Skip to end of metadata
Go to start of metadata
Icon

This text is required by law to be in Finnish. The same text, translated to English, can be found here.

Tunnistusperiaatteet (välitysperiaatteet)

Signicat välittää seuraavia tunnisteita:

TunnistusvälineVarmuustaso
TupasKorotettu
MobiilivarmenneKorotettu
TunnistusvälityspalveluVarmuustaso
Signicat ConnectKorotettu


1) Tiedot palveluntarjoajasta

Signicat on Luottamusverkostossa toimiva tunnistusvälityspalvelun tarjoaja, joka tarjoaa vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle, joka on määritelty Laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 533/2016 kohdassa 2.2 §). http://www.finlex.fi/fi/laki/ajantasa/2009/20090617

Signicatin palvelun avulla verkkopalvelut voivat tarjota asiakkailleen useita eri tunnistustapoja yhdellä teknisellä rajapinnalla ja yhdellä sopimuksella. Signicatin palvelun piiriin kuuluvat kaikki Pohjoismaiset vahvat tunnisteet, eli mm. kaikki Suomalaiset Tupas-tunnistautumista tarjoavat verkkopankit.

Signicat AS:n pääkonttori on Norjassa, ja sillä on myyntiorganisaatiot Suomessa, Ruotsissa, Tanskassa, Hollannissa ja Yhdistyneessä Kuningaskunnassa. Signicat on toiminut vuodesta 2006 lähtien ja se välittää vuosittain yli 100 miljoonaa tunnistustapahtumaa. Suomalaisille asiakkaille Signicat on toimittanut palvelua vuodesta 2008 lähtien. Suomen toimipiste avattiin 2013, jossa työskentelee tällä hetkellä kolme henkilöä. Yhteystiedot www.signicat.fi

2) Keskeiset tiedot tarjottavista palveluista ja niiden hinnoista

Signicatin keskeisin palvelu Luottamusverkoston kannalta on tunnistuksen välityspalvelu (Signicat Connect).

Signictin välityspalvelu on helposti liitettävä palvelu, joka laajentaa erilaisten asiointipalveluiden tunnistamispalvelua tuomalla helposti kaikki sähköiset tunnisteet saataville yhdellä sopimuksella ja yhdellä järjestelmäintegraatiolla.

Tunnistautuva asiakas ei maksa tunnistuksen välityspalvelun käytöstä, mutta Signicat veloittaa palvelun käytöstä asiakkailtaan (joita ovat verkkokaupat ja sähköiset asiointipalvelut). Palvelun hinnoittelu muodostuu kolmesta osatekijästä: Avausmaksu, kuukausimaksu, transaktiomaksu (laskutetaan kuukausittain). Signicat puolestaan maksaa tunnistusvälineen tarjoajille (mm. Tupas-verkkopankit) tunnistuspalveluiden käytöstä Laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (Jäljempänä Tunnistuslain) 533/2016 kohdan 12 a 3 § mukaisesti. http://www.finlex.fi/fi/laki/ajantasa/2009/20090617

Tunnistuslain mukaisen tunnistuksen välityspalvelun lisäksi Signicat tarjoaa palveluita erilaisten tunnistustapojen yhdistelyyn (Signicat Assure), dokumenttien sähköiseen allekirjoittamiseen (Signicat Sign), arkistointiin (Signicat Preserve) sekä identiteetinhallintaan (Signicat Identity).

Signicat Assuren osalta kyseessä ei ole tunnistuslain 17 §:n mukainen ensitunnistamistaminen.

Tarkemmat tuotekuvaukset löytyvät täältä: https://www.signicat.com/products/

3) Keskeiset tiedot sovellettavista ehdoista

Signicat noudattaa tunnistuspalvelujen tarjoajien kanssa solmimissaan  Luottamusverkostoyhteistyösopimuksissaan Viestintäviraston Käytännesääntöjä sekä sen liitteenä olevaa Tietosuojakäytännettä.

Asiakassopimuksissaan Signicat on huomioinut edellä mainittujen lisäksi Henkilötietolain, Tietosuoja-asetuksen sekä Tunnistuslain henkilötietoja käsittelevät säännökset.

4) Palveluun liittyvät tietosuojaperiaatteet

Signicat toimii tunnistustapahtumassa käsittelijänä EU:n tietosuojalainsäädännön mukaisesti. Signicat välittää asiointipalvelun ja tunnistusvälineen tarjoajan tunnistettavan kanssa tekemiin toimeksiantosopimuksiin perustuen tunnistetusta henkilöstä Viestintäviraston määräyksen 72 mukaisesti vähimmäistietoina henkilön yksilöivä tunnisteen (HETU), henkilön etunimen, henkilön sukunimen sekä henkilön syntymäajan (saadaan HETUN sisällöstä).

Tunnistusvälineen tarjoaja (esim. verkkopankki) palauttaa Signicatille tunnistetusta henkilöstä yllä mainitut tiedot. Signicat välittää tiedot sellaisinaan asiointipalvelulle. Signicat ei käsittele tunnistettavien henkilötietoja muuhun tarkoitukseen.

Signicat tallettaa yksittäisen tunnistustapahtuman todentamiseksi tarvittavat tiedot teknisiin lokitiedostoihin tunnistuslain 24 §:n mukaisesti. Lokitietoja säilytetään tunnistuslain 24§:ssä määritetyn ajan.

Tunnistuksessa tarvittavassa henkilötietojen välityksessä noudatetaan soveltuvaa henkilötietojen käsittelyä koskevaa lainsäädäntöä kuten henkilötietolakia, EU:n yleistä tietosuoja-asetusta, sekä tunnistuslakia  luottamusverkostossa tapahtuvaa henkilötietojen käsittelyä koskevaa sääntely.

Henkilötietojen käsittelyn turvallisuuden varmistaminen on toteutettu seuraavilla toimenpiteillä:

Tiedonsiirto

Kaikki tietoliikenne asiakasinfrastruktuurin ja Signicat-infrastruktuurin välillä on toteutettu web-services tekniikoilla. Viestien aitous, eheys ja luottamuksellisuus turvataan käyttämällä kaikkia seuraavia toimenpiteitä:

  • Tehostettu kaksisuuntainen SSL, asiakassovellusten todennus. Asiakassovelluksella on oma asiakassertifikaatti.
  • IP-suodatus. Vain asiakkaiden IP-osoitteet sallitaan, jotka voivat tehdä kutsuja verkkopalveluun. 
  • Käyttäjätunnus ja salasana (viestitaso). 
  • Asiakkaalla on oma käyttäjätunnus ja salasana.

Liiketoiminnan jatkuvuuden hallinta

Palvelun toimintavarmuuden ja saatavuuden varmistamiseksi Signicatilla on korkean saatavuuden (HA) ratkaisu. Vikasietoisuus on turvattu kahdella eri palvelimien sijainnilla, joilla on yli 4 kilometrin etäisyys toisistaan. Palvelinkeskukset on kytketty eri sähköverkkojen ja Internet-yhteyspisteiden piiriin.

Varmuuskopiointi (sovellus + data) otetaan päivittäin ja tallennetaan pois sivustolta samoilla turvallisuusvaatimuksilla kuin reaaliaikaiset tiedot.

Fyysinen ja looginen pääsynhallinta

Turvallisuusvaatimukset fyysiselle ja loogiselle pääsynvalvonnalle on kuvattu Tietoturva-asetuksissa, joka noudattaa Information Security Management System (ISMS) dokumentoitua prosessia ja on ISO 27 001 mukainen.

Avainhallinta

Turvallinen avainhallinta on keskeinen osa Signicatin operatiivista toimintaa. Käytämme avainhallintajärjestelmää, joka tarjoaa turvallisuushyödyt hienojakoisen pääsynhallinnan, tarkkailun kirjaamisen ja salatun tallennuksen kautta. Erityisiä turvallisuusvaatimuksia käyttävissä avaimissa Signicat käyttää HSM moduleja.

Protokolla ja API-tietoturva

Signicatin Connect-tuote (käytetään Luottamusverkoston tunnistusvälityspalveluna) tukee Viestintävirastonkin suosittelemia tunnistukseen käytettäviä protokollia:

  • SAML-protokollaan, jonka suojaus on "sisäänrakennettu".
  • OpenID Connect (OIDC)

Tietoturvaperiaatteet

Signicatin julkaistut tietoturvaperiaatteet löytyvät englanninkielisinä Signicatin www-sivustolta:

https://www.signicat.com/about/security-information/

5) Pääyhteistyökumppanit

Hosting-palvelut Signicat hankkii Basefarm AS-yritykseltä.

Signicat toimii yhteistyössä kansainvälisten isojen IT-yritysten kanssa kuten Tieto, Accenture, Salesforce ja Microsoft. Signicatin paikallisiin Pohjoismaisiin tärkeisiin yhteistyökumppaneihin lukeutuu mm.Vincit, Nixu, HiQ ja Knowit. Lisää kumppaniyhteistyöstä https://www.signicat.com/products/apps-integrations/

6) Tunnistuslain 29§ mukainen vaatimustenmukaisuuden arviointi

Nixu Certification Oy on arvioinut Signicatin palvelut 6-8/2017, johon liittyvä raportti on toimitettu Viestintävirastolle.  Vaatimustenmukaisuusauditointi tehdään kahden vuoden välein tai aiemmin, mikäli tunnistuksenvälityspalveluun tehdään merkittäviä muutoksia.

Viranomaisvalvonta

Suomen Tunnistuslain mukaista tunnistuksenvälityspalvelua valvova toimivaltainen viranomainen on Viestintävirasto. Tämän valvonnan piiriin kuuluvat vain Suomessa Luottamusverkostoon kuuluvat tunnistusvälineet.

  • No labels