Järjestelmädokumentaatio

 Sisältö:

• 1. Johdanto
• 2. Järjestelmän kuvaus
  • 2.1. Domacare yleisesti
  • 2.2. Palvelinympäristö
    • 2.2.1. Palvelinympäristön kuvaus
    • 2.2.2. Tiedonsiirto Kanta-palveluun
    • 2.2.3. Kellojen synkronointi
  • 2.3. Alihankkijat ja alikäsittelijät
• 3. Tietoturvallisuus
  • 3.1. Tietoturvallisuuden hallintaprosessi
  • 3.2. Tuotekehitysprosessi 
    • 3.2.1. Turvallisen ohjelmoinnin periaatteet 
    • 3.2.2. Muutoksenhallintaprosessi
    • 3.2.3. Tietoturvauhkien hallinta
    • 3.2.4. Rajapintojen testaus
  • 3.3. Henkilöstön kehityssuunnitelma 
  • 3.4. Riskienhallintaprosessi
  • 3.5. Lainsäädäntö- ja sopimusriskit
  • 3.6. Yleisiin hyökkäysmenetelmiin varautuminen
  • 3.7. Palomuuriasetukset ja verkkoyhteyksien suojaus
  • 3.8. Hallintayhteydet
  • 3.9. Järjestelmän tietoliikenneprofiili ja poikkeamien havaitseminen
  • 3.10. Haittaohjelmilta suojautuminen
  • 3.11. Kuormituksen seuranta ja testaus
  • 3.12. Järjestelmän kovennus
  • 3.13. Salausavainten ja varmenteiden hallinta 
    • 3.13.1. Varmenteiden eheys, voimassaolo ja sulkulistalla olevien varmenteiden tarkistus
    • 3.13.2. Salausvarmenteiden elinkaaren hallinta
• 4. Käyttäjät ja käyttöoikeudet
  • 4.1. Autentikaatio ja käyttäjän tunnistaminen
    • 4.1.1. Autentikaatiomenetelmät
    • 4.1.2. Istunnon hallinta
    • 4.1.3. Ylläpitotunnukset
  • 4.2. Tunnusten luominen
  • 4.3. Käyttöoikeusmalli
  • 4.4. Pääkäyttäjät ja tekniset tukihenkilöt
  • 4.5. Ammattioikeuksien rajoitukset
• 5. Asiakirjojen ja metatietojen käsittely
  • 5.1. Asiakirjamallit ja mallien lisääminen
  • 5.2. Asiakirjojen muuttumattomuus
  • 5.3. Asiakirjojen ja haettujen tietojen säilytys
  • 5.4. Asiakirjarekisterien erottaminen
  • 5.5. Tietojen varmuuskopiointi ja palauttaminen
  • 5.6. Metatietojen ja koodistojen hallinta
• 6. Lokitietojen tallennus ja käsittely
  • 6.1 .Käyttöloki
  • 6.2. Tekninen loki
  • 6.3. Lokien seurantaväline
  • 6.4. Lokitietojen muuttumattomuuden varmistaminen

1. Johdanto

Tämän dokumentin tarkoituksena on kuvata DomaCare järjestelmän keskeiset ominaisuudet suhteessa THL:n ylläpitämään “Olennaisten vaatimusten järjestelmälomake” -taulukkoon.

Tässä dokumentissa on kuvattu yleisellä tasolla DomaCaren tietoturvaominaisuuksia, mutta poistettu sellaiset yksityiskohtaiset tiedot, jotka voisivat vaarantaa tietoturvallisuuden. 

Tätä dokumenttiä päivitetään tarvittaessa, kun DomaCare ohjelman ominaisuudet tai ratkaisut olennaisesti muuttuvat.

Tässä dokumentissa käsitellään DomaCare tietojärjestelmän versiota 2.0 (DC2). Muut tietojärjestelmäperheen järjestelmät on kuvattu lyhyesti kappaleessa 2.1.

2. Järjestelmän kuvaus

2.1. Domacare yleisesti

DomaCare on sosiaalialalle tarkoitettu asiakastietojärjestelmä, jonka avulla SOTE-alan ammattilaiset voivat tehdä sosiaalialan lainsäädännön edellyttämiä asiakas- ja potilastietojen kirjauksia.

DomaCare järjestelmäkokonaisuus käsittää seuraavat tuotteet:

• DomaCare 1.0 (DC1) 
  Asiakkaiden työasemalle asennettava “on prem” -järjestelmä. DC1 ei liity suoraan Kanta-palveluihin ja on ilmoitettu sosiaali- ja terveysalan tietojärjestelmärekisteriin
  B-luokan tietojärjestelmänä.
  
  

• DomaCare 1.0 mobiilisovellus
  Kotihoitoon ja liikkuvaaan työhon tarkoitettu järjestelmä, jolla käyttäjät voivat nähdä mm. kotikäyntien tietoja mobiililaitteilla. DC1 mobiilisovellus käyttää omaa sovelluspalvelintaan, joka on erillinen DC2 sovelluspalvelimesta. Mobiilisovellus on toteutettu Javalla ja käytössä Android -alustalla.
  
  

• DomaCare 2.0 (DC2)
  Verkkopohjainen tietojärjestelmä, jonka taustajärjestelmänä toimii DomaCaren sovelluspalvelimet. DomaCare 2.0 on auditoitu A3-luokkaan sähköisen lääkemääräyksen osalta ja tulevaisuudessa sosiaalihuollon asiakastietovarannon osalta.
  
  

• DomaCare 2.0 mobiilisovellus
  Uusi mobiilisovellus käyttää DC2 sovelluspalvelinta ja mahdollistaa samat toiminnot kuin DC1 mobiilisovellus. Sovellus on toteutettu Flutter-ohjelmointikielellä ja saatavilla Android ja IOS -ympäristöihin.
  
  
  

2.2. Palvelinympäristö

2.2.1. Palvelinympäristön kuvaus

Kaikki DomaCarea käyttävät päätelaitteet ottavat yhteyttä sisä- ja ulkoverkon rajalla oleviin kuormantasauspalvelimiin. Kuormantasauspalvelinten tehtävänä on hallita sisääntulevaa verkkoliikennettä, estää palvelunestohyökkäyksiä ja ohjata kyselyt tuotantopalvelimille niin, että palvelukuorma jakaantuu tasaisesti monennettujen palvelimien kesken.

Varsinaiset asiakastiedot on säilytetty tietokantapalvelimille. Jokaisen asiakasorganisaation tiedot ovat omassa loogisessa tietokannassaan (tietokantaschema) ja loogiset tietokannat on hajautettu eri tietokantapalvelimille. Näin varmistetaan se, että yhden asiakasorganisaation tiedot eivät voi päätyä toisen asiakasorganisaation haltuun, vaikka käyttöoikeuksien määritteleminen olisi tehty virheellisesti.

Kaikille yhteistä dataa, kuten metatietoja ja kirjautumisien ohjaus dataa säilytetään yhteistietokantapalvelimella. Palvelimelle myös kerätään tilastotietoja ja teknistä lokia tietyistä järjestelmään kohdistuvista toimenpiteistä.

DomaCare 2.0:n varsinainen sovelluslogiikka sijaitsee API-palvelimilla. Palvelimet ovat monennettuja ja uusia API-palvelimia voidaan perustaa helposti. API-palvelimet on toteutettu REST-paradigman mukaisesti niin, että palvelimilla ei tallenneta järjestelmän tilaa. Näin ollen peräkkäiset kyselyt voivat ohjautua eri API-palvelimille.

Yhteys Kanta-palveluihin on toteutettu Kanta-välityspalvelimen kautta. Kanta-palveluihin kohdistuvat yhteydet toteutetaan vuodesta 2025 alkaen käyttäen yksityisen verkon MPLS-yhteyttä.

Palvelimet ovat virtualisoituja palvelimia, joita ylläpidetään Invian Oy:n Infrastructure & Security tiimin toimesta. 

2.2.2. Tiedonsiirto Kanta-palveluun

Tiedonsiirto DomaCaren tuotantopalvelimien ja Kelan Kanta-palvelun palvelimien välillä on turvattua. Yhteys Invianin hallitsemasta DomaCaren tuotantoon tarkoitetusta sisäverkosta Kelan palvelinsaleihin toteutetaan yksityisen verkon MPLS -yhteytenä. Kahdennettu yhteys yhdistää Invianin käyttämän palvelinsalin kolmeen Kanta-palvelujen yhteyspisteeseen.

MPLS-yhteyden sisällä tiedonsiirto on salattu TLS v1.2-yhteydellä. Yhteyden osapuolet tunnistetaan molemminpuolisilla DVV:n myöntämillä palvelinvarmenteilla. RSA-salausavaimen pituus on 2048 bittiä. 

Kanta-palveluista haettuja tietoja, mukaan luettuna sosiaalialan tietovarannon asiakirjoja ja resepti-palvelun asiakirjoja ei siirretä Invianin hallinnoiman verkon ulkopuolelle.

2.2.3. Kellojen synkronointi

Domacaren palvelimet käyttävät Debian jakelun mukana tulevaa ntpd-demonia.

NTP-palvelimina Domacaren palvelimet käyttävät VTT MIKESin seuraavia palvelimia:

 - time1.mikes.fi (194.100.49.151)

  -time2.mikes.fi (194.100.49.152)

VTT MIKESin NTP-palvelu on stratum 2 -tasoinen.

2.3. Alihankkijat ja alikäsittelijät

Kaikki DomaCare-järjestelmän ja Invianin käyttämät alikäsittelijät on lueteltu ja niitä

ylläpidetään Visman Trust Center:ssä, osoitteessa:

https://www.visma.com/trust-centre-products/domacare

3. Tietoturvallisuus

3.1. Tietoturvallisuuden hallintaprosessi

Visma-konsernin osana Invian on mukana Visman tietoturvallisuuden ja lainmukaisuuden hallintaprosesseissa. Keskeisenä työkaluna tietoturvallisuuden hallintaan on Visma Index -järjestelmä, joka määrittää organisaatioille tietoturvaan liittyviä tehtäviä, jotka on suoritettava annetussa määräajassa. Jos tietoturva-aktiviteetteja ei tehdä, kertyy virhepisteitä, mikä kannustaa korjaamaan poikkeamat.

Visman tietoturva-ohjelmaan kuuluvat seuraavat osat:

• Tietoturvallisuuden itsearviointi (Security Self Assessment, SSA)
  Lomake, jolla tietoturvallisuutta arvioidaan vuosittain ja jonka Visma-konsernin tietoturva-asiantuntijoiden tiimi käy läpi yhdessä organisaatiomme kanssa
  
  

• Tietosuojan itsearviointi (Data Protection Self-Assessment, DPSA)
  Edellisen kaltainen lomake, joka koskee tietosuojaan liittyvää itsearviointia
  
  

• Sääntelynmukaisuuden itsearvionti (Compliance Self Assesment, CSA-P)
  Vastaava lomake, joka keskittyy sääntelyn- ja lainmukaisuuden itsearviointiin.
  
  

• Tietoturvakoulutus ja ohjaus (Education & Guidance)
  Koostuu mm. henkilöstön vuosittaisesta tietoturva- ja tietosuojakoulutuksesta, sekä vapaaehtoisesta kehittäjien tietoturvakoulutuksesta. Sisältää myös tiedon siitä, onko tietoturvallisesta kehityksestä vastaava Security Engineer -rooli asetettu organisaatiossa.
  
  

• Staattinen koodianalyysi (Static Application Security Test, SAST)
  Perustuu Polaris-järjestelmän tuottamaan staattiseen koodianalyysiin, joka raportoi tunnetuista tietoturvaan ja koodin laatuun liittyvistä poikkemista.
  
  

• Ohjelmiston rakenneanalyysi (Software Composition Analysis, SCA)
  Järjestelmä, jolla ohjelmiston käyttämiä kirjastoja ja ulkoisia komponenttejä analysoidaan. Analyysi tuottaa herätteitä komponenttien tunnetuista haavoittuvuuksista ja mahdollisista ongelmista komponenttien lisenssiehdoissa.
  
  

• Dynaaminen sovellusanalyysi (Dynamic Application Security Test, DAST)
  Järjestelmä, joka tutkii automaattisesti DomaCare:n haavottuvaisuuksia ja raportoi niistä organisaatiollemme. Haavottuvaisuustarkistusten kohteena on QA-ympäristömme.
  
  

• Manuaalinen penetraatiotestaus (Penetration testing, PENTEST)
  Visma-konsernin tietoturvaosastolla on tiimi, jonka tehtävänä on yrittää tunkeutua konsernin tuottamiin tietojärjestelmiin. Tiimi tekee laajemman tietoturvatutkimuksen säännönmukaisesti jonka lisäksi tiimi tekee omaehtoista järjestelmien tietoturvatestausta.
  
  

• Kyberuhkien seurantajärjestelmä (Cyber Thread Intelligence Service, CTI).
  Visman ylläpitämä järjestelmä, joka seuraa laajasti verkossa (sisältäen ns. pimeän verkon) käytävää keskustelua liittyen Visman tuotteisiin.
  
  

• Tietoturvalöydoksistä maksettava palkkio (Bug Bounty, BB)
  Visma maksaa mukanaolevien tuotteiden tietoturvalöydöksistä palkkion ohjelmassa mukana oleville “valkohattuhakkereille”. DomaCare ei vielä ole mukana tietoturva-ohjelman tässä osassa, mutta liittyminen tulee tapahtumaan tulevaisuudessa.
  
  

• Vastuullinen tiedonjakamisen kanava (Responsible Disclosure, RD)
  On Visman ylläpitämä kanava, jolla tietoturva-asiantuntijat, Visma tuotteiden käyttäjät ja muut asiasta kiinnostuneet voivat vastuullisesti raportoida mahdollisia tietoturvahaavottuvaisuuksia tai ongelmia.
  
  

Organisaatioon on nimitetty tietoturvasta vastaava Security Engineer ja tietosuojasta vastaava Data Protection Manager. 

3.2. Tuotekehitysprosessi 

3.2.1. Turvallisen ohjelmoinnin periaatteet 

DomaCare-järjestelmän ohjelmistokehityksen lähtökohtana on turvallinen, laadukas ja testattava kehitysprosessi, missä tietoturva on huomioitu kehityksen jokaisessa vaiheessa. 

Helposti ongelmia aiheuttavien funktioiden ja rajapintojen käyttöä valvotaan joko staattisella analyysillä (mikäli mahdollista), kieltämällä sellaisen käyttö (valvotaan automaattisesti) tai viimesijaisesti lähdekoodin katselmoinnissa.

Arkkitehtuurin ja lähdekoodin katselmoi kehittäjä, joka ei ole osallistunut kyseisen lähdekoodin kehitykseen. Katselmointi vaaditaan, jotta lähdekoodi otetaan osaksi julkaisua. Versionhallintajärjestelmä vaatii katselmoinnin ja tarkastaa, ettei katselmoiva kehittäjä ole osallistunut kyseisen lähdekoodin kehitykseen.

Ohjelmakoodia tarkastellaan automaattisesti ohjelmoinnin aikana SonarLint-analysaattorilla. Lisäksi koodia tarkastellaan myöhemmin automaattisesti Sonar, Coverity on Polaris, sekä Aikido -analysaattoreilla.

3.2.2. Muutoksenhallintaprosessi

Kaikki ohjelmakoodi on versionhallintajärjestelmässä. Muutokset ohjelmakoodiin liitetään julkaisuun versionhallintajärjestelmässä. Muutokset saa mukaan ohjelmistojulkaisuun vain, jos se on läpäissyt koodikatselmoinnin, staattisen analyysin sekä automaattiset testit. Muutokset on dokumentoitu tikettijärjestelmään ja tikettijärjestelmän tiketin tunniste on liitetty muutoksiin. Pienemmissä muutoksissa tikettiä ei välttämättä ole, jolloin dokumentaationa toimii muutoksen viesti versiohallinnassa.

Jokaisesta ohjelmistoversiosta, joka on julkaistu, tuotetaan oma itsenäinen julkaisupaketti joka sisältää kaikki tarvittavat tiedostot ohjelmiston käyttöön. Vanhemmat julkaisupaketit ovat saatavissa arkistosta. 

Ennen jokaista julkaisua ohjelmistoversiolle suoritetaan manuaalisia integraatiotestejä, jossa frontend- ja backendjulkaisun yhteentoimivuus testataan. 

3.2.3. Tietoturvauhkien hallinta

Visma-konsernin tietoturvaprosessin mukaisesti organisaatiossamme on määritelty Security Engineer -rooli, jonka tehtävänä on huolehtia tietoturvallisuuden huomioinnista järjestelmäkehityksessä. Security Engineer osallistuu säännöllisesti Visma-konsernin tietoturvakatsauksiin, jossa käydään läpi ajankohtaiset tietoturvauhat ja niiden vaikutus Visma-konsernin tuotteisiin.

Olemme mukana Visman kyberuhkien seurantajärjestelmässä (Cyber Thread Intelligence Service, CTI). Se on järjestelmä, joka seuraa laajasti verkossa käytävää keskustelua liittyen Visman tuotteisiin, sisältäen myös mahdollisten rikollisten käyttämät pimeän verkon alustat. CTI auttaa organisaatiotamme havaitsemaan tuotteisiimme kohdistuvat tai jo kohdistuneet tietoturvaloukkaukset ja mahdolliset yritykset laittomasta ostaa tai myydä tuotteisiimme liittyviä tietoja. Järjestelmä tarkkailee myös tuotteisiimme ja henkilöstöömme liittyvien salasanojen ja käyttäjätunnusten laitonta kauppaamista.

Tietoturvauhkista ja löydöksistä voidaan raportoida organisaatiollemme käyttäen Visman vastuullisen tiedonjakamisen kanavaa (Responsible Disclosure, RD). Kanavan kautta kuka tahansa järjestelmän käyttäjä tai ulkopuolinen tietoturva-asiantuntija voi raportoida löytämistään haavoittuvaisuuksista tai ongelmista organisaatiollemme. Raportit toimitetaan tietoomme nimettöminä ja niiden ratkaisua seurataan ja siitä viestitään alkuperäiselle raportoijalle.

Tietoturvallisuuden uhkaympäristöä käsitellään säännöllisesti seuraavissa kokoonpainoissa:

• Tietoturvasta vastaava Infrastructure & Security -tiimi kokoontuu kaksi kertaa viikossa ja käy läpi tietoturvauhkiin liittyviä havaintoja ja parannusehdotuksia.

• Yrityksen johtoryhmissä (Management team ja Product Management team) käydään säännönmukaisesti läpi tietoturvaan liittyviä asioita.

• Tietoturva-asiat ja ajankohtaiset uhat ovat säännönmukaisesti esillä koko yrityksen kuukausipalavereissä.

• Tietoturvasta ja tietosuojasta vastaavat henkilöt osallistuvat konserninlaajuisiin tapaamisiin, jossa käydään läpi heidän roolinsa liittyviä ajankohtaisia asioita.

3.2.4. Rajapintojen testaus

Rajapinnat testataan ennen julkaisua automaattisilla testeillä. Testissä simuloidaan läpi sekä normaalia toimintaa, että virhetilanteita. 

Visman tietoturvaohjelman yhtenä osana on Dynaaminen sovellusanalyysi (Dynamic Application Security Test, DAST). DAST -järjestelmään on syötetty DomaCare:n QA-ympäristön API-rajapintojen osoitteet ja järjestelmä testaa automaattisesti rajapintojen toimintaa erilaisilla syötteillä.

Lisäksi Visman tietoturvaohjelmassa suoritetaan manuaalista haavoittuvuuden tarkastelua säännönmukaisesti penetraatiotestaukseen erikoistuneen, konsernin yhteisen tietototurvatiimin toimesta. Löydetyistä haavoittuvuuksista tehdään tiketit, jotka on korjattava tietyn aikamääreen puitteessa riippuen haavoittuvaisuuden vakavuudesta.

3.3. Henkilöstön kehityssuunnitelma 

Invian Oy:n henkilöstöllä mahdollisuus kouluttautua ja kehittää osaamistaan monilla tavoilla. Käytössämme on seuraavat henkilöstön kehittymistä ja tietoturvaosaamista parantavat ohjelmat.

• Verkkokoulutuspaketit
  Henkilökunnan vapaassa käytössä on mm. Udemyn ja O’Reillyn verkkokoulutusalustat
  
  

• Secure Code Warrior
  Visma-konserni tarjoaa henkilökunnalleen mahdollisuuden parantaa tietoturvaosaamistaan pelillistetyllä Secure Code Warrior -alustalla. Alustalla on eri aiheisia ja tasoisia tietoturvaan ja tietosuojaan liittyviä tehtäviä. Tehtäviä ratkaistaan joko koodaamalla todellisilla tai pseudo-ohjelmointikielillä tai valitsemalla oikea vastaus vastausvaihtoehdoista. Teknisten tietoturva-aiheiden lisäksi alustalta löytyy myös järjestelmän ja organisaation hallintaan liittyviä aihealueita.
  
  

• Koko Visman henkilökunnan on osallistuttava kerran vuodessa tietoturvan- ja tietosuojan verkkokoulutukseen. Koulutuksen jälkeen suoritetaan testi. Koulutuksessa varmistetaan perustason osaaminen ja ymmärrys tietoturvan ja tietosuojan toteuttamisesta työtehtävissä.
  
  

• Koko Visman henkilökunta suorittaa vuosittain korruptionvastaisen koulutuksen. Koulutuksessa käydään läpi aihepiirejä, jotka liittyvät korruptioon ja epäasialliseen toimintaan työelämässä. Koulutuksessa on myös tietosuojaan liittyviä aihepiirejä.
  
  

• Backend-kehittäjillä on säännöllisesti sisäisiä koulutuksia, jossa käydään läpi turvallisen ja testattavan kehityksen prosesseja.
  
  

• Kehittäjillä on mahdollisuus käyttää noin yksi päivä kuukaudessa koulutukseen ja kehitykseen (PDD, personal development day)
  
  
  

3.4. Riskienhallintaprosessi

Invian Oy:ssä on käytössä riskienhallintaprosessi, joka perustuu ydinriskien tunnistamiseen. Tunnistetuille riskeille arvioidaan todennäköisyys ja vaikuttavuus. Tunnistettujen riskien todennäköisyyttä pyritään vähentämään riskienhallinnalla ja toteutuneiden riskien vaikutusta pienentämään mitigaatiotoimenpiteillä.

Tunnistetut riskit kerätään taulukkoon, jota päivitetään säännöllisesti. Päivityksestä vastaa Product Management Group.

3.5. Lainsäädäntö- ja sopimusriskit

DomaCare-järjestelmän tuotantoympäristö sijaitsee kaikkien osa-alueidensa osalta Suomessa. Järjestelmässä olevia henkilötietoja ei siirretä ETA-alueen eikä edes Suomen ulkopuolelle. Tiettyjä järjestelmän liitetiedostoja käsitellään Googlen palvelinkeskuksissa. Palvelinkeskukseksi on valittu Suomessa sijaitseva keskus (Haminan Datakeskus).

DomaCare-järjestelmän ulkopuolella tuotettuja, Kanta-palveluista haettuja tietoja ei säilytetä pysyvästi. Hakukyselun jälkeen tiedot varastoidaan palvelimen muistiin tai väliaikaisiin tiedostoihin ja tieto hävitetään välittömästi, kun hakukyselyn tulokset on toimitettu käyttäjille.

Kaikki DomaCare -ohjelmiston komponentit, poislukien yleisesti saatavilla olevat avoimen lähdekoodin kirjastot ovat Invian Oy:n itse kehittämiä, eikä mitään järjestelmän osia ole lisensoitu ulkopuolisilta tahoilta. Avoimen lähdekoodin lisenssejä ja niiden noudattamista valvotaan automaattisesti kappaleessa 3.1 kuvatulla ohjelmiston rakenneanalyysillä. Rakenneanalyysi huomauttaa automaattisesti, jos jotkut käytettyjen komponenttien lisenssiehdoista ovat ongelmallisia.

3.6. Yleisiin hyökkäysmenetelmiin varautuminen

DomaCaren kehityksessä huomioidaan OWASP Top-10 mukaiset haavoittuvuudet sekä muut yleisesti tunnetut haavoittuvuudet. 

Haavoittuvuuksia skannataan automaattisesti mm. kappaleessa 3.1. kuvatuilla automaattisilla työkaluilla:

• Ohjelmiston rakenneanalyysi (Software Composition Analysis, SCA)
  Rakenneanalyysi tarkistaa järejstelmien lähdekoodin ja varoittaa kehittäjiä tietoturvan kannalta vaarallisista ja yleisille hyökkäysmenetelmille alttiista käytännöistä. Koodikatselmointistandardiemme mukaan julkaisuun ei hyväksytä koodia, josta on noussut SCA-järjestelmän varoituksia.
  
  Lisäksi SCA-järjestelmä varoittaa käytössä olevista kolmannen osapuolen kirjaistoista, joissa on raportoitu tietoturvahaavoittuvaisuuksia. Tässä tapauksessa Infrastuctrure & Security -tiimimme ryhtyy toimiin komponentin päivittämiseksi tietoturvalliseen versioon.
  
  

• Dynaaminen sovellusanalyysi (Dynamic Application Security Test, DAST)
  Dynaaminen sovellusanalyysi suorittaa automaattisia haavottuvaisuustestejä DomaCaren QA-ympäristösssä ja raportoi niistä. Haavoittuvuustesteissä on huomioitu yleisimmät tietoturvauhat.
  
  

• Manuaalinen penetraatiotestaus (Penetration testing, PENTEST)

Visma-konsernissa työskentelee tiimi, jonka pääasiallisena tehtävänä on tehdä penetraatiotestausta Visman järjestelmiin. Tiimi tekee DomaCareen säännöllisesti laajemman, yhdessä sovitun testauksen sekä omatoimista testausta, josta ei ilmoiteta erikseen DomaCaren kehittäjille. PENTEST-tiimin omatoiminen testaus keskittyy monesti uusiin akuutteihin tietoturvauhkiin, joiden osalta tiimi luo nopeasti tilannekuvan Visman tuotteiden haavoittuvaisuudesta.

Lisäksi DomaCare järjestelmään on tehty asiakkaidemme pyynnöstä tietoturva-auditointeja ulkoisten tietoturvayritysten toimesta. 

3.7. Palomuuriasetukset ja verkkoyhteyksien suojaus

Domacaren palvelimet käyttävät Debian jakelun mukana tulevaa UFW- palomuuriohjelmistoa.

Palomuurin asennetaan "Deny by default" asetuksella, eli oletuksena kaikki mitä ei erikseen sallita, on estetty.

3.8. Hallintayhteydet

Domacaren järjestelmän hallintayhteydet on suojattu tarkasti usealla eri menetelmällä, jotta tietoturva pysyy korkealla tasolla. Hallintayhteydet toteutetaan turvallisella tavalla sekä yrityksen omalla VPN-yhteydellä, joka on käytössä ainoastaan henkilökunnan työasemilla. VPN-yhteys edellyttää henkilökohtaisia avaimia, jotka varmistavat sen, että vain valtuutetut käyttäjät voivat muodostaa yhteyden järjestelmään.

Tukiyhteyksissä käytetään tunnistautumiseen private key -avaimia, mikä vahvistaa entisestään yhteyksien turvallisuutta. Tämä tarkoittaa, että käyttäjän tulee omistaa oikea työkone sekä syöttää tunnistautumiseksi henkilökohtainen salasana. Pelkkä käyttäjätunnus ja salasana eivät näin ollen riitä, vaan käytössä on vahva kahden tekijän tunnistautuminen, joka vaatii sekä fyysisen laitteen että tiedon.

Etäyhteydet on rajattu vain pienelle, valikoidulle osalle henkilökuntaa, joilla on selkeästi määritelty tarve päästä käsiksi järjestelmään. Näin minimoidaan riskiä, että ulkopuoliset käyttäjät pääsisivät luvatta käsiksi hallintayhteyteen. Myös sisäverkon kautta tulevat hallintayhteydet on suojattu vastaavanlaisilla tehokkailla menetelmillä, mikä varmistaa, että yhteydet ovat turvallisia sekä sisäisistä että ulkoisista verkko-osoitteista käsin. Kokonaisuudessaan järjestelmän hallintayhteydet ovat siis luotettavasti suojattuja monitasoisilla tietoturvamekanismeilla, joissa yhdistyy vahva tunnistautuminen ja salattu tiedonsiirto.

3.9. Järjestelmän tietoliikenneprofiili ja poikkeamien havaitseminen

DomaCare järjestelmän teknistä lokia seurataan lokinseurantajärjestelmällä. Seurantajärjestelmä rekisteröi erilaisia järjestelmän sisäisiä ja ulkoisia virhetilanteita ja luo niistä tilastotietoa. Lokinseurantajärjestelmän kautta on mahdollista havaita järjestelmän epänormaali käyttö mm. kasvavan virhetiheyden perusteella.

Palvelimilla olevia järjestelmälokeja seurataan säännöllisesti Infrastructure & Security -tiimin toimesta ja niihin puututaan tarvittaessa. Virheelliset kirjautumisyritykset kirjataan tekniseen lokiin ja käyttölokiin. Lokit on kuvattu tarkemmin kappaleessa 6.

3.10. Haittaohjelmilta suojautuminen

DomaCaren palvelimet on suojattu tehokkaasti haittaohjelmilta käyttämällä palvelimella toimivaa haittaohjelmientorjuntaohjelmistoa. Ohjelmisto tarjoaa palvelimille jatkuvan, reaaliaikaisen suojan, minkä avulla palvelinympäristön tietoturva pysyy korkealla tasolla ja uhkiin voidaan reagoida välittömästi. Virusten ja haittaohjelmien kehittyessä nopeasti on kriittistä varmistaa, että uhkatunnistus pysyy aina ajantasaisena. 

Haittaohjelmien torjuntaohjelmisto hakee automaattisesti uudet virus- ja haittaohjelmatunnisteet kerran tunnissa omilta palvelimiltaan, mikä varmistaa, että myös uusimmat ja aiemmin tuntemattomat uhat tunnistetaan nopeasti.

Ajantasaisuuden lisäksi DomaCaren järjestelmät käyvät läpi perusteellisen, täyden skannauksen joka yö. Tämä varmistaa, että mahdolliset ongelmat havaitaan heti, vaikka ne eivät olisi reaalivalvonnassa vielä aktivoituneet. 

Jos haittaohjelmistojen tunnistusohjelmisto tunnistaa järjestelmistä viruksen tai haittaohjelman, järjestelmä lähettää automaattisesti hälytyksen ylläpitotiimille sähköpostitse. Reaaliaikainen ilmoitusjärjestelmä mahdollistaa sen, että tiimi voi ryhtyä tarvittaviin toimenpiteisiin välittömästi ja minimoida mahdolliset riskit palvelimien toiminnalle ja tietoturvalle.

Kehittäjien työasemat on suojattu käyttöjärjestelmän sisäänrakennetuilla haittaohjelman torjuntatyökaluilla, kuten Windows Defender.

Asiakas vastaa omien työasemiensa ja päätelaitteidensa asiaankuuluvasta suojaamisesta.

3.11. Kuormituksen seuranta ja testaus

Palvelinten suorituskykyä seurataan jatkuvasti mm. käytetyn muistin, suoritinresurssien ja tallennustilan osalta. 

Palvelimien toimintaa ja kriittisten suorituskykyrajojen ylittymistä seurataan tarkoituksenmukaisella seurantajärjestelmällä. Järjestelmä lähettää ennalta ohjelmoidusta häiriötilanteista automaattisesti viestin Infrastructure & Security -tiimille. Viestit välittyvät sähköpostitse ja yrityksen sisäiseen keskustelualustaan, jota kautta ilmoitus tulee myös ylläpitotiimin puhelimiin.

3.12. Järjestelmän kovennus

DomaCaressa käytettävät tietokantapalvelimet kovennetaan sisäisen kovennusohjeen perusteella. Ohjeessa otetaan kantaa mm. palomuuriasetuksiin, käytössä oleviin palveluihin ja haittaohjelmien tunnistusjärjestelmiin. Kovennusohjeet päivitetään säännöllisesti  Infrastructure & Security -tiimin toimesta.
    

3.13. Salausavainten ja varmenteiden hallinta 

Salausavainten ja varmenteiden hallinta on kriittinen osa organisaation tietoturvaa, erityisesti varmistaen, että vain valtuutetut tahot pääsevät käsittelemään luottamuksellisia tietoja.

Järjestelmässä käsitellään mm. seuraavia varmenteita:

• Sote-ammattivarmenteet: käytössä sote-ammattilaisten identiteetin todentamiseen ja digitaalisiin allekirjoituksiin.

• Toimijavarmenteet: käytössä palvelu- tai organisaatiokohtaiseen todentamiseen.

• Palvelinvarmenteet: varmistavat palvelinten välisten yhteyksien tietoturvan.

• Järjestelmäallekirjoitusvarmenteet: käytetään dokumenttien eheyden varmistamiseen järjestelmäallekirjoituksella.

3.13.1. Varmenteiden eheys, voimassaolo ja sulkulistalla olevien varmenteiden tarkistus

Kaikkien järjestelmissä käytettävien varmenteiden eheys, voimassaolo ja mahdollinen sulkulistalla olo tarkistetaan VRK:n (Väestörekisterikeskus) antamista tiedoista. 

Mahdolliset sulkulistalla olevat varmenteet tarkistetaan VRK:n sulkulistalta. Sulkulista, jota vastaan varmenteiden validointi tehdään, haetaan ja päivitetään vähintään kerran vuorokaudessa. Tämä varmistaa, että järjestelmämme ovat jatkuvasti ajan tasalla eikä sulkulistalla olevia varmenteita käytetä.

3.13.2. Salausvarmenteiden elinkaaren hallinta

Salausvarmenteiden elinkaari organisaatiossa kattaa varmenteiden luonnin, käytön, säilytyksen ja lopullisen tuhoamisen. Varmennetoimintojen tehokas hallinta varmistaa, että varmenteet toimivat niiden koko elinkaaren ajan turvallisesti ja hallitusti.

Avaimet luodaan suoraan kohdepalvelimille, mikä vähentää avainten siirtoon liittyviä tietoturvariskejä. Tässä prosessissa käytetään Certificate Signing Request (CSR) -menetelmää, jossa palvelimella luodaan avainpari ja CSR-tiedosto, jonka avulla varmentamiseen liittyvä allekirjoitettu varmenne tuotetaan luotettavalta taholta.

Salausavaimet, varmennesertifikaatit ja muut sensitiiviset tiedot varastoidaan turvallisesti suoraan kohdepalvelimilla. Avaimia ei siirretä tai jaeta muualle järjestelmästä, mikä minimoi ylimääräisten kopioiden syntymisen. Salausavaimet on varastoitu siten, että vain tunnistetut ja nimetyt pääkäyttäjät, joita organisaatiossa on kolme, voivat hallita näitä avaimia. Näillä pääkäyttäjillä on rajoitettu pääsy, joka on määritelty tiukoin valvontamekanismein sekä käyttölokikirjauksin.

Kun salausavainten elinkaari tulee päätökseen, esimerkiksi varmenteen vanhentumisen vuoksi, avaimet poistetaan kohdepalvelimilta.

4. Käyttäjät ja käyttöoikeudet

4.1. Autentikaatio ja käyttäjän tunnistaminen

DomaCare-järjestelmässä jokainen käyttäjä tunnistautuu järjestelmään henkilökohtaisella käyttäjätunnuksellaan. Käyttäjän oikeudet järjestelmän eri osioiden käyttöön ja käyttölokit perustuvat tunnistettuun käyttäjään. Jokaisella käyttäjällä on organisaation tasolla yksilöllinen käyttäjätunnus ja käyttäjänumero. Käyttäjälle voidaan muodostaa yleismaailmallisesti yksilöllinen tunnus yhdistämällä organisaatiotunnus ja käyttäjätunnus.

Yhdellä luonnollisella henkilöllä voi olla käyttöoikeus useamman eri organisaation järjestelmään. Tässä tapauksessa käytettävä organisaatio valitaan käyttäjän tunnistamisen jälkeen ja kirjautuminen tehdään vain yhteen organisaatioon kerrallaan.

4.1.1. Autentikaatiomenetelmät

DomaCare -järjestelmässä käyttäjä voidaan autentikoida seuraavilla tavoilla:

• Vahva laitteen rekisteröinti + käyttäjätunnus ja salasana
  Ennen käyttöä järjestelmään kirjautumiseen käytettävä laite (esim. selain) rekisteröidään käyttäen vahvaa tunnistautumista. Tunnistautuminen perustuu kertakäyttöiseen varmenteeseen, joka lähetetään hyväksyttyjen käyttäjien puhelimeen tekstiviestinä. Laitteen rekisteröinti voidaan tehdä myös asentamalla client certificate -varmenne käyttäen keskitettyä hallintaa (esim. Windows Group Policy manager).
  
  Kun laite on rekisteröitynyt, voidaan rekisteröidyn organisaation osalta käyttää käyttäjätunnukseen ja salasanaan pohjautuvaa tunnistautumista. Laitteen rekisteröinti on mahdollista peruuttaa etänä.
  
  Järjestelmä tukee käyttäjäorganisaation parametroitavia salasanan vähimmäisvaatimuksia ja vaihtoväliä. Järjestelmän salasanojen hallinta on toteutettu ns. Zero-knowledge proof -menetelmällä, jolloin salasanaa ei koskaan välitetä missään muodossa tietoverkon yli.
  
  

• Varmennekortit
  Järjestelmään on mahdollisuus autentikoitua käyttämällä Digi- ja Väestöviraston myöntämiä varmennekortteja. Varmennekortteihin perustuva autentikointi on toteutettu käyttäen Atostek ID -ohjelmistoa, joka on DVV:n tarjoama ratkaisu varmennekorttien hallintaan ja käyttöön.
  
  

• Keskitetty käyttäjänhallinta
  Järjestelmään on mahdollisuus autentikoitua käyttämällä organisaation keskitettyä käyttäjänhalintaa (SSO). Tässä tapauksessa on organisaation vastuulla huolehtia siitä, että käyttäjänhallintajärjestelmään tunnistaudutaan riittävän vahvalla tunnistautumismenetelmällä.

4.1.2. Istunnon hallinta

Käyttäjä kirjataan automaattisesti ulos järjestelmästä, mikäli tunnistusväline poistetaan kortinlukijasta. Lisäksi käytössä on käyttäjäorganisaation parametroima aikalukitus, joka toimii myös käyttäjätunnuksella ja salasanalla kirjautuneille käyttäjille. Aikalukituksen lauettua vaaditaan käyttäjän salasana tai uusi kirjautuminen hyväksytyllä kirjautumismenetelmällä istunnon avaamiseksi.

4.1.3. Ylläpitotunnukset

Järjestelmässä ei ole yleisiä ylläpito- tai muita vastaavia tunnuksia / oikeuksia ja toiminnallisuuksia, joiden avulla yksittäisen asiakkaan tietojen käyttö ilman käyttäjän yksiselitteistä tunnistamista olisi mahdollista.

Kaikille käyttäjille ohjeistetaan tekemään henkilökohtaiset tunnukset. Myös pääkäyttäjät ja ylläpitäjät kirjautuvat järjestelmään omilla tunnuksillaan.

4.2. Tunnusten luominen

Uudet käyttäjätunnukset luodaan järjestelmästä. Uusia käyttäjiä voivat luoda käyttäjät, joiden oikeustaso sallii uusien käyttäjien luomisen. Järjestelmästä voidaan hallita sitä, millaisia oikeustasoja uusia käyttäjiä luova käyttäjä voi antaa luomielleen käyttäjille. Pääsääntönä on se, että yksikään käyttäjä ei voi luoda vahvempia käyttäjärooleja, kuin hänen oma käyttäjäroolinsa.

Jos orgnanisaation käytössä on salasanaan pohjautuva tunnistautumismalli, salasana luodaan uutta käyttäjää luodessa. Käyttäjän luoneen henkilön vastuulla on toimittaa salasana uudelle käyttäjälle turvallista reittiä pitkin. Tavallisessa tapauksessa käyttäjän luonti tapahtuu esimerkiksi yhdessä esihenkilön ja uuden työntekijän kanssa niin, että salasana voidaan asettaa samalla kertaa. 

Ensimmäinen pääkäyttäjä, jolla organisaatio pystyy luomaan muita käyttäjätunnuksia luodaan Invian Oy:n asiakaspalvelun toimesta. Uudelle käyttäjälle asetetaan yksilöllinen ja turvallinen salasana joka toimitetaan turvallista reittiä pitkin uuden asiakkaan pääkäyttäjälle. 

Sellaisessa tapauksessa, että Invian Oy:n asiakaspalvelu luo asiakkaan pyynnöstä uusia käyttäjätunnuksia massana, esim. tilanteessa jossa edellisen tietojärjestelmän tiedot siirretään DomaCareen, luodaan kaikille käyttäjille yksilöllinen käyttäjätunnus ja salasana jotka toimitetaan käyttäjille turvallista reittiä pitkin. Tunnusten toimituksesta sovitaan erikseen organisaation kanssa. 

4.3. Käyttöoikeusmalli

DomaCare -järjestelmässä on monipuolinen käyttövaltuuksien hallintamalli, joka perustuu käyttäjille määriteltäviin kustomoitaviin oikeustasoihin. Oikeustasot rakentuvat yksittäisistä oikeuksista, jotka taas voivat kohdistua tiettyyn asiakasryhmään. Oikeustasojen kohdistusta asiakasryhmään voidaan säädellä organisaatioyksiön tai jopa yksittäisten asiakkaiden tasolla. 

Oikeustasoja luodessa on mahdollista käyttää myös ns. roolipohjaista oikeustasomallia. Tässä mallissa oikeuksia ei suoraan anneta tietylle asiakasryhmälle, vaan määritellään oikeuden voimassaolo käyttäjän ensisijaisen tai toissijaisten organisaatioyksikköjen kautta. Tällä tavalla oikeksien kohdennus on helppo vaihtaa vaihtamalla käyttäjän organisaatioyksikköotä. Roolipohjaiset oikeustasot helpottavat myös oikeusmallin hallintaa, sillä jokaiselle yksikölle ei tarvitse luoda samankaltaisia (esimerkiksi perustason hoitaja) oikeuksia uudestaan.

Oikeustasoihin perustuvan käyttövaltuutusmallin lisäksi DomaCaressa huomioidaan tunnistautumistapa. Kuten kappaleessa 4.1. kuvataan, järjestelmään voi kirjautua eri tyyppisillä autentikaatiomenetelmillä. Käyttäjän valtuudet käyttää järjestelmää ovat kuitenkin suppeammat, jos kirjautumismenetelmänä ei ole SOTE-toimikortti tai siihen rinnastettavissa oleva vahva tunnistautumistapa. 

Seuraavat toiminnallisuudet ovat käytössä ainoastaan, jos kirjautuminen on tehty SOTE-kortilla:

• Sähköisten lääkemääräysten haku reseptikeskuksesta

• Sähköisten lääkemääräysten uusimispyyntöjen haku, luominen ja käsittely

• Sähköisten lääkemääräysten luominen (myös ilman lähettämistä)

• Sosiaalihuollon asiakastietovarannon asiakkuuksien liittäminen DomaCaren asiakkuuteen

• Sosiaalihuollon asiakastietovarannon aktiivisen asian valitseminen

• Sosiaalihuollon asiakastietovarannon asiakirjojen hakeminen palvelunjärjestäjän rekisteristä

• Sosiaalihuollon asiakastietovarannon asiakirjojen muokkaaminen

• Sosiaalihuollon asiakastietovarannon muiden asiakirjojen kuin asiakaskertomusmerkintöjen tallentaminen

Sosiaalihuollon asiakastietovarannon asiakaskertomusmerkintä -tyyppisiä asiakirjoja, kuten “Merkintä asiakkaan arjesta” -asiakirjoja voidaan luoda myös laitteen rekisteröintiin, käyttäjätunnukseen ja salasanaan perustuvalla autentikaatiotavalla siten, että luodaan kirjaus DomaCaren päivittäiskirjaus osioon. Silloin sosiaalihuollon rekisteriin kirjatut merkinnät tallennetaan automaattisesti myös sosiaalihuollon asiakastietovarantoon.

4.4. Pääkäyttäjät ja tekniset tukihenkilöt

Kaikki käyttäjät kirjautuvat DomaCareen henkilökohtaisilla tunnuksillaan. Kappaleessa 4.3. kuvatulla pääsyjenhallintamallilla on mahdollisuus luoda sellaisia käyttäjiä, joilla on pääsy ainoastaan lokien katseluun. Kaikki Kanta-järjestelmiin tehtävät haut vaativat hakukyselyn syyn ja kaikki haut kirjataan lokitietoihin.

4.5. Ammattioikeuksien rajoitukset

Kun DomaCare järjestelmään kirjaudutaan SOTE-kortilla ja kun kirjautuja on SOTE-ammattilainen, hänen tietonsa tarkistetaan kirjautumisen yhteydessä Valviran Rooli- ja attribuuttitietovalvelusta. Hakuavaimena käytetään kirjautuneen käyttäjän TERHIKKI-numeroa, joka löytyy SOTE-kortilla olevan varmenteen subject -tietueesta.

Joissain tapauksissa käyttäjälle voidaan asettaa rajoituksia. Rajoitukset kohdistuvat pääsääntöisesti lääkärin toimintaan sähköisen lääkemääräyksen puitteissa. Rajoitukset voivat esimerkiksi estää tietyn ATC-koodiston mukaisen lääkeryhmän lääkkeiden määräämisen tai estää huumausaine- tai PKV-lääkkeisiin liittyvien määräysten kirjoittamisen.

Rajoitustiedot voivat olla myös laajempia, tekstimuotoisia rajoituksia, jotka eivät sisällä teknisesti sovellettavia rajoituksia.

DomaCare:n sähköisen lääkemääräyksen toiminnallisuus estää automaattisesti sellaisten reseptien määräyksen, jotka on estetty teknisesti sovellettavilla, rakenteisilla rajoituksilla. Tällaisia rajoituksia ovat lääkeaineryhmään ja lääkkeen PKV/huume -attribuutteihin vaikuttavat rajoitukset. Tämän lisäksi kaikki rajoitukset näytetään käyttäjälle koko istunnon ajan.

5. Asiakirjojen ja metatietojen käsittely

5.1. Asiakirjamallit ja mallien lisääminen

Sosiaalihuollon asiakastietovarannon asiakirjamalleja hallinnoidaan THL:n ylläpitämässä Sosmeta-palvelussa. Tiedot asiakirjamallien rakenteesta tuodaan DomaCareen rakenteisessa muodossa Sosmeta-palvelusta. Tämän jälkeen Invian Oy:n lomaketiimi tekee rakenteiseen sisältöön tarkennuksia, jonka avulla lomakerakenteet voidaan esittää käyttäjäystävällisesti DomaCaressa. 

Lomaketiimi myös tarkentaa THL:n rakenteisissa olevia teknisiä validaatioehtoja ja komponenttityyppejä siten, että kukin tietokomponentti voidaan näyttää DomaCaressa sille sopivavalla käyttöliittymäkomponenttinä. Esimerkiksi päivämäärätietoon liittyvät kentät esitetään päivämäärävalitsin -komponentin avulla. 

Jokaisesta käyttöönotettusta Sosmeta-lomakerakenteesta tehdään laaja sisäinen testi Invian Oy:n QA-tiimin toimesta. Tämän jälkeen lomakkeesta tehdään versio, jossa kaikki kentät ovat täytetty ja tallennetaan sosiaalihuollon asiakastietovarannon asiakastestijärjestelmään. Tieto uusista käyttöönotettavista lomakkeista toimitetaan Kelan yhteistestaustiimille, joka varmistaa että lomakkeen tiedot siirtyvät tietovarantoon oikein ja hyväksyy uuden lomakkeen käyttöönoton.

Uusia Sosmeta-lomakerakenteita tuodaan tuotantokäyttöön vaiheittain siten, että lopulta kaikki lomakemallit ovat käytettävissä DomaCaressa. Käyttöönottojärjestys määräytyy asiakkaiden ja hyvinvointialueiden toiveiden ja vaatimusten perusteella.

5.2. Asiakirjojen muuttumattomuus

Sosiaalihuollon asiakastietovarantoon ja sähköiseen lääkemääräykseen liittyvät asiakirjat allekirjoitetaan sähköisesti.

Sosiaalihuollon asiakastietovarannon asiakirjat allekirjoitetaan käyttäen Digi- ja väestöviraston Invian Oy:lle myöntämää järjestelmäallekirjoitusvarmennetta. Allekirjoitus tapahtuu automaattisesti jokaiselle sosiaalihuollon asiakastietovarantoon lähetettävälle asiakirjalle.

Sähköiset lääkemääräykset allekirjoitetaan lääkkeen määränneen ammattihenkilön toimikortilla olevalla allekirjoitusvarmenteella. Toimikortilla tapahtuva allekirjoitus tehdään käyttäen AtostekID -kortinlukijasovelluksen rajapintaa.

Allekirjoituksen muodostetaan Kelan kantapalvelujen “Sähköisen allekirjoituksen määritys ja soveltamisohje v2.0” mukaisesti. Allekirjoituksen kohteena on CDA-dokumenttien body- ja aikaleimaelementit.

Sosiaalihuollon asiakastietovarantoon ja sähköiseen lääkemääräykseen lähetettävien asiakirjojen muodostamisesta syntyy lokimerkintä. Lokimerkintään lisätään myös tiedot siitä, onko asiakirja toimitettu Kelan hallinoimaan Kantapalveluun.

5.3. Asiakirjojen ja haettujen tietojen säilytys

Kanta-palveluista, mukaanluettuna sosiaalihuollon tietovaranto ja sähköinen lääkemääräys haettuja asiakirjoja ei lähtökohtaisesti tallenneta pitkäaikaisesti, eikä niitä koskaan siirretä Invian Oy:n hallinnoiman UpCloudin operoiman datakeskuksen palvelimien ulkopuolelle. Kun asiakirjoja haetaan Kanta-palvelusta, ne tallennetaan vain palvelimien muistiin (RAM) tai palvelimella sijaitseviin väliaikaistiedostoihin ja välitetään suoraan haun tehneelle käyttäjille. Tiedot poistuvat välittömästi, kun hakukyselyn tiedot on välitety käyttäjälle.

DomaCare-järjestelmällä luotuja Kanta-palveluihin siirrettäviä dokumenttejä säilytetään myös pitkäaikaisesti Invian Oy:n hallinnoimilla asiakaskohtaisilla tietokantapalvelimilla. Tämän lisäksi tietokantapalvelimien varmuuskopiot peilataan päivittäin Invianin hallitsemalle palvelimelle jota operoi Hetzner. Palvelimet sijaitsevat Suomessa. Tiedonsiirto palvelimien välillä on toteutettu salatulla SSH-yhteydellä ja tunnistautuminen perustuu julkisen avaimen tunnistusmenetelmiin.

DomaCare-järjestelmään tallennettuja liitetiedostoja, joita voidaan siirtää (mutta ei välttämättä siirretä) Kanta-palveluihin tallennetaan Google LLC:n operoimilla palvelimilla. Palvelinkeskukseksi on valittu Googlen Haminan palvelinkeskus Suomessa. 

Kaikki asiakasrekisterissä olevat, tiettyyn asiakkaaseen liittyvät tiedot voidaan poistaa asiakkaan kaksivaiheisen poistoprosessin mukaisesti. Ensimmäisessä vaiheessa asiakas merkitään poistetuksi, jonka jälkeen asiakastiedot siirtyvät arkistoon, jossa tiedon näkyvät vain käyttäjille, joilla on oikeus poistettujen asiakkaiden arkistoon. Kun hoitosuhde ja asiakastietojen säilytysvelvollisuus on päättynyt, asiakastiedot voidaan poistaa lopullisesti käyttämällä poistoprosessin toista vaihetta. Tällöin tiedot poistetaan tietokantapalvelimelta. Viimeiset varmuuskopioidut tiedot asiakkaasta poistuvat viimeistään kuuden kuukauden kuluttua poistoprosessin toisen vaiheen suorittamisesta.

5.4. Asiakirjarekisterien erottaminen

DomaCare -järjestelmässä asiakastiedot on mahdollista erottaa sosiaalihuollossa syntynyt tieto terveystiedoista eri rekisteriin. Rekistereissä olevat tiedot tallennetaan saman järjestelmässä olevan asiakkaan tietoihin, mutta eri rekistereissä olevien tietojen katselua ja käsittelyä voidaan hallita kappaleessa 4.3. kuvatulla pääsynhallintamallilla.

Se, mihin rekisteriin tietoja kirjataan on DomaCarea käyttävän SOTE-ammattilaisen päätettävissä ja vastuulla. DomaCarea käyttävien SOTE-organisaatioiden on ohjeistettava työntekijöitään siitä, mitkä tiedot kirjataan mihinkin rekisteriin.

Jos järjestelmää käyttävällä organisaatiolla on käytössään liittymä sosiaalialan tietovarantoon tai yhteistyökumppanimme kautta hankittu liittymä potilastiedon varantoon, on asiakkaasta tehtävät kirjauksen mahdollista ohjata tallentumaan oikeaan tietovarantoon sen perusteella, mihin rekisteriin tietoja kirjataan.

Asiakkaan yleiset tiedot, kuten yhteystiedot kirjataan aina molempiin rekistereihin ja ne ovat yhtenevät sekä sosiaalihuollon että terveydenhuollon rekisterien välillä.

5.5. Tietojen varmuuskopiointi ja palauttaminen

DomaCare -järjestelmään tallennetut tiedot varmuuskopioidaan kerran vuorokaudessa kahdella eri varmuuskopiointitavalla.

Pilvipalvelu-operaattori Upcloudin puolesta käytössä on automaattinen levykuvaan perustuva varmuuskopiointi, jossa levyn hetkellisestä tilasta otetaan varmuuskopioita seuraavasti:

• Varmuuskopio otetaan kerran päivässä

• Päivittäisiä varmuuskopioita säilytetään seitsemältä edeltävältä päivältä

• Yhtä varmuuskopiota kultakin viikolta säilytetään neljä viikkoa

• Yhtä varmuuskopiota kultakin kuukaudelta säilytetään 12 kuukautta

Pilvipalvelu-operaattorin levykuvat ovat palautettavissa kokonaisuudessaan samalle palvelimelle hyvin nopeasti. Levykuvasta on myös mahdollisuus luoda virtuaalinen levy, jonka voi asentaa väliaikaiselle palvelimelle. Näin voidaan palauttaa vain osa tiedoista siirtämällä tietoja väliaikaiselta palvelimelta tuotantopalvelimelle.

Asiakkaan tietoja sisältävien tietokantojen tiedot varmuuskopioidaan myös päivittäin ns. tietokantadumppina, josta on mahdollista palauttaa kaikki tai osa tietyn loogisen (asiakaskohtaisen) tietokannan tiedoista. Tietokannasta muodostettua varmuuskopioita säilytetään seuraavasti:

• Tiedot varmuuskopioidaan kerran vuorokaudessa

• Varmuuskopioita säilytetään jokaiselta vuorokaudelta 14 vuorokauden ajan

• Jokaisen viikon ensimmäisen päivän (maanantai) varmuuskopiota säilytetään kaksi kuukautta

• Joka toisen kuukauden ensimmäisen viikon maanantain varmuuskopioita säilytetään kuusi kuukautta

Varmuuskopioiden palautusta toteutetaan ja harjoitellaan säännöllisesti. Varmuuskopioilta on palautettu tietoja esimerkiksi silloin, kun asiakkaamme ovat poistaneet tai muokanneet epähuomiossa tietoja, joita ei olisi pitänyt poistaa. Levykuva-muotoisten varmuuskopioiden palautusta on testattu käytännössä mm. tapauksissa, joissa olemme luoneet testipalvelimen pohjautuen tuotantopalvelimeen. Tätä menetelmää on käytetty mm. varmentamaan merkittävien päivitysten toimivuus ennen tuotantoon viemistä.

5.6. Metatietojen ja koodistojen hallinta

DomaCare -järjestelmässä hyödynnetään metatietoja ja koodistoja Kelan ja THL:n tuottamsta Kansallisesta koodistopalvelusta. 

Koodistot päivitetään automaattisesti joka yö käyttäen koodistopalvelun API-rajapintaa. Koodistopalvelusta haetaan uudet ja muuttuneet koodit ja ne tallennetaan DomaCaren omaan metatietokantaan.

Koodistorekisterien lisäksi koodistopalvelimelta hyödynnetään organisaatiorekisterejä, mm. SOTE-organisaatiorekisteriä.

6. Lokitietojen tallennus ja käsittely

6.1 .Käyttöloki

Asiakastietoihin liittyvät toimenpiteet kirjoitetaan DomaCare -järjestelmässä käyttölokiin. Riippuen tehdystä toimenpiteestä, tiedot kirjoitetaan yhteen tai useampaan seuraavista käyttölokeista:

• Yleiskäyttöloki
  Lokiin kirjoitetaan tieto kaikista DomaCareen tehdyistä toimenpiteistä tietoresurssitasolla. Lokiin kirjautuu aikaleima, käyttäjän tunniste, käyttäjän IP-osoite ja se mitä tietoresussia käyttäjä käytti tai yritti käyttää ja millä tavalla. Lokiin kirjautuu käytetty resurssi (esim. käyttäjät, asiakkaat, varaukset jne) ja resurssin tunnistenumero (id).
  
  

• Sähköisen lääkemääräyksen interaktioloki

Kaikki reseptikeskukseen kohdistuvat Kanta-interaktiot lokitetaan. Lokiin tallennetaan aikaleima, käyttäjä, kantakyselyn syy, suostumuksen tyyppi, kyselyn tyyppi ja palautettujen tietojen määrä. Lokiin tallennetaan sekä reseptikeskukseen kohdistuvat haut että reseptikeskukseen tallennetut dokumentit, kuten uudet lääkemääräykset ja lääkemääräyksen versiointi tai mitätöinti. Tallentavissa interaktioissa lokiin kirjataan tallennetun dokumentin OID.

• Sosiaalihuollon asiakastietovarannon interaktioloki

Sosiaalihuollon asiakastietovarantoon kohdistuvat Kanta-interaktio lokitetaan. Lokiin tallennetaan aikaleima, käyttäjä, kantakyselyn syy ja kyselyn palvelupyyntökoodi. Tallentavissa interaktioissa lokiin kirjataan tallennetun dokumentin OID. Mahdollisissa virhetilanteissa lokiin kirjataan Kanta-järjestelmästä palautunut virhekoodi.

Lokeja säilytetään niin kauan, kun asiakassuhde on voimassa. Tämän jälkeen lokitiedot voidaan pyynnöstä toimittaa rekisterinpitäjälle jatkoarkistointia varten. Muussa tapauksessa lokitiedot poistetaan asiakastietojen mukana, kun asiakkuus päättyy.

6.2. Tekninen loki

DomaCare -järejstelmän API-palvelimen käytöstä ja virhetilanteista syntyy teknistä lokia. Teknistä lokittamista hallinnoidaan lokitustasoilla (log levels). Korkeimmalla tasolla on vakavat virhetilanteet ja varoitukset, keskitasolla informaatiomerkinnät ja alimmalla tasolla virheiden etsintään tarkoitetut merkinnät. Eri lokitustasojen tuottamat merkinnät voidaan säilyttää eri ajan ja lokitustasoa voidaan muuttaa tarvittaessa esimeriksi vianetsintää varten.

Lokitietoja voi käsitellä ja koostaa Glowroot -työkalulla. Glowroot kerää lokeja eri API-palvelimilta ja muodostaa niistä koosteita ja tilastoja, jonka avulla pystytään mm. havaitsemaan virhetiheyden kasvu.

Kanta-palvelussa aiheutuvat tekniset virheet, liittyen mm. tiedonsiirtoon tai viestien eheyteen, kirjataan tekniseen lokiin.

DomaCaren frontend-sovelluksessa on käytössä Sentry -lokinkeräysjärjestelmä, jolla selaimessa ja mobiilisovelluksessa tapahtuneet virheet lokitetaan. Tämä mahdollistaa virhetiheyden seurannan ja virheiden korjauksen tarvittaessa.

Sovelluspalvelimella, tietokantapalvelimella ja kuormantasauspalvelimilla on omat tekniset lokinsa, joita seurataan Infrastructure & Security -tiimin toimesta. Lokeihin tallennetaan mm. kaikki kuormantasaajapalvelimeen kohdistuvat verkkokyselyt, joten niistä pystyy havaitsemaan mm. mahdollisia palvelunestohyökkäyksiä ja muuta haitallista toimintaa. Tietokannan teknisistä lokeista pystyy seuraamaan mm. tietokannassa tapahtuneita virhetilanteita ja tiedon eheyden vaarantavia tilanteita.

6.3. Lokien seurantaväline

DomaCare sisältää lokien seurantavälineen sähköisen lääkemääräyksen ja sosiaalialan asiakastietovarannon Kanta-interaktioiden seuraamiseen. Lokien seurantavälineellä järjestelmää käyttävän organisaation valtuuttamat henkilöt voivat seurata Kanta-järjestelmiin tehtävistä toimenpiteistä syntyneitä lokimerkintöjä. 

Lokien seurantavälineen käyttö on mahdollista ainoastaan niille käyttäjille, joiden käyttövaltuuksiin on sallittu lokitietojen katselu. Seurantavälineen käyttö voidaan mahdollistaa myös sellaisille käyttäjille, joilla ei ole muita käyttäjärooleja tai valtuutuksia järjestelmässä. Lokin seurantavälineen käyttö vaatii vahvan tunnistautumisen käyttämällä kaksivaiheista tunnistautumistapaa.

6.4. Lokitietojen muuttumattomuuden varmistaminen

Lokitiedot tallennetaan erilliselle palvelimelle. DomaCare -järjestelmää käyttävillä organisaatioilla on ainoastaan katseluoikeus oman organisaation lokitietoihin. 

Lokipalvelinta ylläpidetään Invian Oy:n toimesta ja pääsy on rajoitettu ainoastaan keskeisille ylläpidosta vastaaville työntekijöille. Lokitiedot varmuuskopioidaan päivittäin ja lokipalvelmiesta muodostetaan automaattisia varmuuskopioita pilvipalveluoperaattorin järjestelmässä. Varmuuskopioiden avulla on mahdollista jäljittää lokeihin tehtyjä muutoksia.

Tekniset lokit muodostuvat API-palvelimille, joista ne siirretään Glowroot-järjestelmän lokitietokantaan. Tekniset lokit on näinollen kahdennettu, joten niiden muuttamiseen tarvittaisiin muutos kahteen eri paikkaan. Myös API-palvelimen ja Glowroot-järjestelmän ylläpito-oikeudet on rajoitettu keskeisille ylläpidosta vastaaville työntekijöille.