TABLE OF CONTENTS

Johdanto

DomaCare asiakastietojärjestelmää toimittava Invian Oy käsittelee asiakasorganisaatioiden puolesta luottamuksellista tietoa. Luottamuksellisen tiedon käsittelystä seuraa velvollisuus käsitellä tietoja huolellisesti ja varmistaa käsiteltävän tiedon suojaus kyberuhkia vastaan. Asiakkaidemme kriittisten toimintojen kannalta on myös tärkeää varmistaa, että tieto säilyy saatavilla ja muuttumattomana.


Tässä dokumentissa kuvataan tapoja, joilla Invian Oy pyrkii varmistamaan korkealuokkaisen tietoturvallisuuden ohjelmiston elinkaaren kaikissa vaiheissa. Lokakuussa 2020 solmitun yrityskaupan myötä olemme osa Vismaa, minkä seurauksena olemme mukana myös Visma Security Program-tietoturvaohjelmassa.


DomaCare-järjestelmän kuvaus

DomaCare on Invian Oy:n kehittämä asiakastietojärjestelmä, joka on suunniteltu erityisesti hoito- ja sosiaalialan tarpeisiin. Järjestelmä sisältää myös terveysalan toiminnallisuuksia, kuten lääkelista, diagnoosien hallinta ja sähköinen lääkemääräys. DomaCare on monipuolisesti räätälöitävissä asiakkaan tarpeisiin. Järjestelmän ominaisuuksista voidaan valita ne, jotka tukevat parhaiten kunkin asiakkaan organisaatiota ja toimintaa.


Sovellusarkkitehtuuri

DomaCaren arkkitehtuuri perustuu sovelluspalvelimeen (API-palvelin) ja sitä käyttäviin asiakasohjelmistoihin. Sovelluspalvelin huolehtii tietojen käsittelystä, oikeustasojen tarkistamisesta ja toimintalogiikasta. Myöskin lokitietojen kerääminen tapahtuu sovelluspalvelimella. Sovelluspalvelinta käyttävät DomaCaren työpöytä-, selain- ja mobiiliversio.


Sovelluspalvelin perustuu RESTful -arkkitehtuuriin ja JSON-muotoiseen tietoon. DomaCare:n arkkitehtuurista johtuen kaikki toiminnot, jotka voidaan tehdä asiakasohjelmiston käyttöliittymän kautta, voidaan tehdä myös rajapintaa käyttäen. Tämä tarkoittaa, että ulkopuolisten järjestelmien integrointi DomaCareen on mahdollista kaikkien ominaisuuksien osalta. Osa työpöytäsovelluksen muodostamista yhteyksistä kohdistuu suoraan tietokantapalvelimiin. Nämä yhteydet muodostetaan TLS-yhdyskäytävää pitkin siten, että työpöytäsovellus tunnistautuu organisaatiokohtaisella kertakäyttöisellä asiakasvarmenteella (client certificate). Tämä menettely jää pois, kun sovelluspalvelin on täysin käytössä.


Tärkeimmät sovellusarkkitehtuurin osat ovat monennettuja varmistaen järjestelmän vakaan toiminnan. Kriittisimmät järjestelmän osat ovat sovelluspalvelimet ja tietokantapalvelimet. Näistä sovelluspalvelimet toimivat usean itsenäisen sovelluspalvelimen ryhmänä, jotka kaikki palvelevat asiakasohjelmistoja samalla tavalla. Koska sovelluspalvelin perustuu RESTful-arkkitehtuuriin, sovelluspalvelimille ei tallenneta tilatietoa. Näin ollen peräkkäiset kyselyt voivat kohdistua erillisille sovelluspalvelimille, eikä käytössä tule katkoksia, vaikka yksittäinen sovelluspalvelin vikaantuisi. Sovelluspalvelimien edessä on kuormantasaaja, joka huolehtii siitä, että liikenne ohjataan aina vähiten kuormittuneelle palvelimelle. Kuormantasaajalla voidaan myös havaita ja torjua haitallista verkkoliikennettä.


Tiedonsiirto on salattu TLS-protokollalla käyttäen uusimpia turvalliseksi todettuja salausalgoritmeja. Salattu yhteys päätetään Invian Oy:n kuormantasaajapalvelimiin, minkä jälkeen yhteys kulkee salaamattomana suojatussa sisäverkossa. Osa sovelluksen ottamista yhteyksistä on suojattu salauksen lisäksi asiakasvarmenteella, jolla voidaan rajata yhteydet tunnettuihin asiakkaisiin. Lisäksi on mahdollista ottaa käyttöön IP-osoite rajaus.

Sovelluspalvelimen keskeiset komponentit tarkastettu ulkoisessa tietoturva-auditoinissa.


DomaCaren palvelimet sijaitsevat UpCloud Oy:n tiloissa Helsingissä. UpCloudin palvelimet sijaitsevat KATAKRI-sertifioidussa palo- ja murtosuojatussa palvelintilassa. Järjestelmä perustuu N+1 arkkitehtuuriin, jossa kaikki kriittiset osat on monennettu, eikä yksittäisen laitteen vikaantuminen aiheuta käyttökatkoja tai tietojen menetystä. 


Lisätietoa UpClouding palvelintiloista löytyy osoitteesta https://upcloud.com/data-centres


Jatkuvuus ja varmuuskopiointi

DomaCaren palvelimet sijaitsevat maantieteellisesti hajautetusti kahdessa datakeskuksessa Helsingissä. Tämän lisäksi asiakastietokantojen varmuuskopiot synkronoidaan Oulussa sijaitsevaan datakeskukseen. Tällä varmistetaan toimintojen jatkuvuus siinäkin tilanteessa, että UpCloud Oy:n palvelimet olisivat pitkään saavuttamattomissa.

Tietokantapalvelimella olevat tiedot varmuuskopioidaan päivittäin. Varmuuskopioit tehdään siten, että tietoja voidaan palauttaa joko kokonaan tai osittain. Varmuuskopioita säilytetään harventuvalla frekvenssillä siten, että kuluvalta kahdelta viikolta varmuuskopio on saatavilla joka päivältä, kuluvalta kolmelta kuukaudelta kerran viikossa.


Varmuuskopioituja tietoja palautetaan osittain säännöllisesti asiakkaidemme pyynnöstä, minkä avulla on voitu varmistua varmuuskopioinnin palautuksen luotettavuudesta. Kokonaisia palvelimen palautusoperaatioita harjoitellaan ennen suurempia ylläpitotoimenpiteitä. 


Lisätietoa palautumissuunnitelmasta löytyy erillisestä artikkelista Disaster Recovery and Continuity


Kanta-palvelut ja DomaCare 

Sosiaali- ja terveysalan tietojärjestelmät jaetaan A- ja B-luokan tietojärjestelmiin. A-luokkaan kuuluvat suoraan Kanta-palveluihin liittyvät järjestelmät. B-luokkaan kuuluvat kolmannen osapuolen kautta liittyvät ja ilman Kanta-liitäntää olevat järjestelmät. A-luokan järjestelmien tulee läpikäydä organisaation ja järjestelmän tietoturvaan ja vaatimuksenmukaisuuteen liittyvä auditointi. B-luokan järjestelmien tietoturva pohjautuu organisaation sisäiseen valvontaan. Sekä A-, että B-luokan järjestelmiltä edellytetään huolellista tietoturvan huomiointia.


Invian tarjoaa asiakkailleen sekä A-, että B-luokan Sote-tietojärjestelmiä. Sähköiseen reseptiin liittyvä DomaCare Medi-järjestelmämme on A-luokan tietojärjestelmä, jonka on KPMG:n tuottamassa auditoinnissa todettu täyttävän Kanta-järjestelmien vaatimukset. DomaCare-asiakastietojärjestelmä ei ole toistaiseksi liittynyt Kanta-palveluihin ja on siten B-luokan Sote-tietojärjestelmä. Olemme parhaillaan mukana sosiaalihuollon asiakastiedon arkiston kehityksessä. Tämän myötä myös DomaCaresta tulee A-luokan järjestelmä tulevaisuudessa. Sosiaalihuollon arkisto tulee pakolliseksi kaikille asiakkaillemme seuraavien vuosien aikana.


Henkilöstön koulutus ja sitouttaminen

Kaikki asiakastietojen parissa työskentelevät Invian Oy:n työntekijät ovat allekirjoittaneet työsopimuksessa olevien salassapitolausekkeiden lisäksi salassapitosopimuksen, joka velvoittaa käsittelemään asiakastietoja huolellisesti ja huolehtimaan salassa pidettävän aineiston luottamuksellisesta käsittelystä. Invian Oy:n työntekijät seuraavat uusinta tietoa liittyen tietoturvauhkiin ja jakavat tietoa keskenään parantaakseen tarjottujen palveluiden turvallisuutta. Lisäksi yrityksemme järjestää sisäisiä tietoturva-koulutuksia henkilökunnalleen.


Asiakastietojen käsittely 

Alustan toimittajana Invian Oy:n asiakastukirooleissa työskentelevä henkilökunta pääsee käsiksi järjestelmän tietoihin seuraavilla tavoilla:


  • Kirjautumalla asiakasjärjestelmään pääkäyttäjäroolissa

  • Suoralla tietokantayhteydellä tietokantapalvelimiin

  • Suoralla yhteydellä palvelimiin käyttöjärjestelmätasolla


Tämän lisäksi palvelinlaitetoimittajalla (UpCloud) on pääsy virtuaalijärjestelmien isäntäkoneisiin, mutta ei itse virtuaalipalvelimiin. Invian Oy:n ja UpCloudin välisissä toimitusehdoissa todetaan, että UpCloudin henkilökunta ei käsittele Invian Oy:n palvelimilla olevaa asiakastietoa.


Kaikki Invian Oy:n työntekijät, joilla on pääsy tietoihin, ovat solmineet kattavan salassapito- ja vaitiolosopimuksen. Invian Oy:n henkilöstö kirjautuu asiakasjärjestelmään ainoastaan perustelluista ylläpidollisista syistä ja kaikkien käyntien syy ja sen aikana suoritetut toiminnot lokitetaan. Asiakastietoja sisältäville tuotantopalvelimille on pääsy ainoastaan Invian Oy:n ylläpitorooleissa toimivilla työntekijöillä. Ohjelmiston kehitys ja testaus tapahtuu erillisessä kehitysympäristössä.


Tietosuoja-asetusten mukaiset roolit

DomaCare-toiminnanohjausjärjestelmän toimittajana Invian Oy toimii Euroopan Unionin tietosuoja-asetuksen (GDPR) määrittelemänä tietojen käsittelijänä (Data Processor). Asiakkaamme, jotka ovat DomaCare-järjestelmän käyttäjiä, toimivat useimmissa tapauksissa rekisterinpitäjinä (Data Controller). Joissakin tapauksissa asiakkaamme toimii kunnan ostopalvelun tuottajana. Tällöin kunta toimii rekisterinpitäjänä ja Invian Oy, sekä asiakkaamme toimivat tietojen käsittelijöinä. 


Tietosuoja-asetuksessa määritellään, että tietojen käsittelijä (tässä tapauksessa Invian Oy) käsittelee rekisterinpitäjän tallentamia henkilötietoja ainoastaan rekisterinpitäjältä saamansa kirjallisen ohjeistuksen mukaisesti. Mikäli muita kirjallisia ohjeita ei ole annettu katsotaan sellaisiksi Invian Oy:n ja asiakkaan välisessä sopimuksessa määritelty tietojärjestelmäpalvelujen tarjoaminen. Rekisterinpitäjänä toimiessaan DomaCaren käyttäjä-asiakkaan tulee huolehtia omista velvoitteistaan, mm tarjota tietosuojaseloste, tehdä tietosuoja vaikutusten arviointi, sekä laatia tietojenkäsittely sopimus. Invian Oy auttaa asiakkaitaan tarjoamalla valmiin pohjan tietojenkäsittelysopimukselle.


Lisätietoja Invian Oy:n alikäsittelijöistä löytyy artikkelista Invian Oy:n Alikäsittelijät (Subprocessors)


Lokitietojen tallennus

Kaikki Invian Oy:n ylläpitäjät kirjautuvat tuotantopalvelimille henkilökohtaisilla tunnuksillaan.

Tuotantojärjestelmissä on käytössä seuraavat lokit:


  • Kirjautumiset palvelimille lokitetaan

  • Palvelimille kirjoitetut komennot lokitetaan

  • Järjestelmän käyttö pääkäyttäjäroolista aiheuttaa tavanomaiset käyttöön liittyvät lokimerkinnät


Riskienhallinta

Invian Oy:llä on sisäisesti käytössä riskienhallintaprosessi. Riskejä, niihin varautumista ja mahdollisia vaikutuksia hallitaan riskimatriisissa, jota päivitetään järjestelmän katselmointien ja uusien riskien tunnistamisen yhteydessä. Invian Oy:llä on lisäksi nimetty vastuuhenkilöt tietoturvan ja infrastruktuurin ylläpitoon, sekä riskien kartoittamiseen.