärjestelmäpalvelun tuottajan tai valmistajan muissa viranomaisen suorittamissa auditoinneissa tai sertifioinneissa, on ulkoisen arvioijan voimassa oleva raportti auditoinnista hyväksyttävä todentamistapa, mikäli siitä käy ilmi eri vaatimuskohtien täyttyminen. Esimerkiksi laatujärjestelmän arviointi ja auditointi ei kuitenkaan ole tietoturvallisuuden arvioinnin kohteena. Täydentävänä todentamistapana suositellaan käytettäväksi soveltuvissa alakohdissa haavoittuvuustestausta (H), järjestelmän tai sovelluksen luonteesta ja alustasta riippuen. clarification_text: Alakohdat sisältävät kansallisen turvallisuusauditointikriteeristön suositusten mukaisia kriteerejä. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024 split into: RSR_ASTUR01_1, RSR_ASTUR01_2, RSR_ASTUR01_3, RSR_ASTUR01_4, RSR_ASTUR01_5, RSR_ASTUR01_6, RSR_ASTUR01_7, RSR_ASTUR01_8, RSR_ASTUR01_9, RSR_ASTUR01_10, RSR_ASTUR01_11

On pystyttävä kuvaamaan alakohdissa näkyvät käytännöt ja periaatteet.

Regulatory sub-requirement: [ASTUR01.1] Turvallisen ohjelmoinnin käytännöt RSR_ASTUR01_1

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. clarification_text: Turvallisella ohjelmoinnilla pyritään välttämään yleisiä virheitä, jotka saattavat tuoda haavoittuvuuksia kehitykseen eri ohjelmointikielillä. Ohjelmointivirheet, kuten puskurin ylitys ja logiikkavirheet, ovat yleinen syy tietoturvahaavoittuvuuksiin. OWASP ASVS ja OWASP MASVS soveltuvat web-sovellusten ja mobiilipäätelaitteissa käytettävien sovellusten turvalliseen kehittämiseen. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka tietoturvatietous on huomioitu järjestelmän kehitysprosessin aikana. Turvallisten koodausstandardien tulisi sisältää ainakin seuraavat periaatteet: — dokumentoidut koodausstandardit ja -käytännöt; — ohjeistus käyttämään vain turvallisia toimintoja ja funktioita (esim. listat kielletyistä funktioista) — ohjeistus käyttämään turvallisia kääntäjä- ja työkaluketjuversioita ja suojattuja kääntäjävalikkoja – miten valvotaan helposti ongelmia aiheuttavien funktioiden ja rajapintojen käyttöä

Regulatory sub-requirement: [ASTUR01.2] Uhkien ja riskien tunnistaminen ja kontrollointi RSR_ASTUR01_2

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. clarification_text: Ohjelmistokehityksen aikana on suoritettu tietoturvauhka-analyysi ja havaitut riskit on joko kontrolloitu tai nimenomaisesti hyväksytty. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka tietoturvauhat ja riskit on tunnistettu ja kontrolloitu

Regulatory sub-requirement: [ASTUR01.3] Rajapintojen turvallisuustestaus RSR_ASTUR01_3

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: TT: Todennetaan testausraportista. Testausraportti voi olla tietojärjestelmäpalvelun tuottajan toimittama tai tuottaminen voi olla osa auditointia. HT: suositeltava korkean riskin järjestelmissä ja järjestelmissä, joissa on laajan kansalaisista koostuvan käyttäjäjoukon käyttöön tarkoitettuja tekstimuotoisen tiedon syöttämisen mahdollistavia käyttöliittymiä clarification_text: Varauduttava esim. virheellisten syötteiden kautta tapahtuviin injektiohyökkäyksiin. Testausraportista tulee ilmetä, kuinka sovellus on testattu virheellisillä syötteillä. Vaihtoehtoisesti voidaan tehdä HT-tasoinen tietoturvatestaus / haavoittuvuustestaus arviointilaitoksen toimesta. delivery_status: good-to-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka rajapinnat on testattu viallisilla syötteillä, injektioilla sekä suurilla syötemäärillä

Regulatory sub-requirement: [ASTUR01.4] Käyttäjän syötteiden tarkistus / testaus RSR_ASTUR01_4

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: TT: Todennetaan testausraportista. Testausraportti voi olla tietojärjestelmäpalvelun tuottajan toimittama tai tuottaminen voi olla osa auditointia. HT: suositeltava korkean riskin järjestelmissä ja järjestelmissä, joissa on laajan kansalaisista koostuvan käyttäjäjoukon käyttöön tarkoitettuja tekstimuotoisen tiedon syöttämisen mahdollistavia käyttöliittymiä clarification_text: Varauduttava esim. virheellisten syötteiden kautta tapahtuviin injektiohyökkäyksiin. Testausraportista tulee ilmetä, kuinka sovellus on testattu virheellisillä syötteillä. Vaihtoehtoisesti voidaan tehdä HT-tasoinen tietoturvatestaus / haavoittuvuustestaus arviointilaitoksen toimesta. delivery_status: good-to-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka tietojen syöttäminen on testattu viallisilla syötteillä, injektioilla sekä suurilla syötemäärillä

Regulatory sub-requirement: [ASTUR01.5] Arkkitehtuurin ja lähdekoodin / ohjelmakoodin katselmointi ja tarkastus RSR_ASTUR01_5

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. delivery_status: good-to-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka katselmoidaan arkkitehtuuri ja lähdekoodi ja kuinka ohjelmakoodi tarkastetaan esim. automaattisella staattisella, dynaamisella tai vastaavalla analyysillä. Olennaisia tarkastettavia asioita ovat turvallinen arkkitehtuuri, monitasoinen suojaus, pienimpien oikeuksien periaate ja sovelluksen paikallisesti tallentaman tiedon suojaus.

Regulatory sub-requirement: [ASTUR01.6] Ohjelmakoodin versionhallinta RSR_ASTUR01_6

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka ohjelmakoodin versionhallinta on toteutettu, kuinka vanhempiin ohjelmistoversioihin on tarvittaessa päästävissä ja kuinka ohjelmakoodin muutosten dokumentointi on toteutettu

Regulatory sub-requirement: [ASTUR01.7] Kolmannen osapuolen kirjastot ja komponentit RSR_ASTUR01_7

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla, mukaan lukien käytettyjen ulkoisten kirjastojen ja komponenttien kuvaukset. Dokumentaation ei tarvitse olla järjestelmäkohtaista. clarification_text: Toimenpiteillä on varauduttava myös ulkoisten kirjastojen ja komponenttien takaovista ja versionhallinnan epäluotettavista ohjelmistohaaroista nouseviin riskeihin. is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka kirjastojen, komponenttien ja koodin lähteiden luotettavuus arvioidaan. Kuvattava, kuinka varmistetaan, että käytettävät kolmannen osapuolen ohjelmistokirjastot ja muut ohjelmistokomponentit ovat luotettavia ja ylläpidettyjä, kuinka ne tarkistetaan turvallisuusongelmien varalta, kuinka muista komponenteista tuleva data varmistetaan ja tarkistetaan ja kuinka varmistetaan salassa pidettävän tiedon suojaaminen, jos sitä lähetetään kolmannen osapuolen kirjastoihin tai kolmannen osapuolen palveluille yksityisyyden vaarantumisen varalta. Tietojärjestelmästä on suositeltavaa olla saatavilla koneluettava ohjelmistolistaus käytetyistä ulkoisista komponenteista (SBOM) ja soveltuvin osin laitteistoista (HBOM).

Regulatory sub-requirement: [ASTUR01.8] Virhetilanteisiin varautuminen RSR_ASTUR01_8

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. clarification_text: Yleiset virhehallinnan mekanismit, arvioinnissa ei kaikkia erityistilanteita. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka virhetilanteisiin varaudutaan ja virhekäsittelyissä toimivuus varmistetaan.

Regulatory sub-requirement: [ASTUR01.9] Ohjelmiston jakelun turvaaminen RSR_ASTUR01_9

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka ohjelmiston jakelu turvataan siten, että käyttöön otettava ohjelmisto on valmistajan tarkoittama ja muuttumaton

Regulatory sub-requirement: [ASTUR01.10] Käyttäjätilien kirjautumistietojen suojaaminen RSR_ASTUR01_10

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. HT: suositeltava korkean riskin järjestelmissä delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka käyttäjätilien kirjautumistiedot suojataan käyttäjä- ja käyttöoikeushallinnassa sekä tunnistamiseen ja kirjautumiseen liittyvissä toiminnoissa

Regulatory sub-requirement: [ASTUR01.11] Maksullisten palvelujen suojaaminen RSR_ASTUR01_11

status: open tags: regulatory-sub-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan tietojärjestelmäpalvelun tuottajan dokumentaation avulla. Dokumentaation ei tarvitse olla järjestelmäkohtaista. clarification_text: Relevantti erityisesti mobiililaitteisiin tehdyissä käyttöliittymissä ja sovelluksissa. delivery_status: must-have is sub-point of: REGREQ_ASTUR01

Kuvattava, kuinka maksuja aiheuttavat verkko- ja laitepalvelut on suojattu erityisesti mobiililaitteissa (esim. tekstiviestit, puhelut, NFC-maksut).

Regulatory requirement: [ASTUR02] Yleisiin hyökkäysmenetelmiin varautuminen REGREQ_ASTUR02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Käydään dokumentaation pohjalta läpi se, mitkä yleisistä hyökkäysmenetelmistä ovat relevantteja tietojärjestelmän / tietojärjestelmäpalvelun kannalta ja kuinka niihin on varauduttu. Relevanttien hyökkäysmenetelmien osalta on pystyttävä kuvaamaan varautumistapa. HT: tehdään ulkoinen testaus korkean riskitason järjestelmissä, vähintään käyttöliittymätason haavoittuvuuksien varalta. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Vaatimuksiin on mahdollista vastata osana järjestelmää tai joissakin tapauksissa ainakin osin järjestelmän käyttämän alustan kautta. Jos alustan ominaisuuksia käytetään vaatimusten täyttämiseen, tulee järjestelmän osalta kuvata kuinka vaatimuksiin käyttöympäristössä vastataan tai kuinka niihin tulee vastata, tai kuinka käytetyn alustan osalta vaatimukset on todennettu. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmässä on kuvattu miten varaudutaan yleisiin hyökkäysmenetelmiin siten, että palvelussa/sovelluksessa käsiteltävien suojattavien tietojen luottamuksellisuus tai eheys ei vaarannu.

Regulatory requirement: [ASTUR03] Sovelluksen käyttämät verkkoportit REGREQ_ASTUR03

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Todennetaan dokumentaatiosta miten sovelluksen käyttämät verkkoportit on määritelty ja suojattu ja miten varmistutaan siitä että tarpeettomia portteja ja turvattomia protokollia ei ole käytössä, HT: Tehdään ulkoinen testaus korkean riskitason järjestelmissä testaamalla avoimet portit ja palvelut toiminnallisesti tallentamalla järjestelmän lähettämää verkkoliikennettä ja analysoimalla sitä. ASVS 9.2.2 ja 5.2.6 osin sovellettavissa. (Jos HT, suoritettava 1.11.2024 mennessä). clarification_text: Suositeltava monitasoinen suojaus esimerkiksi sovelluspalomuuria ja organisaation palomuuria käyttäen. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmässä ei ole auki tarpeettomia portteja eikä turvattomia, ei-salattuja protokollia. Liikenne on sallittu vain tarvittuun suuntaan.

Regulatory requirement: [ASTUR04] Poikkeavan toiminnan havainnointi REGREQ_ASTUR04

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D+V: Tarkistetaan, miten järjestelmässä voidaan havaita ja raportoida luvaton käyttö tai käyttöyritys, tarkistetaan lokimerkinnät ja mahdolliset hälytykset. HT: Tehdään ulkoinen testaus luokan A3 korkean riskitason järjestelmissä soveltuviin järjestelmä- tai alustakomponentteihin. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Vaatimuksia mahdollista täyttää osin vastaavasti kuin vaatimuksessa ASTUR02. Vaatimus 2 todennetaan korkean riskitason järjestelmille järjestelmän eri komponenteille. Järjestelmissä tai käyttöympäristössä voi myös olla edistyneempiä havainnointi- ja hälytysmekanismeja ja esimerkiksi samasta osoitteesta tulevien toistuvien luvattomien käyttöyritysten havainnointi ja automaattinen estäminen. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tunnistus- ja autentikointimekanismien osalta luvattomista käyttöyrityksistä tulisi syntyä lokitiedot joiden tarkistaminen on osa tietojärjestelmäpalvelun tuottajan palvelua tai ohjeistettu käyttäjäorganisaatiolle. Järjestelmässä tulee olla menettely, jolla luvaton käyttö ja luvattomat käyttöyritykset voidaan havaita. Luvattomien käyttöyritysten estämisen ja havaitsemisen vaatimukset koskevat järjestelmän loppukäyttäjille tarjottavien sisäänkirjautumispalvelujen ja -näyttöjen lisäksi soveltuvin osin myös järjestelmän suoritusympäristön palvelinohjelmistoja.

Regulatory requirement: [AKYM01] Tiedonsiirron salaus ja tietoliikenteen luottamuksellisuus sekä eheys Kanta-palveluihin REGREQ_AKYM01

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan kuvaukset, asetukset ja/tai järjestelmän ohjeet salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä ja mahdollisten salattujen yhteyksien käsittelystä. ASVS V1.6 ja ASVS 1.9.2 osin sovellettavissa. clarification_text: Kela antaa tekniset ohjeet hyväksyttävästä TLS-salaustasosta. Järjestelmien ja käyttäjäorganisaatioiden on sitouduttava noudattamaan ohjeita ja tekemään tarvittavat muutokset. Salaustasoa on sovellettava riittävän vahvalla algoritmilla ja avaimella. Vaatimus varmistetaan / testataan myös käyttöönottojen yhteydessä. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Sivulliset eivät saa saada selville suojattuja tietoja (myös asiointi sosiaali- tai terveyspalveluissa on salassa pidettävä tieto). Tiedot eivät saa muuttua tiedonsiirron aikana. (Sähköisen lääkemääräyksen, asiakasasiakirjojen ja niihin liittyvien luottamuksellisten tietojen siirtäminen kansallisiin palveluihin tai niistä muualle on salattu tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä. )

Regulatory requirement: [AKYM13] Tiedonsiirron salaus ulkoisiin tai alustapalveluihin REGREQ_AKYM13

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan kuvaukset, asetukset ja/tai järjestelmän ohjeet salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä / sovelluksessa ja mahdollisten salattujen yhteyksien käsittelystä. HT: suositeltava korkean riskin järjestelmille / sovelluksille: tekninen tietoturvatestaus. Tehdään ulkoinen testaus korkean riskitason järjestelmissä testaamalla avoimet portit ja palvelut toiminnallisesti tallentamalla järjestelmän lähettämää verkkoliikennettä ja analysoimalla sitä. ASVS 9.2.2 ja 5.2.6 osin sovellettavissa. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Ilmaistava lomakkeessa ja perusteltava jos ei ole sovellettavissa. Erityisesti hoidolliset ja/tai sisällölliset tai sitä sensitiivisemmät asiakastiedot. Tietojen siirto ja säilytys EU/ETA-alueella on sallittua vastaavilla suojatoimenpiteillä kuin Suomessa. Tietojen siirron riskitaso on arvioitava. Jos henkilötietoja siirretään kolmansiin maihin, on noudatettava EU:n yleisessä tietosuoja-asetuksessa (EU) 2016/679 säädettyjä siirtoperusteita ja lisäksi toteutettava tarvittavat kyseistä siirtoperustetta täydentävät organisatoriset, sopimuspohjaiset ja tekniset suojatoimet tapaus- ja maakohtaisesti. Valtionhallinnossa sovellettavia tietojen turvaluokitteluja ei suoraan sovelleta asiakastietoihin, jotka kuitenkin ovat salassa pidettäviä. Lisätietoja "ulkoiset ja alustapalvelut" aiheesta määräys 5/2024 liite 1, luku 6.4. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Sähköisen lääkemääräyksen, asiakas- tai potilassasiakirjojen ja niihin liittyvien salassa pidettävien luottamuksellisten tietojen siirtäminen ulkoisiin tai alustapalveluihin tai niistä muualle on salattua tai tapahtuu muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä. Hyvinvointisovelluksen on käytettävä henkilö- ja hyvinvointitietojen lähettämiseen ja vastaanottamiseen tarkoituksenmukaista salausta tietoliikenteen suojaamiseksi. Myös muihin hyvinvointisovellukseen liittyviin palveluihin liittyvät tiedot on salattava tarvittaessa. Laki- ja asetusvaatimukset täytettävä voimaantulo- ja sertifiointiajankohdista riippumatta. Lisätietoja: Salausparadigmojen tulisi noudattaa ajankohtaisia käytäntöjä, sillä salausmenetelmän vahvuus voi heikentyä ajan myötä, kun laskentamenetelmät salauksen rikkomiseksi kehittyvät edelleen. Salausratkaisu on kuvattava, mukaan lukien luodaanko järjestelmän tai sovelluksen salausavaimet dynaamisesti kertaluonteista käyttöä varten, ja missä määrin käytetään käyttöjärjestelmien tarjoamia suojattuja säilöjä salausavainten tallentamiseen.

Regulatory requirement: [AKYM14] Tietojen käsittely ja säilytys ulkoisissa tai alustapalveluissa REGREQ_AKYM14

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan kuvaukset, asetukset ja/tai järjestelmän ohjeet salauksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. ASVS V1.6 osin sovellettavissa. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Ilmaistava lomakkeessa ja perusteltava jos ei ole sovellettavissa. Erityisesti hoidolliset ja/tai sisällölliset tai sitä sensitiivisemmät tiedot. Tietojen riskitaso on arvioitava. Tietojen käsittelyssä ja säilytyksessä on kolmansien maiden osalta noudatettava vastaavan tasoisia vaatimuksia kuin AKYM13 huomioiden käsittelyn pitkäaikaisuus ja laajuus. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Tietojen säilytys ja käsittely ulkoisissa tai alustapalveluissa on salattava siten, että salausavaimet ovat vain palvelunantajalla, tietojärjestelmäpalvelun tuottajalla tai hyvinvointisovelluksen valmistajalla. Laki- ja asetusvaatimukset täytettävä voimaantulo- ja sertifiointiajankohdista riippumatta.

Regulatory requirement: [AKYM02] Kanta-viestinvälityksen osapuolten tunnistaminen REGREQ_AKYM02

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan kuinka tunnistautuminen ja toisen osapuolen identiteetin varmistaminen on toteutettu. Tarkistetaan sertifikaattien avainten bittimäärä ja salausalgoritmin toteutus. Todetaan Kanta-palvelujen yhteistestauksen yhteydessä tehdyn testauksen onnistuminen. clarification_text: Koskee Kanta-palveluihin liittyviä tietojärjestelmiä. Kela antaa tekniset ohjeet hyväksyttävästä salaustasosta (sertifikaattien avainten bittimäärä ja salausalgoritmi) Kanta-palvelujen tieto- ja sanomaliikenteen tietoturvavaatimukset. Asia testataan tarkemmin viimeistään käyttöönottojen yhteydessä. delivery_status: later applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Kanta-palvelujen sähköisen viestinnän molemmat osapuolet tulee tunnistaa. Apteekit, palveluntuottajat ja käyttäjäorganisaatiot sekä niiden ko. palveluun liittyvät palvelimet tulee luotettavasti tunnistaa muodostettaessa yhteyttä Kanta-palveluun ennen sähköisen yhteyden aloittamista. Yhteyden osapuolten identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista.

Regulatory requirement: [AKYM03] Poikkeamien havainnointi REGREQ_AKYM03

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan, kuinka järjestelmän lokien kerääminen ja hallinta on toteutettu ja saatavilla, tukeeko se muita lokien valvonnan toimintoja. V: tarkistetaan syntyvien lokien sisältö korkean riskitason järjestelmissä. ASVS V1.7 osin sovellettavissa. clarification_text: Osa vaatimuksista voi toteutua järjestelmän kautta tai käyttöympäristön tai alustojen kautta tehtävillä toimenpiteillä, jossa tapauksessa vaatimuksen toteuttamiseen on oltava riittävät konfigurointi- tai asennusohjeet. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmän on mahdollistettava lokien kerääminen ja se voi tukea myös hälytys- ja seurantatoimintoja. Lokien hyödyntäminen ja saatavuus on mahdollistettu ja dokumentoitu siten, että lokeja voidaan hyödyntää järjestelmän toiminnan seurannasta ja virhetilanteiden selvittämisestä vastaavan tahon lokien keräys-, luovutus-, hälytys- ja seurantapolitiikassa tai -ohjeessa.

Regulatory requirement: [AKYM04] Verkkoyhteyden suojaus REGREQ_AKYM04

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkastetaan, kuinka järjestelmä tukee verkkoyhteyden suojaamista palomuurilla, sisältääkö se erillisiä palomuuripiirteitä ja kuinka mahdollisesti vaadittavat palomuuriasetukset tai -vaatimukset on kuvattu. clarification_text: Osa vaatimuksista voi toteutua järjestelmän kautta tai palomuuriratkaisuja voidaan tehdä myös käyttävän organisaation tasolla alustojen kautta tehtävillä toimenpiteillä käyttöympäristössä. Tällöin vaatimuksen toteuttamiseen on oltava riittävät konfigurointi- tai asennusohjeet. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmän on tuettava verkkoyhteyden suojaamista palomuurilla ja mikäli se vaatii erityisiä palomuuriasetuksia, ne on kuvattava. Järjestelmän sisältämät tai sen käytön edellyttämät palomuuriratkaisut on kuvattava käyttäjäorganisaatiolle, mukaan lukien mahdolliset julkisesta verkosta käyttäjäorganisaatioon ja päinvastoin kulkevan liikenteen rajoittamisen ja suodattamisen ratkaisut sekä kuvaukset mahdollisista etäkäyttöperiaatteista. Vaatimuksena on, että kaikkien Kanta-sanomaliikenteeseen liittyvien tahojen tulee suojata liityntäpistesijaintinsa ja tietojärjestelmien käyttöympäristöt tilallisella palomuurilla tai sovelluspalomuurilla.

Regulatory requirement: [AKYM05] Hallintayhteydet järjestelmään REGREQ_AKYM05

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: ASVS 4.3.1 osin sovellettavissa. D: Tarkistetaan että mahdolliset hallintayhteydet on toteutettu salatulla yhteydellä tai hallintayhteyksille on oma suojattu verkkonsa. Selvitetään onko järjestelmään ylläpidollisia tai huollollisia etäyhteyksiä ja miten mahdolliset etäyhteydet järjestelmään on toteutettu. HT:Tehdään ulkoinen testaus. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Osa vaatimuksia voi toteutua kuten vaatimuksessa AKYM3. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Mikäli järjestelmään ylläpidollisista tai muista hallintasyistä sallitaan etäyhteyksiä, yhteyksien järjestelmään tulee olla suojattuja ainakin yhdellä erilliselllä suojauskerroksella, esim. VPN-palvelu, jossa ylläpitäjät tunnistetaan luotettavasti. Hallinnan etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää (ei pelkästään salasanaa ja käyttäjätunnusta). Hallintayhteydet järjestelmään tulee joko salata vahvasti tai rakentaa käyttäen omaa suojattua verkkoa tai yhteyttä hallintayhteyksille. Myös sisäverkon hallintayhteydet on suojattava vähintään loogisella tasolla ja pääsy hallintatoimintoihin tai -rajapintoihin rajoitettava.

Regulatory requirement: [AKYM06] Salausavainten ja varmenteiden hallinta REGREQ_AKYM06

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Salausavainten hallintaan liittyvä dokumentaatio, tarkistetaan että vaaditut hyvät käytännöt a-d toteutuvat. ASVS 2.9.1 sovellettavissa. clarification_text: Vaatimus koskee vähintään Kanta-palveluhin liittymisessä käytettyjä avaimia ja sertifikaatteja. Korkean riskitason järjestelmissä käydään läpi myös muut asiakastietoihin liittyvät salausavain- ja varmenneratkaisut. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä. Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja varmenteiden hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö ja henkilökohtaisten avainten hallintaprosessi d) Avainten/sertifikaattien tuhoaminen / arkistointi / poisto

Regulatory requirement: [AKYM07] Järjestelmän kovennus REGREQ_AKYM07

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan, miten järjestelmät kovennetaan ja testataan ennen käyttöönottoa ja ettei niissä ole ylimääräisiä portteja tai kuinka tämä on toteutettu tai ohjeistettu. HT:Tehdään ulkoinen testaus *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Tarkempi todennustapa korkean riskitason järjestelmissä on palveluiden skannaaminen ja soveltuvin osin alustan konfigurointiasetusten tarkastaminen. Todentamistapa tarkennettu 2021. Pilvipalvelut PiTuKri JT-02 delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmissä ei saa olla ylimääräisiä palveluita päällä eikä turhia avonaisia portteja. Järjestelmän edellyttämä laitekokoonpano ja järjestelmäalusta on kuvattava (esim. käyttöjärjestelmä ja tietokannat), ja järjestelmän tietoturva-asetukset on tehtävä sen mukaisesti. Suositeltavia kovennusohjeita ovat: CIS Benchmarks, DISA Security Technical Implementation Guides ja NIST - National Checklist Program Repository

Regulatory requirement: [AKYM08] Haittaohjelmasuojaus palvelimilla REGREQ_AKYM08

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan tietojärjestelmään kuuluvilla palvelimilla tai käytetyissä palveluissa käytetyt menetelmät haittaohjelmauhkien ennaltaehkäisyyn, estämiseen, havaitsemiseen, vastustuskykyyn ja tilanteen korjaamiseen; tarkistetaan suojauksen päivittyminen säännöllisesti ja mahdollisuuksien mukaan automaattisesti. HT: kokeillaan haittaohjelmasuojauksen toimivuus tietojärjestelmään kuuluvassa palvelussa. clarification_text: Järjestelmän osalta kuvattava suojauskäytönnöt tai suojausvaatimukset haittaohjelmilta ja missä määrin ratkaisuista vastaa tietojärjestelmäpalvelun tuottaja tai tämän käyttämä palveluntuottaja, missä määrin käyttäjäorganisaatio. Lähteenä osin PiTuKri JT-04. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Palvelimet ja työasemat, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta. Tietojärjestelmään kuuluvissa palvelimissa tai siinä käytetyissä palveluissa on toteutettu tai kuvattu vaaditut menetelmät haittaohjelmauhkien ennaltaehkäisyyn, estämiseen, havaitsemiseen, vastustuskykyyn ja tilanteen korjaamiseen. On suositeltavaa, että haittaohjelmien tunnistetietojen ja torjuntaohjelmien automaattiset päivitykset ovat ensisijainen toimintatapa. Jos automaattisia päivityksiä ei voida tehdä, tulisi varmistaa muilla menetelmillä tunnistetietojen ja ohjelmien säännölliset päivitykset.

Regulatory requirement: [AKYM09] Järjestelmäkuvaus palveluna tarjottaville järjestelmille ja järjestelmien käyttämille alustapalveluille REGREQ_AKYM09

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan järjestelmäkuvaus korkean riskitason järjestelmissä. Jos vaatimuksia on todennettu esimerkiksi tietojärjestelmäpalvelun tuottajan tai valmistajan muissa viranomaisen suorittamissa auditoinneissa tai sertifioinneissa, on ulkoisen arvioijan voimassa oleva raportti auditoinnista hyväksyttävä todentamistapa, mikäli siitä käy ilmi eri vaatimuskohtien täyttyminen. Laatujärjestelmän arviointi ja auditointi ei kuitenkaan ole tietoturvallisuuden arvioinnin kohteena. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Vaatimus on täytettävä vähintään korkean riskitason järjestelmissä. Pitukri-vaatimuksia osin sovellettavissa. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Palvelusta on järjestelmäkuvaus josta tulee käydä ilmi vähintään a) palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs). b) Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien. c) Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus. d) Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit. e) Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa. f) Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä. g) Alihankkijoille siirretyt tai ulkoistetut toiminnot.

Regulatory requirement: [AKYM10] Lainsäädäntö- ja sopimusriskit REGREQ_AKYM10

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan dokumentaatio. Osin todennettavissa vastaavasti kuin AKYM09. Juridisten riskien yksityiskohtainen arviointi ei ole tietoturvallisuuden arvioinnin kohteena. *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Vaatimus koskee erityisesti sellaisia järjestelmiä, jotka tallentavat tai käsittelevät asiakastietoja ulkoisen palveluntarjoajan palveluissa, alihankinta- ja ulkoistusketjut mukaan lukien. Organisatoriset, sopimuspohjaiset ja tekniset suojatoimet ja niiden yhdistelmät ovat mahdollisia. Lainsäädäntöön liittyvillä riskeillä tarkoitetaan eri maiden lainsäädännössä ja käytännöissä olevia mahdollisuuksia velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisen kanssa ja tarjoamaan suora tai epäsuora pääsy asiakkaiden salassa pidettävään tietoon. Mikäli kohtaa 1 tai muuta kohtaa ei pystytä täysin täyttämään tai kuvaamaan, asiasta on oltava merkintä tietoturvallisuustodistuksessa. Lähteenä osin Pitukri EE-02. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmään ja sen käyttämiin palveluihin liittyvät eri maiden lainsäädännöstä johtuvat riskit ja velvoitteet on kuvattava vähintään seuraavasti: missä muualla kuin palvelunantajan hallinnoimissa sijainneissa tietoja tallennetaan tai käsitellään tiedon koko elinkaaren aikana, palvelun tuottamiseen osallistuvat tahot, sovellettava lainsäädäntö ja oikeuspaikka sekä toimijat, joilla voi sovellettavasta lainsäädännöstä johtuen olla pääsy tietoihin; Kuvattava suojatoimet, joilla hallitaan lainsäädännöstä johtuvia riskejä tietoturvallisuusvaatimusten täyttymiselle tai järjestelmän tai sen käyttämien palvelujen sopivuudelle käyttötarkoitukseensa; Kuvattava miten järjestelmän tai sen käyttämien palvelujen sopimusehdot eivät rajoita järjestelmän soveltuvuutta käyttötarkoitukseensa tai tietosuoja- ja tietoturvavaatimusten toteutumista; Mikäli henkilötietoja siirretään ETA-alueen ulkopuolelle, on kuvattava ko. siirrossa sovellettava tietosuoja-asetuksen V luvun mukainen siirtoperuste, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä ja käytännöissä ETA-aluetta vastaava suojan taso ja jos taso ei ole vastaava, tapaus- ja maakohtaiset lisäsuojatoimet Euroopan tietosuojaneuvoston (EDPB) suositusten 1/2020 ja 2/2020 mukaisesti; Kuvattava se, kuinka varmistetaan että edellä mainitut kuvaukset ovat järjestelmää käyttävien tai hankkivien palvelunantajien käytettävissä, jotta myös nämä voivat arvioida riski- ja sopimusvaikutuksia.

Regulatory requirement: [AKYM11] Varautuminen ja jatkuvuuden hallinta REGREQ_AKYM11

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan dokumentaatio *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Varautumisen on perustuttava riskiarvointiin ja todennäköisimpien riskien tunnistamiseen. Vaatimus on täytettävä vähintään korkean riskitason järjestelmissä. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Varautumisella ja jatkuvuudenhallinnalla on varmistettava palvelun jatkuvuus siten, että pystytään vastaamaan siihen kohdistuneisiin saatavuus ja eheysvaatimuksiin. Asiakastietoon kohdistuu tarve olla käytettävissä myös normaaliolojen häiriötilanteissa ja poikkeavissa olosuhteissa (varautuminen). Järjestelmän riskitason huomioiden tietojärjestelmäpalvelun tuottajan on huomioitava varautumisen jatkuvuudenhallinnan prosessit siten että menettelyt on suunniteltava, toteutettava, testattava ja kuvattava.

Regulatory requirement: [AKYM15] Varmuuskopiointi ja tietojen palauttaminen REGREQ_AKYM15

status: open tags: regulatory-requirement, imported, tietoturva owner: Compliance verification: D: Tarkistetaan dokumentaatio, mukaan lukien tj-palvelun tuottajan testausraportti tietojen palauttamisesta, TT: testataan varmuuskopiointi ja palauttamisen prosessi *) sertifiointi vuoden 2021 säädösten mukaisesti 1.11.2024 mennessä, jos a) kyseessä on vaatimustenmukaisuutta uudistava järjestelmä (todistus vanhentunut tai sertifiointi käynnissä määräysten voimaan tullessa) tai b) järjestelmä siirtyi luokasta B luokkaan A vuoden 2021 säädösten mukaisilla kriteereillä. Mahdollista todentaa myös 2024 vaatimusten mukaisesti. clarification_text: Palauttamisprosessi todennetaan järjestelmän riskitaso ja toteutustapa huomioiden korkean riskitason järjestelmissä. delivery_status: must-have applies to: PRD_MYFOUNDATION published in: SRC_THL_MAARAYS_5_2024

Järjestelmässä on suunniteltu ylläpidettävien tai tallennettavien tietojen varmuuskopiointi ja palauttaminen. Tietojen palauttaminen on testattu (vähintään korkean riskitason järjestelmissä).