Selonteko asiakkaidemme henkilötietojen turvallisuuden takaamiseksi tehdyistä toimenpiteistä
Selonteko EU:n tietosuoja-asetus GDPR:n vaatimusten toteuttamistavoista Magic Cloud Oy:ssa
Magic Cloud Oy toimittaa asiakkaansa käyttöön erilaisia ICT-palveluja, joita tuotetaan, ylläpidetään ja kehitetään tietoturvallisuutta korostaen. Tuotamme valtaosan palveluistamme omista, Suomessa sijaitsevista konesaleistamme.
Vastaamme asiakkaidemme palveluiden kattavasta tietoturvallisuudesta, toiminnan vaatimustenmukaisuudesta ja palvelutuotannon jatkuvuudesta yhdessä asiakkaan kanssa. Varmistamme asiakkaan palvelun luottamuksellisuuden, eheyden ja saatavuuden riippumatta siitä, onko aineisto määritelty salassa pidettäväksi tiedoksi.
Asiakkaan tietojen turvaamiseksi ja tarvittavan turvatason saavuttamiseksi käytämme monia teknologisia ja hallinnollisia turvallisuustoimenpiteitä, jotka on kuvattu tarkemmin tässä selonteossa.
Tämä dokumentti on selonteko käyttämistämme ja toteuttamistamme turvallisuusjärjestelyistä. Olemme tehneet asiakkaidemme kanssa keskinäisen palvelusopimuksen, jossa määritellään tarkemmin käytössänne olevat palvelut.
Mikäli Teillä on kysyttävää selonteon yksityiskohdista tai käytössänne olevan palvelun turvallisuudesta, vastaamme mielellämme tarkentaviin kysymyksiinne.
Toimenpiteet asiakkaan henkilötietojen turvallisuuden varmistamiseksi
Tiedonkäsittelyyn liittyvät roolit
Mikäli Magic Cloudin asiakkaalle tarjoamaan palveluun sisältyy henkilötietojen käsittelyä, vastaavat asiakas ja Magic Cloud omista lakiin perustuvista velvoitteistaan joko rekisterinpitäjänä tai tietojen käsittelijänä.
Käsitellessään Magic Cloudin pilvipalveluun sijoittamia henkilötietojaan, toimii asiakas henkilötietojen rekisterinpitäjänä. Jos Magic Cloud käsittelee näitä henkilötietoja asiakkaan toimeksiannosta, toimii Magic Cloud henkilötietojen käsittelijänä ja sitoutuu toimimaan sekä lain että mahdollisen kyseisiä tietoja koskevan, asiakkaan antaman erillisen ohjeistuksen mukaisesti.
Magic Cloud toimii rekisterinpitäjänä käsitellessä asiakkaidensa henkilötietoja omissa järjestelmissään, kuten esimerkiksi omassa asiakasrekisterissään.
Magic Cloudin hallussa olevat asiakasyritysten henkilötiedot
Asiakas omistaa kaiken Magic Cloudin palveluihin tallentamansa ja siirtämänsä datan. Asiakkaan käytössä olevasta palvelusta riippuen Magic Cloudin IT-infrastruktuuriin saattaa kertyä asiakasyrityksen henkilökuntaa tai asiakasyrityksen asiakkaan henkilökuntaa koskevia henkilötietoja esimerkiksi asiakkaan liittäessä palveluihin henkilöstöään tai käyttäessä Magic Cloudin ylläpidossa olevia ohjelmistoja. Tallentuvat henkilötiedot ja niiden sensitiivisyys vaihtelevat palvelusta riippuen.
Asiakassuhteen päättyessä Magic Cloud sulkee asiakkaalle avaamansa tietoliikenne-, tietojärjestelmä-, tiedonsiirto- sekä etäkäyttöyhteydet ja poistaa asiakkaan tallentaman datan järjestelmästään.
Asiakkaan omistamien henkilötietojen käsittely
Henkilötietojen käsittelyn luonne ja tarkoitus
Asiakkaalle tarjotusta palvelusta riippuen Magic Cloudin teknisestä ylläpidosta vastaavalla henkilökunnalla saattaa olla pääsy palveluihin liitettyjen henkilöiden henkilötietojen tarkastelemiseen esimerkiksi helpdesk-toiminnan yhteydessä. Magic Cloud voi käsitellä henkilötietoja palvelun ylläpitämiseksi ja päivittämiseksi sekä asiakkaan aloitteesta esimerkiksi ongelmatilanteen ratkaisemiseksi.
Magic Cloudin alihankkijat
Magic Cloud saattaa joidenkin palveluidensa tuottamisessa käyttää alihankkijoita. Mikäli Magic Cloud käyttää alihankkijoita, se edellyttää alihankkijoiltaan samojen tietosuojaperiaatteiden noudattamista.
Tietosuoja
Asiakkaan henkilötietoja käsitellessään Magic Cloud noudattaa Euroopan tietosuoja-asetuksen edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä.
Magic Cloud sitoutuu pitämään asiakkaan salassa pidettävän tiedon salassa. Magic Cloud ei käytä tai hyödynnä asiakkaan aineistoa muuhun kuin palvelusopimuksen mukaiseen tarkoitukseen. Asiakkaan aineistoa ei myöskään luovuteta sivulliselle eikä anneta sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.
Tekninen tietoturva
Salausta vaativa tiedonsiirto salataan kulloiseenkin tilanteeseen soveltuvalla salaustekniikalla, ellei asiakkaan kanssa muuta ole sovittu.
Magic Cloud päivittää ja ylläpitää palvelinkeskuksessa olevia ohjelmistoja ja laitteita säännöllisesti. Esimerkiksi tietoturvapäivitykset asennetaan vähintään kuukausittain. Magic Cloudin palvelinkeskuksessa on käytössä tehokas ja ajantasainen virusten ja haittaohjelmistojen torjuntamekanismi.
Kaikki palvelinkeskuksessa sijaitseva data varmuuskopioidaan vähintään päivittäin ja kopiot säilytetään maantieteellisesti erillisissä kohteissa.
Fyysinen tietoturva
Palvelinkeskuksemme on valvottuna 24/7. Keskuksessa on elektroninen kulunvalvonta ja konesalin tilasta automaattisesti raportoiva hälytysjärjestelmä.
Palvelinten ja muiden laitteiden sekä ohjelmistojen terveydentilaa seurataan erillisellä monitorointijärjestelmällä, jonka avulla mahdollisiin ongelmiin ja virheisiin voidaan pääsääntöisesti reagoida proaktiivisesti.
Palvelinkeskuksessa katkottomasta virransaannista on varmistuttu kahdennetuilla virransyöttö- sekä varavirtajärjestelmillä. (Tarkemmat tekniset tiedot erillisessä Magic Cloud Oy:n järjestelmäkuvauksessa.)
Organisationaalinen turvallisuus
Magic Cloudin henkilökunta on työsopimuksissaan allekirjoittanut yrityksen hallussa olevia tietoja ja asiakasyritysten tietoja koskevan salassapitopykälän. Henkilöstön oikeudet ja valtuudet palveluiden tuottamisessa käytettävissä tietojärjestelmissä rajataan työtehtävien laajuus huomioon ottaen ja järjestelmiin pääsyä hallitaan kohdennettujen käyttöoikeuksien kautta. Magic Cloudin tieto- ja viestintäjärjestelmät tallentavat tietojen käsittelyhistoriaa palvelukohtaisesti tarvittavalla tavalla.
Henkilökuntamme päivittäistä toimintaa ohjaa yrityksemme yhteistoiminnallisesti laatima tietosuojaohjeistus. Tietosuojaohjeistus ja -käytänteet ovat myös osa uuden työntekijän perehdytysprosessia. Henkilökunnan tietoja ja ymmärrystä tietosuoja-asetuksen vaatimuksiin kehitetään ja ylläpidetään sisäisillä koulutuksilla sekä mahdollisuudella osallistua esimerkiksi yhteistyökumppaneidemme tietosuojakoulutuksiin.
Yhteydenpito asiakkaan ja Magic Cloudin välillä
Tiedotamme asiakastamme palveluiden käyttämiseen liittyvistä oleellisista tiedoista, kuten palvelun kehittymisestä ja muutoksista. Tiedotuksemme tapahtuu esimerkiksi sähköpostitse asiakkaan pääkäyttäjille sekä nettisivujemme ja muiden sähköisten kanavien kautta.
Palveluidemme tietosuojan jatkuvasta kehittämisestä ja parhaista käytännöistä huolimatta olemme varautuneet myös mahdollisiin tietosuojaloukkaustilanteisiin liittyvään yhteydenpitoon. Valvomme aktiivisesti ympäristömme tilaa ja tiedotamme asiakkaillemme GDPR:n velvoitteiden mukaisesti viipymättä, mikäli asiakkaan henkilötietoihin kohdistuu tietoturvaloukkaus.