Vaatimustenmukaisuus ja sertifiointi

Joonatan Henriksson

Joonatan Henriksson

Head of Digital Business

Olet sitten rakentamassa avaruusasemaa tai uutta digitaalista alustaa, joudut kummassakin tapauksessa osoittamaan, että rakentamisessa riskit on otettu huomioon hyvissä ajoin etukäteen, järjestelmään on rakennettu tietoturvan ja tietosuojan valvontamekanismit ja käytön aikana noudatetaan hyvin hallittuja prosesseja. Sertifiointipalvelumme auttavat osoittamaan, että kaikki on kunnossa.

Tarjoamme yhdessä itsenäisen tytäryhtiömme Nixu Certification Oy:n kanssa laajan valikoiman tietoturvallisuuden ja yksityisyydensuojan palveluja. Osaavalla henkilöstöllämme on kokemusta haastavista tietoturvan hallintatehtävistä sekä teknisestä auditoinnista, joten auditoinnin lisäksi pystymme kertomaan, mitä mahdollisten havaintojen kuntoon saattamiseksi kannattaa tehdä.

Yhteistyössä paikallisten ja globaalien organisaation kanssa luomme eri toimialoille parhaita tietoturvakäytäntöjä sekä auditointivaatimuksia. Esimerkiksi EU-SEC ohjelmassa autamme luomaan yhteisiä auditointikriteeteristöjä pilvipalveluille.

Tietoturva-arviointiemme valikoimaan kuuluvat mm. ISO-/IEC-standardien mukaiset auditoinnit sekä pilvipalveluiden, maksujärjestelmien, identiteetin varmistuksen ja autojärjestelmien auditoinnit:

  • ISO/IEC 27001
  • ISO/IEC 27017
  • ISO/IEC 27018
  • KATAKRI
  • Mirrorlink -järjestelmät
  • PCI preparation -palvelut
  • PCI PA-DSS -palvelut
  • PCI 3DS 

 

Tarvitsetko tietoturvasertifikaattia?

Lue lisää Nixu Certification Oy:n sivuilta

Palvelut

Jatkuva tietosuojatuki

Tarjoamme tietosuoja-asiantuntijat organisaatiosi tietosuojakäytäntöjen kehittämiseen ja ylläpitoon. Tietosuojan asiantuntijapalvelumme kattaa niin vuosikelloon kirjatut tehtävät, päivittäisen työn ohessa nousevat käytännön kysymykset kuin yllättävät kriisitilanteetkin ja tarjoaa asiantuntemusta jatkuvaan tietosuojan kehitysohjelman suunnitteluun ja läpivientiin organisaatiossasi. Palvelua johtaa nimetty tietosuoja-asiantuntija tukenaan kattava tiimi tietoturvan, teknologian, pääsyn- ja identiteetinhallinan ja juridiikan asiantuntijoita Nixulta. Jatkuva tietosuojatuki skaalautuu kaikenkokoisille organisaatioille ja räätälöidään tarpeidesi mukaan. 

Tietosuojavastaava (DPO) palveluna

Tietosuojavastaavapalvelumme varmistaa, että organisaatiosi saa laajaa juridista, teknistä ja johtamisosaamista tietosuojan osalta. Organisaatiollesi nimetään Nixulta tietosuojavastaava, jonka tukena on eri osa-alueiden erityisosaajien ammattitaitoinen tiimimme. Tietosuojavastaava hoitaa ja koordinoi asiantuntijana tietosuoja-asetuksesta juontuvia tehtäviä, kuten tietosuojakoulutusten järjestämisen, asiantuntevan neuvonnan vaikutustenarviointeja tehtäessä, osoitusvelvollisuutta toteuttavan dokumentaation tarkastelut, tietosuojaloukkausten selvitystyön hallinnan ja yhteydenpidon viranomaisiin. Tietosuojavastaavapalvelumme on aina ajan tasalla tietosuojalainsäädännön kanssa ja varmistaa, että organisaatiosi tietosuojan ohjausryhmässä käsitellään tarpeelliset aiheet.

Lue lisää

Tietosuojaa koskeva vaikutustenarviointi - DPIA

Asiantuntijamme tukevat tietosuojaa koskevan vaikutustenarvioinnin tekemisessä. Takaamme luotettavan ja todennetun GDPR:n mukaisen riskien hallintaprosessin, joka kattaa sekä tekniset että juridiset tietosuojanäkökulmat. Menetelmämme koostuu käyttötapaus- ja prosessityöpajoista. Niihin kuuluu teknisten ja juridisten seikkojen tarkastelu, mahdollisten tietovuokaavioiden laatiminen tietojen käsittelyn kuvaamiseksi, kokonaisvaltainen riskinarviointi eri näkökulmista sekä kattava raportti tehdystä arvioinnista. Vaikutustenarvioinnin tulokset raportoidaan järjestelmällisesti. Raportti sisältää kattavan kuvauksen käsittelystä ja mahdolliset tietovuokaaviot, asiantuntijoidemme arviot käsittelyn välttämättömyydestä ja oikeasuhteisuudesta, asetuksessa vaadittu ja kattava yksilöön kohdistuvien riskin arviointi sekä oikeudelliset, tekniset ja organisatoriset toimenpiteet riskin korjaamiseksi. Tuotettu vaikutustenarviointiraportti toimii myös todisteena viranomaisille ja kumppaneille tietosuoja-asetuksen vaatimuksiin vastaamisesta.

Tietoturvatasot ja ICT-varautuminen - VAHTI

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa velvoittaa viranomaisen tietojenkäsittelyn vastaamaan tietoturvallisuuden perustason vaatimuksia. Tietoturvatasot ovat työkaluja, joilla vastataan tietoturva-asetuksen vaatimuksiin. Valtionhallinnon tulee ulottaa vaatimukset myös palveluntarjoajiin. Teemme valtionhallinnon toimijoille tietoturvallisuuden tilan arviointeja, toimenpidesuunnitelmia tavoitetilaan pääsemiseksi ja konsultoimme yksittäisiin vaatimuksiin vastaamisessa. Yrityksiä autamme liittämään tietoturvatasojen vaatimukset osaksi vaatimustenmukaisuuden hallintaa.

PCI Preparation -palvelu

PCI Preparation -palvelu on PCI-vaatimusten noudattamisen ensimmäinen askel. Koulutamme henkilöstön ymmärtämään, mitä PCI-standardit ja niihin liittyvät vaatimukset tarkoittavat, teemme gap-analyysin ja laadimme suunnitelman vaatimustenmukaisuuden toteuttamista varten. PCI Preparation -palvelu sopii erityisesti organisaatioille, jotka aikovat ryhtyä valmistelemaan vaatimustenmukaisuuden toteuttamista, mutta joilta puuttuu tieto siitä, miten työ pitäisi aloittaa.

PCI PA-DSS -palvelut

Nixun PCI PA-DSS -palvelut on tarkoitettu maksusovelluksia kehittäville ohjelmistotoimittajille. Autamme validointiin valmistautumisessa, vaatimustenvastaisuuksien korjaamisessa sekä suoritamme varsinaisen validoinnin. Validoinnin tuloksena laaditaan määrämuotoinen validointia koskeva raportti ja validointitodistus ja maksusovellus lisätään PCI Councilin verkkosivustolle.

Alihankkijoiden tietoturvatarkastus

Yhteistyökumppaneilla on usein olennainen vaikutus siihen, miten organisaatio suoriutuu tehtävistään. Sopimuksissa saatetaan asettaa yhteistyökumppaneille tietoturvaa koskevia vaatimuksia, mutta vaatimusten toteutuminen saattaa jättää toivomisen varaa. Alihankkijoiden tietoturvatarkastus on palvelu, jonka avulla asiakkaamme voivat varmistaa, ettei yhteistyökumppaneiden tai alihankkijoiden tietoturvan taso muodosta tarpeettomia riskejä ja että tietoturvaa koskevia sopimusvelvoitteita noudatetaan. Yhteistyökumppaneiden tietoturvahallinto on kunnossa ja se noudattaa alan parhaita käytäntöjä.

Blogeja