Kenellä on ylläpitotason pääsy järjestelmään?


Järjestelmää voi ylläpitää eri tasoilla, joihin on pääsy eri henkilöillä.


Asiakkaan (Invian Oy:n yritysasiakas) ylläpitonäkymään järjestelmässä pääsee asiakkaan valtuuttamat järjestelmän pääkäyttäjät ja Invian Oy:n ylläpitorooleissa työskentelevät työntekijät.


Lisäksi tietyt Invian Oy:n työntekijät pääsevät ylläpitämään järjestelmää seuraavassa kohdassa kuvatuilla tavoilla.


Pääseekö SaaS -alustan toimittaja millä tavoin järjestelmään tai tietoihin?


Alustan toimittaja pääsee käsiksi järjestelmän tietoihin seuraavilla tavoilla:

  • Kirjautumalla asiakasjärjestelmään pääkäyttäjäroolissa
  • Suoralla tietokantayhteydellä tietokantapalvelimiin
  • Suoralla yhteydellä palvelimiin käyttöjärjestelmätasolla (Linux shell)


Tämän lisäksi palvelinlaitetoimittajalla (UpCloud) on pääsy virtuaalijärjestelmien isäntäkoneisiin, mutta ei itse virtuaalipalvelimiin. Kuitenkin tätä kautta on teoreettinen mahdollisuus myös päästä käsiksi tietoihin.


Kaikki Invian Oy:n ja UpCloud Oy:n työntekijät, joilla on pääsy tietoihin, ovat solmineet kattavan salassapito- ja vaitiolosopimuksen.


Miten käyttäjä tunnistetaan DomaCaressa?


Salasanan lisäksi kirjautuva laite pitää rekisteröidä kaksinkertaisella varmennuksella (two-factor authentication). Web-sovelluksessa käytetään tekstiviestillä lähetettyä kertakirjautumiskoodia, Java-sovelluksessa sovelluksen mukana toimitettavaa asiakasvarmennetta ja Android-sovelluksessa puhelimen IMEI-koodin rekisteröintiä.


Voiko asettaa vaatimuksen + pakottaa salasanan. Suojataanko salasanat vai tallennetaanko selkokielisenä? 
Salasanan vaihto voidaan pakottaa järjestelmästä.


Mobiililaitteissa käytössä vahva autentikointi (IMEI-sallinta) ja pakotettu salasanan vaihto.


Salasanaa ei tallenneta selkokielisenä, vaan siitä tallennetaan tiivistefunktiot. Salasanan tarkistuksessa käytetään SRP-protokollaa.


Missä järjestelmä fyysisesti sijaitsee?


DomaCaren tuotantopalvelimet sijaitsevat UpCloud Oy:n tiloissa Helsingissä.


UpCloud on johtava palvelininfrastruktuuriratkaisujen toimittaja Suomessa, joka on tarjonnut palvelinkapasiteettiä esimerkiksi Kansalaisaloite.fi -palveluun ja muihin valtionhallinnon palveluihin. UpCloudin palvelimet sijaitsevat KATAKRI-sertifoidussa palo- ja murtosuojatussa palvelintilassa. Järjestelmä perustuu N+1 arkkitehtuuriin, jossa kaikki kriittiset osat on monennettu, eikä yksittäisen laitteen vikaantuminen aiheuta käyttökatkoja tai tietojen menetystä.


Käyttöjärjestelmä


SaaS-palvelinten käyttöjärjestelmä on Linux. Riippuen palvelimista CentOS 6,7 tai 8 tai Debian 4.


Java-pohjaista asiakasohjelmistoa (DomaCare työpöytäsovellus) voidaan käyttää kaikissa käyttöjärjestelmissä, joille on toteutettu riittävän laaja Java-virtuaaliympäristö. Enemmistö käyttäjistämme käyttää DomaCarea Windows-ympäristössä, 


mutta sovelluksella on myös Linux- ja macOS-käyttäjiä.


Mobiilisovellus toimii Android-järjestelmää käyttävissä mobiililaitteissa (puhelimet ja tabletit).


Mihin järjestelmä tallentaa henkilötietoja?


Peruskäytössä olevat henkilötiedot (mm. asiakkaista ja käyttäjistä) tallennetaan SQL-tietokantaklusteriin.


DomaCaressa käytettävät liitetiedostot tallennetaan erilliselle MinIO-pilvialustalle.


Kaikki palvelimet ovat Invian Oy:n itse hallinnoimia ja sijaitsevat UpCloud Oy:n palvelinhotellissa (ks. palvelinratkaisusta muista vastauksista).


Kerääkö järjestelmä käyttölokeja asiakastietojen käsittelystä?


Järjestelmä kerää lokitietoja asiakastietojen muuttamisesta ja käsittelystä. Lokitiedot ovat pääkäyttäjän nähtävissä asetukset -osiosta.


Voiko asiakkaan poistaa järjestelmästä pysyvästi?


Asiakkaan poistaminen DomaCaresta on kaksivaiheinen prosessi. Ensimmäisessä vaiheessa asiakastiedot poistetaan siten, että ne siirtyvät poistettuihin asiakkaisiin ja ovat edelleen pääkäyttäjien nähtävissä. Toisessa vaiheessa tiedot on mahdollista poistaa pysyvästi siten, että ne eivät näy järjestelmässä lainkaan.


Voiko kaikki asiakkaasta järjestelmään tallennetut tiedot toimittaa asiakkaalle?


DomaCaresta on mahdollista tuottaa uloskirjausraportti, joka sisältää kaikki asiakkaasta kirjatut tiedot.


Voiko pysyvästi poistetun asiakkaan lokitietoja tarkistella?


Pysyvästi poistetun asiakkaan lokitietoja voi tarkastella samoin kuin muita lokitietoja.


Miten tiedot on suojattu tallennusmedialla?


Tallennusmedialla olevia tietoja ei ole erikseen salattu.


Palvelimet sijaitsevat turvaluokitetuissa tiloissa ja fyysinen pääsy palvelimien läheisyyteen on rajattu. Palvelinratkaisun tarjoajamme, UpCloud Oy täyttää Katakri-vaatimukset.


Miten järjestelmän ylläpidon, suorat pääsyt tietoon todennetaan?


Ylläpitäjät kirjautuvat tuotantopalvelimille omilla henkilökohtaisilla tunnuksillaan.


Kirjautuminen on mahdollista ainoastaan Invian Oy:n tiloista tai käyttäen VPN-yhteyttä. VPN-yhteyteen tunnistaudutaan jokaisen työntekijän henkilökohtaisella asiakasvarmennetiedostolla (client certificate).


Kanta-palveluihin (eResepti ja eArkisto) kirjautuessaan ylläpitäjät käyttävät sote-toimijakortteja (vastaava älykortti kuin terveydenhuollon ammattilaisilla, mutta suunnattu ylläpitorooleissa toimiville henkilöille).


Mistä järjestelmäylläpitäjien toimista jää auditointilokimerkintä?


Kaikki ylläpitäjät kirjautuvat tuotantopalvelimille henkilökohtaisilla tunnuksillaan.


Tuotantopalvelimilla on käytössä seuraavat auditointilokit:

  • Kirjautumiset tuotantopalvelimille lokitetaan
  • Linux -palvelimille kirjoitetut komennot lokitetaan
  • Tietokantapalvelimille tehdyt kyselyt lokitetaan
  • Järjestelmän käyttö pääkäyttäjäroolista aiheuttaa tavanomaiset käyttöön liittyvät lokimerkinnät


Miten tiedonsiirto on suojattu?


Tiedonsiirto on salattu TLS-protokollalla käyttäen uusia turvalliseksi todettuja salausalgoritmeja. Salattu yhteys päätetään Invian Oy:n kuormantasaajapalvelimiin, jonka jälkeen yhteys kulkee salaamattomana suojatussa sisäverkossa.


Osa sovelluksen ottamista yhteyksistä on suojattu salauksen lisäksi asiakasvarmenteella (client certificate), jolla voidaan rajata yhteydet tunnettuihin asiakkaisiin. Lisäksi on mahdollista ottaa käyttöön IP-rajaus palomuuritasolla.


Millainen palomuuripolitiikka on toteutettu?


Kaikki palvelimet on suojattu palomuurilla. Pääpiirteissään palomuuripolitiikka on seuraava:

  • Liikenne tuotantopalvelimille tapahtuu ainoastaan kuormantasaajapalvelimien kautta.
  • Kuormantasaajapalvelimille on sallittu kaikkialta ainoastaan tuotantoon liittyvät portit (esim. https – 443)
  • Kuormantasaajapalvelimet ovat yhteydessä tuotantopalvelimiin (sovelluspalvelimet, tiedostopalvelimet, tietokantapalvelimet) ainoastaan suojatun sisäverkon kautta
  • Kuormantasaajapalvelimet sisältävät ominaisuuksia, joilla voidaan mitigoida palvelunestohyökkäyksiä
  • Pääsy kuormantasaajan muihin portteihin on mahdollista ainoastaan Invian Oy:n tiloista tai käyttäen yrityksen työntekijöiden VPN yhteyttä
  • Kehityspalvelimien pääsy on rajoitettu siten, että niihin pääsee ainoastaan Invian Oy:n tiloista tai työntekijöiden VPN-yhteydellä.


Onko järjestelmässä mekanismia, jolla voi arvioida ovatko rekisteröidyn oikeudet vaarantuneet?


DomaCare-järjestelmässä voidaan säätää monipuolisesti käyttäjien pääsyä eri asiakkaiden tietoihin. Lähtökohtana on siis yleisesti, että kun oikeustasot on asetettu oikein, ei asiattoman tiedon katselu ole mahdollista.


Kaikki asiakastiedon katselu- ja muuttotapahtumat kirjataan audit-lokiin, josta pääkäyttäjien on mahdollista varmentaa rekisteröityjen oikeuksien toteutuminen.Palvelinten ylläpitotasolla lokitapahtumia seurataan aktiviisesti automaattisilla työkaluilla ja tunnistetaan murtautumisyritykset ja muu asiaton toiminta.