Askeleen tuotteistettujen integraatioiden tietoturva- ja tietosuojalausunto sekä palveluehdot

Palveluehdot

Ajantasaiset palveluehdot löydät täältä.

Tietosuojalausunto

Tässä tietosuojalausunnossa kerromme, miten henkilötietoja käsitellään tuotteistetuissa integraatioissamme.

Sitoudumme käsittelemään asiakkaidemme arvokkaita ja luottamuksellisia henkilötietoja vastuullisesti kaikessa toiminnassamme.

Käsittelemme henkilötietoja noudattaen Suomen tietosuojalakia (1050/2018, muutoksineen), Euroopan Unionin yleistä tietosuoja-asetusta (EU 2016/679, muutoksineen, "GDPR") sekä muuta soveltuvaa kansallista ja EU:n laajuista tietosuojalainsäädäntöä. Seuraamme myös toimivaltaisten tietosuojaviranomaisten ohjeita ja päätöksiä.

Määritelmät

• Asiakkaalla tarkoitetaan henkilöä, joka ostaa palveluitamme.
• Henkilötieto on kaikki tieto, jonka perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti. Tässä lausunnossa selvennetään, millaisia henkilötietoja käsittelemme tuotteistetuissa integraatioissamme.
• Palveluilla viitataan kaikkiin Askele Oy:n tarjoamiin tuotteistettuihin integraatioihimme, kuten Askele Insights -sovellukseen ja HubSpot-Severa-integraatioon.

Henkilötietojen käsittely

Käsittelemme henkilötietoja palveluiden yhteydessä henkilötietojen käsittelijän roolissa, asiakasyrityksemme toimiessa rekisterinpitäjänä.

Askele Oy vastaa rekisterinpitäjänä niiden henkilötietojen käsittelystä, jotka liittyvät asiakkuuksiin ja sopimussuhteisiin.

Palvelut käsittelevät asiakkaan yritysjärjestelmien henkilötietoja rajapintojen kautta asiakkaan valtuutuksella.

Käsitellyt henkilötietotyypit

Kaikki tuotteistetut integraatiot

• Asiakkuuteen ja sopimussuhteeseen liittyvät tilaaja- ja käyttäjätiedot
• Asiakkaan yritysjärjestelmien (toiminnanohjausjärjestelmä ja/tai CRM) käyttäjien henkilökohtaiset tiedot, kuten etunimi, sukunimi, sähköpostiosoite, puhelinnumero, maa, kieli, tekninen tunniste.

Askele Insights Hours

• Asiakkaan toiminnanohjausjärjestelmän käyttäjien sensitiiviset tiedot kuten poissaolon tyyppi, päiväys ja kesto.

HubSpot-Severa

• Asiakkaan HubSpotin ja Severan yhteyshenkilöiden henkilökohtaiset tiedot kuten etunimi, sukunimi, sähköpostiosoite, puhelinnumero, titteli, tekninen id.
• Asiakkaan HubSpotin ja Severan yritysten nimi ja Y-tunnus (jos yritys on yksityinen elinkeinonharjoittaja)

Henkilötietojen käsittelyperusteet

Käsittelemme henkilötietoja alla oleviin käyttötarkoituksiin palveluissamme:

Sopimussuhde ja palveluiden tuottaminen

Käsittelemme henkilötietoja palveluiden tarjoamiseksi ja sopimuksen täyttämiseksi. Tämä kattaa esimerkiksi

• palvelun tuottamisen ja toimittamisen
• vikojen ja virheiden havaitsemisen ja korjaamisen
• viestinnän
• asiakas- ja sopimussuhteen hallinnan

Lakisääteiset velvoitteet

Käsittelemme henkilötietoja lakisääteisten velvoitteiden hoitamiseksi kuten kirjanpito- ja viranomaistarkoituksiin.

Suostumus

Voimme käsitellä henkilötietoja niihin käyttötarkoituksiin, joihin henkilö on antanut nimenomaisen suostumuksensa.

Oikeutettu etu

Käsittelemme henkilötietoja oikeutetun edun perusteella, kun käsittely on tarpeen esimerkiksi palvelun kehittämiseksi, laadunvalvontaan tai väärinkäytösten estämiseksi, eikä käsittely vaaranna rekisteröidyn oikeuksia tai vapauksia.

Henkilötietojen turvaaminen

Tietoturva sekä asiakastietojen suojaaminen ovat meille ensisijaisen tärkeitä tavoitteita, ja sitoudumme varmistamaan henkilötietojen käytettävyyden, saatavuuden, eheyden ja turvallisuuden. Toteutamme tarkoituksenmukaisia menettelytapoja henkilötietojen käsittelyn suojaamiseksi sekä estääksemme ja havaitaksemme ulkopuolisten luvattomat pääsyt ja tietojen katoamisen.

Käytännössä tämä tarkoittaa esimerkiksi seuraavia toimenpiteitä:

• Kaikki palvelun ja asiakkaan järjestelmän välinen liikenne on suojattu TLS-salauksella.
• Tietokantaan tallennetut tiedot salataan vahvalla AES-256-bittisellä salauksella.
• Käytämme monivaiheista tunnistautumista tekniseen ympäristöön pääsyssä.
• Noudatamme vähimmän oikeuden periaatetta käyttöoikeuksien hallinnassa.
• Palvelun tietoturvaa auditoidaan säännöllisesti.
• Ohjelmistojen ja verkkokomponenttien versiot pidetään ajan tasalla mahdollisten haavoittuvuuksien minimoimiseksi.
• Pääsy tekniseen kehitysympäristöön ja lokitietoihin on rajattu vain niille henkilöille, jotka niitä työssään tarvitsevat.

Toimimme systemaattisesti asiakkaidemme oikeuksien turvaamiseksi ja huolehdimme henkilöstön, tietojen, tietojärjestelmien sekä toimitilojen turvallisuudesta. Kiinnitämme erityistä huomiota henkilötietojen suojeluun kaikissa prosesseissamme.

Tietoturvatoimenpiteiden suunnittelussa huomioimme henkilötietojen käsittelyyn liittyvät riskit yksityisyydensuojalle ja liiketoiminnalle, teknologian tarjoamat mahdollisuudet sekä keskeiset uhat. Toimintamme perustuu soveltuvaan lainsäädäntöön, viranomaismääräyksiin ja sopimusvelvoitteisiin.

Henkilötietojen luovuttaminen kolmansille osapuolille

Voimme luovuttaa henkilötietoja voimassa olevan lain edellyttämissä ja sallimissa tilanteissa, kuten viranomaispyynnöstä, oikeuskäsittelyissä tai liiketoimintajärjestelyiden yhteydessä.

Lisäksi voimme luovuttaa henkilötietoja Askeleen puolesta toimiville alihankkijoille, jotka käsittelevät henkilötietoja antamamme toimeksiannon perusteella. Käyttäessämme alihankkijoita huolehdimme asianmukaisella tavalla siitä, että henkilötietojen käsittely tapahtuu palvelusopimuksen ja tietosuojalausunnon mukaisesti. Tässä tarkoitettuja alihankkijoita ovat mm. sovelluskehityskumppanit tai IT-palveluntarjoajat.

Kaikki tuotteistetut integraatiomme ylläpidetään Microsoft Azuren Länsi- ja Pohjois-Euroopan konesaleissa, jolloin tiedot pysyvät EU:n alueella.

Askele Insights käyttää sähköpostien lähettämiseen Twilio SendGrid -palvelua, jolloin asiakkaan toiminnanohjausjärjestelmän käyttäjien henkilötietoja voidaan siirtää myös EU:n ulkopuolelle. SendGrid on GDPR-yhteensopiva toimittaja.

Henkilötietojen säilytys

Henkilötietoja säilytetään vain niin kauan kuin niiden käyttö on tarpeellista palvelusopimuksessa ja tietosuojalausunnossa määriteltyihin tarkoituksiin, ellei laki edellytä pidempää säilytystä. Vanhentuneet tai tarpeettomat tiedot poistetaan.

Sopimussuhteen aikana kerättyjä tietoja säilytämme sopimuksen voimassaolon ajan tai niin pitkään kuin palvelun tarjoaminen vaatii. Kun sopimus tai palvelu päättyy, henkilötietoja säilytetään edelleen tarvittaessa esimerkiksi keskeneräisten asioiden, laskutuksen tai reklamaatioiden vuoksi, yleensä enintään puoli vuotta sopimuksen tai palvelun päättymisestä.

Lain määräämissä tapauksissa tietoja voidaan käsitellä ja säilyttää niin pitkään kuin lainsäädäntö velvoittaa. Esimerkiksi kirjanpito- ja rahanpesulainsäädäntö voivat edellyttää henkilötietojen säilyttämistä 5–6 vuoden ajan.

Rekisteröidyn oikeudet

Palvelusopimuksen sopija osapuolena sinulla on seuraavat rekisteröidyn oikeudet:

• saada tietoa henkilötietojensa käsittelystä
• saada tutustua tietoihin
  oikaista tietoja
• poistaa tiedot ja tulla unohdetuksi
• rajoittaa tietojen käsittelyä
• siirtää tiedot järjestelmästä toiseen
• vastustaa tietojen käsittelyä
• olla joutumatta automaattisen päätöksenteon kohteeksi

Mikäli koet, että Askele Oy on menetellyt tietosuojalausunnon tai voimassa olevan lainsäädännön vastaisesti, sinulla on oikeus tehdä asiasta reklamaatio. Lisäksi voit tarvittaessa saattaa asian tietosuojavaltuutetun toimistoon, joka valvoo henkilötietojen käsittelyn lainmukaisuutta.

Muutokset

Päivitämme Tietosuojalausuntoa tarvittaessa toimintamme ja Palveluidemme kehittymisen myötä.

Yhteystiedot

Henkilötietojen käsittelyyn tai Tietosuojalausuntoon liittyvät kysymykset sekä henkilötietojen käsittelyyn liittyvät reklamaatiot tai oikeuksien käyttämistä koskevat pyynnöt:

Askele Oy
Brahenkatu 4
53100 Lappeenranta

Y-tunnus 2645207-2

Tietosuojavastaava: security@askele.fi
Asiakaspalvelu: support@askele.fi

Tietoturvalausunto

Tässä tietoturvalausunnossa kerromme, miten tietoturvaa toteutetaan tuotteistetuissa integraatioissamme.

Tietoturva on toimintamme keskiössä. Ymmärrämme sen merkityksen asiakkaillemme ja haluamme varmistaa, että asiakkaan tiedot pysyvät turvassa kaikissa palvelun vaiheissa. Käsittelemme asiakkaan tietoja vastuullisesti ja asianmukaisesti, ja olemme sitoutuneet ylläpitämään tietoturvaa voimassa olevien lakien ja asetusten mukaisesti.

Tietoturva tarkoittaa kaikkien tietojen, riippumatta niiden muodosta, turvallista käsittelyä. Tietoturva kattaa tietojen luottamuksellisuuden, eheyden ja käytettävyyden, ja siihen kuuluu sekä hallinnollisia että teknisiä toimenpiteitä. Tietoturvaa ylläpidetään ennakoivasti ja sen toteutumista seurataan aktiivisesti.

Tuotteistetuissa integraatioissamme tietoturvaa vahvistetaan konkreettisilla teknisillä ratkaisuilla. Kaikki palvelun ja asiakkaan järjestelmän välinen liikenne on suojattu TLS-salauksella, ja tietokantaan tallennetut tiedot salataan vahvalla AES-256-bittisellä salauksella. Käytämme monivaiheista tunnistautumista tekniseen ympäristöön pääsyssä sekä noudatamme vähimmän oikeuden periaatetta käyttöoikeuksien hallinnassa. Palvelun tietoturvaa auditoidaan säännöllisesti, ja ohjelmistojen sekä verkkokomponenttien versiot pidetään ajan tasalla mahdollisten haavoittuvuuksien minimoimiseksi.

Asiakkaalle tämä tarkoittaa, että hänen tietonsa ovat suojattuja joka vaiheessa – aina tiedon siirrosta tallennukseen ja käyttöön asti.

Tekninen ympäristö

Tuotteistetut integraatiomme sijaitsevat Microsoft Azure -pilvipalvelussa, Länsi- ja Pohjois-Euroopan konesaleissa. Microsoft Azure -pilvipalvelu on GDPR-yhteensopiva ja ISO-sertifioitu.

Hyödynnämme Microsoft Azure -pilvipalvelun tarjoamia sisäänrakennettuja tietoturvaominaisuuksia, kuten palomuureja, uhkien tunnistusjärjestelmiä ja automaattisia tietoturvapäivityksiä. Kaikki palvelun hakema ja lähettämä tieto on suojattu TLS-salausprotokollalla, ja tietokantaan tallennetut tiedot salataan vahvalla AES-256-bittisellä salauksella.

Tiedot asiakkaan järjestelmistä haetaan järjestelmien tarjoamien REST API -rajapinnan kautta. Tallennamme tietoja vain silloin, kun se on välttämätöntä palvelun toiminnallisuuden kannalta, esimerkiksi käyttäjän tunnistamiseen tai raportointiin liittyen. Silloinkin tallennamme ensisijaisesti teknisiä tunnisteita ja aggregoitua tietoa, jotta minimoimme henkilötietojen käsittelyn.

Huolehdimme käyttöjärjestelmien, ohjelmistojen ja verkkokomponenttien versioiden ajantasaisuudesta, mikä auttaa vähentämään tietoturvahaavoittuvuuksia.

Pääsy tekniseen kehitysympäristöön on rajattu, ja käyttöoikeuksien hallinnassa noudatamme vähimpien oikeuksien periaatetta (Principle of least privilege).

Kehitysprosessi

Olemme sisällyttäneet tietosuojaan ja turvallisuuteen liittyvät toimenpiteet ohjelmistokehitysprosessiimme. Turvallisuus huomioidaan sovelluskehitysvaiheessa, ja tietosuojaa kehitetään jatkuvasti riskien mukaisesti sekä kustannustehokkailla ratkaisuilla. Noudatamme tietojen käsittelyssä Suomen tietosuojalakia ja EU:n yleistä tietosuoja-asetusta (GDPR). Ohjelmistokehityskumppanimme ovat myös sopimuksellisesti sitoutuneet noudattamaan Askeleen määrittelemiä korkean turvallisuustason vaatimuksia.

Käytön seuranta

Keräämme sovellusten käytöstä seuraavia lokitietoja palvelun laadun, turvallisuuden ja kehityksen varmistamiseksi:

• Virhelokit: Tallentavat sovelluksessa tapahtuneet virheet ja poikkeukset.
• Suorituskykylokit: Seuraavat sovelluksen vasteaikoja, resurssien käyttöä ja muita suorituskykyyn liittyviä tietoja.
• Käyttölokit: Kirjaavat käyttäjien toiminnot ja palvelun käyttömäärät.
• Sähköpostilokit: Tallentavat tiedot palvelun lähettämistä ja vastaanottamista sähköposteista sekä mahdollisista virheistä.
• Integraatiolokit: Kirjaavat tiedonsiirrot ja tapahtumat eri järjestelmien välillä (esim. REST API -kutsut).
• Turvallisuusloki: Seuraa kirjautumisia, tunnistautumisia ja mahdollisia tietoturvapoikkeamia.
• Infrastruktuurilokit: Sisältävät esimerkiksi pilvipalvelun (Azure) tarjoamat palomuurilokit ja muut teknisen ympäristön tapahtumat.

Pääsy kaikkiin lokeihin on rajattu vain tuotekehitystiimille. Lokitietoja käytetään ainoastaan palvelun ylläpitoon, kehitykseen ja tietoturvan varmistamiseen.

Kumppanit ja toimittajat

Tukeudumme palvelun tuottamisessa luotettaviin kumppaneihin ja toimittajiin. Varmistamme sopimuksellisesti, että luottamuksellisuus ja korkean tietoturvan taso toteutuu yhteistyössämme.

Kumppanimme

Adafy Oy, Y-tunnus: 2480016-8

Toimittajamme

Yhteystiedot

Jos sinulla on kysyttävää tai huolenaiheita tietoturvaan liittyen, tai haluat saada yksityiskohtaista tietoa tietoturvatoimenpiteistämme, voit ottaa meihin yhteyttä sähköpostitse osoitteeseen security@askele.fi. Sähköpostiosoitteeseen lähetetyt viestit käsittelee Askeleen tietoturvatiimi luottamuksellisesti. Otamme kaikki tietoturvaan liittyvät yhteydenotot vakavasti ja pyrimme vastaamaan niihin mahdollisimman nopeasti.