Tietosuoja ja henkilötietojen käsittely: asiantuntijan opas yrityksille
Tietosuoja ja henkilötietojen käsittely ovat nykypäivänä keskeisiä asioita liiketoiminnassa. Yritysten on varmistettava, että niiden tietojenkäsittelyprosessit ovat turvallisia ja säädösten mukaisia.
Tämä koskee myös palkkatietojen hallinnointia. Tässä artikkelissa käsittelemme teknisen tietoturvan keskeisiä asioita, käyttäjätunnusten ja salasanakäytäntöjen hallintaa sekä salassapitoa ja luottamuksellisuutta. Kerromme myös, miten nämä asiat huomioidaan Tuntinetissä.
Tekninen tietoturva
Varmuuskopiointi, palomuuri ja virustorjunta
Teknisen tietoturvan tarkoitus on varmistaa palvelutuotannon turvallisuus. Palkkahallinnon palveluja tarjoavien yritysten sekä yritysten oman palkanlaskennan on suojattava palvelintilansa ja työasemansa luvattomalta pääsyltä. Ulkopuolisten pääsy on sallittava vain erillisellä luvalla ja asianmukaisen valvonnan alaisena.
Teknisten ratkaisujen vaihtoehtoja on kaksi:
1. Yrityksen omat palvelimet: Ohjelmistot asennetaan tällöin yrityksen omille palvelimille.
2. SaaS- tai hosting-palvelut: Ohjelmistoja käytetään ulkoisen palveluntarjoajan palvelimilta.
Kummassakin tapauksessa palkkahallinnon on varmistettava palveluiden jatkuvuus ja tietojen turvallisuus. Tietojen varmistaminen on suoritettava säännöllisesti, ja varmistusten toimivuus tulee tarkistaa vähintään puolivuosittain.
Palomuuri ja virustorjunta
Palkkahallinnon järjestelmät ja palvelimet on suojattava palomuuriratkaisuilla, ja virustorjuntaohjelmien on oltava ajan tasalla kaikissa laitteissa, mukaan lukien mobiililaitteet.
Ulkopuolisen palveluntarjoajan käyttö
Ulkopuolisen palveluntarjoajan kanssa on tehtävä kirjallinen sopimus, jossa määritellään varmistusten aikataulut, palautusprosessit ja tietoturvatoimet. Palveluntarjoajan vakavaraisuus ja luotettavuus tulee myös varmistaa. Näin ennaltaehkäistään yllättäviä katkoja palvelun toiminnassa ja suojaudutaan haavoittuvuuksilta paremmin.
Käyttäjätunnukset ja salasanakäytännöt
Salasanat ovat keskeinen osa tietoturvaa. Jokaisella työntekijällä tulee olla omat salasanat, eikä niitä saa jakaa. Salasanojen hallintaan on suositeltavaa käyttää jotakin salasanasovellusta, kuten F-Secure ID PROTECTION, KeePass tai Keeper. Sovellusten käyttöönottoon on Kyberturvallisuuskeskuksen ohjeet.
Yhteiskäyttötunnukset
Yhteiskäyttötunnuksia ei saa käyttää sensitiivisten tietojen käsittelyssä. Pääkäyttäjäoikeudet myönnetään vain erikseen valituille henkilöille, ei sijaisille tai tilapäiskäyttäjille.
Salassapito ja luottamuksellisuus
Salassapitovelvollisuus
Tietosuoja-asetus edellyttää, että henkilöt, joilla on oikeus käsitellä henkilötietoja, noudattavat salassapitovelvollisuutta. Palkka- ja henkilöstöhallinnon työntekijöiden kanssa tulee tehdä salassapitosopimus.
Sisäinen salassapito
Sisäinen salassapito varmistetaan rajoittamalla käsittelijöiden määrä minimiin ja käyttöoikeuksien määrittelyn avulla. Työpisteet on järjestettävä siten, ettei ulkopuolisilla voi olla pääsyä luottamuksellisiin tietoihin.
Luottamuksellisuus
Palkka- ja henkilöstöhallinnon tiedot ovat luottamuksellisia, eikä niitä luovuteta ilman asianmukaista lupaa. Tietoja ei anneta viranomaisille ilman asiakkaan lupaa, paitsi esitutkintaviranomaisille.
Sähköpostikäytännöt
Henkilötietoja ja luottamuksellista tietoa lähetettäessä on käytettävä salattua sähköpostia. Yrityksen tulee laatia ohjeistukset sähköpostin ja internetin käytöstä.
Tietojen säilytys sähköpostissa
Henkilötietoja ei tule säilyttää sähköpostissa pidempään kuin on tarpeellista. Sähköposti ei ole mikään arkistointiväline.
Henkilötietojen käsittely
EU:n yleinen tietosuoja-asetus ja kansallinen tietosuojalaki määrittelevät henkilötietojen käsittelyn säännöt. Näiden säädösten noudattaminen on välttämätöntä, jotta yritys voi suojella luonnollisten henkilöiden oikeuksia ja vapauksia.
Tietosuoja Tuntinetissä
Tuntinetti on pilvipalvelu. Meillä Tuntinetissä jokainen Tuntinettiin perustettu käyttäjä saa omat henkilökohtaiset tunnukset järjestelmään ja kertakäyttöisen salasanan, joka pitää vaihtaa ensimmäisellä kirjautumiskerralla. Yritykselle voi myös asettaa asetuksen vahvojen salasanojen käyttämisestä.
Voit myös erotella Tuntinetti-tilin käyttäjät pääkäyttäjiin ja normaalikäyttäjiin. Suurissa yrityksissä työnjakoa voidaan helpottaa jakamalla myös yksikkökohtaisia käyttövaltuuksia, eli esihenkilöille annetaan oikeudet tiettyihin osa-alueisiin.
Tuntinettiä käytettäessä selaimen HTTPS-yhteys on suojattu pankkienkin suosimalla SSL-salauksella. Lisäksi järjestelmässä on aikakatkaisu eli käyttäjän automaattinen uloskirjautuminen kun Tuntinettiä ei ole hetkeen käytetty.
Voit myös valita lisäominaisuuksista monivaiheisen kirjautumisen. Kaksivaiheisella tunnistautumisella voit paremmin suojata tärkeimpien työntekijöiden tilit. Kirjautumisen aikana työntekijä saa tekstiviestillä koodin, jolla hän pääsee kirjautumaan tililleen.