Vaatimustenmukaisuus ja sertifiointi

Joonatan Henriksson

Joonatan Henriksson

Head of Digital Business

Olet sitten rakentamassa avaruusasemaa tai uutta digitaalista alustaa, joudut kummassakin tapauksessa osoittamaan, että rakentamisessa riskit on otettu huomioon hyvissä ajoin etukäteen, järjestelmään on rakennettu tietoturvan ja tietosuojan valvontamekanismit ja käytön aikana noudatetaan hyvin hallittuja prosesseja. Sertifiointipalvelumme auttavat osoittamaan, että kaikki on kunnossa.

Tarjoamme yhdessä itsenäisen tytäryhtiömme Nixu Certification Oy:n kanssa laajan valikoiman tietoturvallisuuden ja yksityisyydensuojan palveluja. Osaavalla henkilöstöllämme on kokemusta haastavista tietoturvan hallintatehtävistä sekä teknisestä auditoinnista, joten auditoinnin lisäksi pystymme kertomaan, mitä mahdollisten havaintojen kuntoon saattamiseksi kannattaa tehdä.

Yhteistyössä paikallisten ja globaalien organisaation kanssa luomme eri toimialoille parhaita tietoturvakäytäntöjä sekä auditointivaatimuksia. Esimerkiksi EU-SEC ohjelmassa autamme luomaan yhteisiä auditointikriteeteristöjä pilvipalveluille.

Tietoturva-arviointiemme valikoimaan kuuluvat mm. ISO-/IEC-standardien mukaiset auditoinnit sekä pilvipalveluiden, maksujärjestelmien, identiteetin varmistuksen ja autojärjestelmien auditoinnit:

  • ISO/IEC 27001
  • ISO/IEC 27017
  • ISO/IEC 27018
  • KATAKRI
  • Mirrorlink -järjestelmät
  • PCI preparation -palvelut
  • PCI PA-DSS -palvelut
  • PCI 3DS 

 

Tarvitsetko tietoturvasertifikaattia?

Lue lisää Nixu Certification Oy:n sivuilta

Palvelut

Jatkuva tietosuojatuki

Tarjoamme tietosuoja-asiantuntijat organisaatiosi tietosuojakäytäntöjen kehittämiseen ja ylläpitoon. Tietosuojan asiantuntijapalvelumme kattaa vuosikelloon kirjatut tehtävät, työn ohessa nousevat käytännön kysymykset sekä yllättävät kriisitilanteet. Jatkuva asiantuntijapalvelumme tarjoaa asiantuntemusta päivittäiseen tietosuojatyöhön, vankkaa tukea kriisitilanteisiin ja tarkoituksenmukaisesti hallinnoidun tietosuojaohjelman. Palvelua johtaa nimetty tietosuoja-asiantuntija tukenaan kattava tiimi tietoturvan, teknologian, pääsyn- ja identiteetinhallinan ja juridiikan asiantuntijoita.

Tietoturvatasot ja ICT-varautuminen - VAHTI

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa velvoittaa viranomaisen tietojenkäsittelyn vastaamaan tietoturvallisuuden perustason vaatimuksia. Tietoturvatasot ovat työkaluja, joilla vastataan tietoturva-asetuksen vaatimuksiin. Valtionhallinnon tulee ulottaa vaatimukset myös palveluntarjoajiin. Teemme valtionhallinnon toimijoille tietoturvallisuuden tilan arviointeja, toimenpidesuunnitelmia tavoitetilaan pääsemiseksi ja konsultoimme yksittäisiin vaatimuksiin vastaamisessa. Yrityksiä autamme liittämään tietoturvatasojen vaatimukset osaksi vaatimustenmukaisuuden hallintaa.

Tietosuojavastaava (DPO) palveluna

Tietosuojavastaavapalvelumme varmistaa, että organisaatiosi nimetyllä tietosuojavastaavalla on laaja juridinen, tekninen ja johtamisosaaminen. Organisaatiollesi nimetään Nixulta tietosuojavastaava, jonka tukena on eri osa-alueiden erityisosaajien ammattitaitoinen tiimimme. Tiimi takaa tietosuojaosaamisen saatavuuden myös lomakausien ja muiden poikkeustilanteiden aikana. Tietosuojavastaava hoitaa ja koordinoi asiantuntijana ei-operatiivisia tietosuoja-asetuksesta juontuvia tehtäviä, kuten yhteydenpidon viranomaisiin, tietosuojakoulutukset, asiantuntevan neuvonnan vaikutustenarviointeja tehtäessä, osoitusvelvollisuutta toteuttavan dokumentaation tarkastelut ja tietosuojaloukkausten hallinnan. Tietosuojavastaavapalvelumme on aina ajan tasalla tietosuojalainsäädännön kanssa ja varmistaa, että organisaatiosi tietosuojan ohjausryhmässä käsitellään tarpeelliset aiheet.

Lue lisää

Tietosuojaa koskeva vaikutustenarviointi - DPIA

Asiantuntijamme tukevat tietosuojaa koskevan vaikutustenarvioinnin tekemisessä. Takaamme luotettavan ja todennetun GDPR:n mukaisen riskien hallintaprosessin, joka kattaa sekä tekniset että juridiset tietosuojanäkökulmat. Menetelmämme koostuu käyttötapaus- ja prosessityöpajoista. Niihin kuuluu teknisten ja juridisten seikkojen tarkastelu, mahdollisten tietovuokaavioiden laatiminen tietojen käsittelyn kuvaamiseksi, kokonaisvaltainen riskinarviointi eri näkökulmista sekä kattava raportti tehdystä arvioinnista. Vaikutustenarvioinnin tulokset raportoidaan järjestelmällisesti. Raportti sisältää kattavan kuvauksen käsittelystä ja mahdolliset tietovuokaaviot, asiantuntijoidemme arviot käsittelyn välttämättömyydestä ja oikeasuhteisuudesta, asetuksessa vaadittu ja kattava yksilöön kohdistuvien riskin arviointi sekä oikeudelliset, tekniset ja organisatoriset toimenpiteet riskin korjaamiseksi. Tuotettu vaikutustenarviointiraportti toimii myös todisteena viranomaisille ja kumppaneille tietosuoja-asetuksen vaatimuksiin vastaamisesta.

PCI Preparation -palvelu

PCI Preparation -palvelu on PCI-vaatimusten noudattamisen ensimmäinen askel. Koulutamme henkilöstön ymmärtämään, mitä PCI-standardit ja niihin liittyvät vaatimukset tarkoittavat, teemme gap-analyysin ja laadimme suunnitelman vaatimustenmukaisuuden toteuttamista varten. PCI Preparation -palvelu sopii erityisesti organisaatioille, jotka aikovat ryhtyä valmistelemaan vaatimustenmukaisuuden toteuttamista, mutta joilta puuttuu tieto siitä, miten työ pitäisi aloittaa.

Alihankkijoiden tietoturvatarkastus

Yhteistyökumppaneilla on usein olennainen vaikutus siihen, miten organisaatio suoriutuu tehtävistään. Sopimuksissa saatetaan asettaa yhteistyökumppaneille tietoturvaa koskevia vaatimuksia, mutta vaatimusten toteutuminen saattaa jättää toivomisen varaa. Alihankkijoiden tietoturvatarkastus on palvelu, jonka avulla asiakkaamme voivat varmistaa, ettei yhteistyökumppaneiden tai alihankkijoiden tietoturvan taso muodosta tarpeettomia riskejä ja että tietoturvaa koskevia sopimusvelvoitteita noudatetaan. Yhteistyökumppaneiden tietoturvahallinto on kunnossa ja se noudattaa alan parhaita käytäntöjä.

PCI PA-DSS -palvelut

Nixun PCI PA-DSS -palvelut on tarkoitettu maksusovelluksia kehittäville ohjelmistotoimittajille. Autamme validointiin valmistautumisessa, vaatimustenvastaisuuksien korjaamisessa sekä suoritamme varsinaisen validoinnin. Validoinnin tuloksena laaditaan määrämuotoinen validointia koskeva raportti ja validointitodistus ja maksusovellus lisätään PCI Councilin verkkosivustolle.

  • White paper: GDPR and reporting obligation in data security breach
  • Joonatan Henriksson

    Joonatan Henriksson

    Head of Digital Business

Blogeja