TURVALLISUUS VIRRALLA

Virran julkisesti saatavilla olevat asiakasjärjestelmät kehitetään Virran sisäisten ohjeiden mukaisesti, mukaan lukien turvallisuusvaatimukset. Sovelluskehityksessä käytetään referenssinä OWASP ASVS:ää, ja kehittäjille tarjotaan turvallista kehityskoulutusta. Kaikki muutokset tarkistetaan ennen käyttöönottoa ja testataan testiympäristössä ennen tuotantokäyttöön ottamista. Kaikki koodiin tehdyt muutokset voidaan jäljittää, ja muutoksista on olemassa täydellinen kirjausketju.

Virta tekee säännöllisesti haavoittuvuusskannauksia, tietoturva-arviointeja ja tunkeutumistestejä. Haavoittuvuusskannaukset suoritetaan automaattisesti viikoittain, ja riippumattomat tietoturvayhtiöt tekevät säännöllisesti perusteellisia tunkeutumistestejä julkisia rajapintoja vastaan. Kaikki havaitut ongelmat analysoidaan ja asianmukaiset korjaukset ja lieventämistoimet otetaan käyttöön.

Julkisesti saatavilla olevia sovelluksia ja rajapintoja isännöidään Amazon AWS:ssä, ja pääsy näihin järjestelmiin on tiukasti rajoitettu nimettyihin ja hyväksyttyihin henkilöihin. AWS tarjoaa palveluillemme korkean luotettavuuden ja skaalautuvuuden. Kaikki salaisuudet (avaimet, palvelun salasanat ja vastaavat tiedot) tallennetaan salatussa muodossa. Käytössä on ainoastaan alan standardien mukaisia salausratkaisuja.

Asiakastietojen turvallisuus on meille ensisijainen tavoite. Kiinnitämme siihen paljon huomiota kehitysvaiheessa, mutta joskus virheet ja haavoittuvuudet saattavat jäädä huomaamatta. Jos uskot löytäneesi haavoittuvuuden tai tietoturva-aukon järjestelmissämme, olisimme kiitollisia, jos ilmoittaisit siitä meille mahdollisimman pian. Tämä auttaa meitä lieventämään sitä nopeasti, jotta voimme suojata järjestelmäämme tallennetut tiedot.

Jos haluat lisätietoja tai ilmoittaa mahdollisesta tietoturvaongelmasta, voit ottaa yhteyttä tietoturvaryhmäämme sähköpostitse osoitteeseen responsible-disclosure@virta.global.

Kunnioita yksityisyyttä. Pyri hyvässä uskossa olemaan käyttämättä tai tuhoamatta toisen käyttäjän tietoja ilmoittaessasi tai todentaessasi havaintojasi. Älä koskaan tahdon-käytä muita hyväksi ilman heidän lupaansa.

Asiakas- ja käyttäjätiedot tallennetaan EU:ssa. Verkkopalvelut ja tietokannat tallennetaan Amazon AWS-pilven EU-alueille. Pääsy näihin resursseihin on tiukasti rajoitettu tiettyyn henkilöstöön, jolla on suora liiketoiminnallinen tarve päästä niihin käsiksi. Kaikki käyttöoikeudet haetaan ja myönnetään ainoastaan validoitujen liiketoimintatarpeiden perusteella, jotka dokumentoidaan erillisellä työkalulla, ja käyttöoikeudet tarkistetaan vuosittain.

Virta kerää vain sellaisia PII-tietoja (henkilökohtaisesti tunnistettavia tietoja), jotka ovat välttämättömiä palvelujen tarjoamiseksi. Kerättyjä tietoja säilytetään niin kauan kuin niille on perusteltu tarve. Virta on ottanut käyttöön tietosuojaohjeet, mukaan lukien sisäinen koulutus henkilöstölle, jolla on pääsy asiakastietoihin, sisäinen tietosuojakäsikirja ja ilmoituskäytännöt.

Lisätietoja rekisteröidyistä oikeuksista ja muista tietosuojaan liittyvistä yksityiskohdista on Virran tietosuojaselosteessa.

Kaikki Virta-palvelut toimivat nykyaikaisissa, suojatuissa ja skaalautuvissa pilvipalveluissa, joilla on erilaisia sertifiointeja, kuten ISO 27001:2013, SOC 2 ja muita vastaavia (täydellinen luettelo löytyy täältä: https://aws.amazon.com/compliance/programs/). Järjestelmät eivät ole riippuvaisia yhdestä datakeskuksesta. Automaattisen käyttöönottoputken ansiosta tuotantoympäristössä on aina uusimmat tietoturvakorjaukset asennettuina, ja kaikkia poikkeamia seurataan jatkuvilla haavoittuvuusskannauksilla.

PCI-DSS-sertifioitu yhteistyökumppanimme Payment Highway käsittelee ja tallentaa maksukorttitiedot (luotto-/pankkikortti).