EU:n tietosuoja-asetuksen (GDPR) soveltaminen alkaa 25.5.2018. Koska kyseessä on asetus, se on suoraan kaikkia EU-kansalaisia ja yrityksiä velvoittava. GDPR tekee asiasta euroopan laajuisen ja sen vuoksi se tulee korvaamaan nykyisen henkilötietolain. GDPR:n tarkoitus on vähentää turhien henkilötietojen keräämistä ja varmistaa, että yritykset huolehtivat hyvin niistä tiedoista, joita kerätään.
Asetuksen mukaan henkilöillä on oikeus:
- Saada tietää, mitä tietoja hänestä kerätään
- Voida kieltää tietojen kerääminen ja käsittely, mukaan lukien vaatia kerättyjen tietojen poistamista
- Saada itseään koskevat tiedot koneluettavassa muodossa, jotta tieto on siirettävissä toiseen järjestelmään
- Oikeus saada tietää tietovuodosta, jossa omia tietoja on voinut vuotaa
Organisaatioilla on velvollisuus osoittaa, että ne noudattavat tietosuoja-asetusta. Käytännön tasolla tämä tarkoittaa, että organisaatioiden pitää dokumentoida, kuinka ne käsittelevät henkilötietoja ja määritellä ne prosessit, joilla edellä mainitut asiat hoidetaan.
Rekisterinpitäjä ja käsittelijä
Sivuston omistaja eli jokainen WP-palvelun asiakasyritys vastaa itse siitä, miten WordPress-sivuston kautta kerätään henkilötietoja, jos sellaisia kerätään. Sivuston omistaja on lain määritelmän mukaan rekisterinpitäjä ja on vastuussa esimerkiksi asiakkaan tietojen poistamisesta pyydettäessä.
Seravo sen sijaan on rekisterin käsittelijä. Seravo ei tiedä, mitä tietoja kukin asiakas tallettaa käytössään olevaan ympäristöön, eikä ole vastuussa niiden sisällöstä tai käytöstä. Seravo vastaa tarjoamansa palvelun tietoturvasta ja mm. siitä, ettei henkilötietoja siirretä toiseen maahan kuin minne asiakas on sivustonsa halunnut perustaa. Kaikkien suomalaisten asiakkaiden sivustot ovat oletuksena Suomessa ellei asiakas ole pyytänyt jonkin ulkomaisen datakeskuksemme käyttöä, esimerkiksi jos asiakkaan päämarkkina on USA:ssa.
Sivustojen omistajien vastuut
Sivustojen omistajien tulee olla tietoisia siitä, millaisia henkilötietoja he keräävät. Suositeltavaa on, että tietoja kerätään mahdollisimman vähän eli että asiakkaista kerätään vain ehdottoman tarpeellisia tietoja.
Esimerkki: verkkokauppias voi pohtia, mitä pakollisia tietoja asiakkaasta tarvitaan. Jos kyseessä ei ole esimerkiksi fyysinen tuote, ei katuosoitetta tarvitse tietää. Entä onko välttämätöntä kysyä asiakkaan syntymäaikaa?
Lisäksi on syytä varmistaa, että kaikilla henkilöillä, joilla on pääsy sivustoille on käytössä vahvat salasanat ja että esimerkiksi työntekijän poistuessa yrityksestä poistetaan myös hänen käyttäjätunnuksensa sivustolta.
Sivuston omistajalla tulee olla mietittynä prosessit, joiden mukaan hän pystyy vastaamaan alussa mainittuihin kohtiin eli muun muassa poistamaan asiakkaan tiedot järjestelmästä, jos asiakas sitä pyytää.
Pitääkö olla huolissaan?
Jos sivustolle ei kerätä henkilötietoja, ei GDPR välttämättä aiheuta toimenpiteitä asiakkaalle. Jos sivustolla on lomakkeita, uutiskirjeiden tilaajarekistereitä tai verkkokauppa, tulee GDPR-vaatimukset ottaa huomioon.
Joka tapauksessa jokaisen on hyvä ymmärtää, mitä GDPR tarkoittaa ja mitä velvollisuuksia ja oikeuksia se tarkoittaa itselle. Tässä muutamia linkkejä, joista saa lisätietoa:
- EU:n tietosuojauudistus
- Ohjeita rekisterinpitäjille
- Miten valmistautua EU:n tietosuoja-asetukseen
- Henkilötietojen käsittelyä koskevat periaatteet
Mitä tietoja Seravo itse kerää asiakkaistaan
Yleisesti ottaen me itse keräämme asiakkaistamme vain tietoja, joita tarvitaan laskuttamista ja mm. verkkotunnusten varaamista varten.
Suoraan kerättävien tietojen lisäksi sivustojen käytöstä syntyy palvelimille lokitietoja, jotka sisältävät esimerkiksi IP-osoitteita. Niitä tarvitaan mm. tietoturvan valvonnan vuoksi.
Henkilötietojen suojaaminen
Seravo ei luonnollisestikaan missään tilanteessa luovuta asiakkaidensa sivustojen tiedostoja tai tietokantoja muille kuin asiakkaille itselleen. Seravo ei tiedä onko asiakkaiden sivustoilla henkilötietoja, mutta kaikkia sivustoja suojataan niin hyvin että niissä voisi olla henkilötietoja.
Käyttämämme tekniset suojauskeinot kehittyvät jatkuvasti. Käytämme muun muassa seuraavia tekniikoita tietoturvan varmistamiseksi:
- Kaikki sivustot, sisältäen WordPressin ytimen, lisäosat ja ulkoasuteemat (joitain rajoituksia lukuunottamatta) päivitetään säännöllisesti. Tietoturvapäivitykset (sekä WordPressin ytimen, lisäosien että myös PHP:n osalta) asennetaan hyvin nopeasti.
- Testaus ja valvonta koskee yhtä lailla päivityksiä ja varmistamme, että sivustot eivät mene rikki päivitysten takia.
- Myös kaikki palvelinohjelmistot ja käyttöjärjestelmät päivitetään säännöllisesti.
- Kaikki asiakkaiden sivustot ja tiedostot skannataan vähintään kerran vuorokaudessa haittakoodin havaitsemiseksi.
- Palvelimella on laajat lokitukset, joista http-liikenteen tapahtumia ja tietoturvamurtoepäilyjä voi tutkia ja selvittää jälkikäteen.
- Mahdollisista tietoturvamurroista palautuminen, kuten varmuuskopioiden palautus ja kaikkien käyttäjien istunnon ja salasanan nollaus, on tehty helpoksi.
- Automaattinen varmuuskopiointi joka vuorokausi, jonka toimivuuteen WordPress ei vaikuta. Varmuuskopiointi on toteutettu pull-tekniikalla, eli mahdollinen murtautuja ei pysty helposti tuhoamaan varmuuskopioita. Asiakas voi itse selata varmuuskopioitaan ja palauttaa minkä tahansa päivän tilanteen edeltäneen kuukauden ajalta.
- Varmuuskopioista on myös offsite-varmuuskopiot kokonaisen palvelinsalin tuhoutumisen varalta.
- Varmuuskopio kattaa kaikki tiedostot ja myös tietokannan. Varmuuskopioista palauttamista testataan säännöllisesti.
- Jokaiselle asiakkaalle on oma eritytetty Linux container -ympäristö. WP-palvelu ei ole ns. shared hosting -ympäristö.
- SSL-varmenne eli HTTPS-suojaus on meillä hintaan sisältyvä vakio-ominaisuus, ei lisäpalvelu.
- Käyttäjätunnusten lähettäminen ilman salattua yhteyttä on estetty, ja asiakkaat käyttävät aina suojattuja HTTPS-, SFTP- ja SSH-yhteyksiä kirjautumiseen palvelimelle.
- Verkkotason DDOS-suojauksen lisäksi meillä on käytössä myös sovellustason DDOS-suojaus jolla rajoitetaan PHP:n liika kuormittaminen.
- Salasanojen brute force -hyökkäykset tehdään tehottomiksi rajoittamalla sisäänkirjautumisyritysten määrää. Asiakkaalta edellytetään ainoastaan normaalin salasanahygienian noudattamista.
Seravo sitoutuu tietoturvaan
Seravo on aina ollut erittäin sitoutunut tietoturvaan. Esimerkiksi WordPressin ylläpitoon kirjautuminen on ollut HTTPS-suojauksen takana jo vuosia ennen kuin käytäntö yleistyi muilla palveluntarjoajilla. Aiomme olla tietoturvan edelläkävijä myös jatkossa. Meidän asiakkaamme voivat luottaa siihen, että maksamalla WordPressin ylläpidosta Seravolle heidän sivustonsa ovat hyvässä huomassa.