Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Mitä EU:n tietosuoja-asetus tarkoittaa sovellus...

Avatar for 2NS 2NS
February 13, 2017
Technology
0
100

Mitä EU:n tietosuoja-asetus tarkoittaa sovelluskehityksen tietoturvalle?

Avatar for 2NS

2NS

February 13, 2017
Tweet

More Decks by 2NS

See All by 2NS
Mitä talousjohtajan täytyy ymmärtää kyberturvasta?
Avatar for 2NS 2ns
0
41
Mitä GDPR tarkoittaa SaaS-palvelulle?
Avatar for 2NS 2ns
0
300
Sosiaalinen hakkerointi
Avatar for 2NS 2ns
0
140

Other Decks in Technology

See All in Technology
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
12k
AI駆動開発ライフサイクル(AI-DLC)の始め方
Avatar for ryansbcho79 ryansbcho79
0
300
チームで安全にClaude Codeを利用するためのプラクティス / team-claude-code-practices
Avatar for tomoki10 tomoki10
6
2.5k
技術選定、下から見るか?横から見るか?
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
180
あの夜、私たちは「人間」に戻った。 ── 災害ユートピア、贈与、そしてアジャイルの再構築 / 20260108 Hiromitsu Akiba
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
430
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
330
ルネサンス開発者を育てる 1on1支援AIエージェント
Avatar for Yusuke Shimizu yusukeshimizu
0
130
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
Avatar for Tomonori Fukuta chinmo
1
1.1k
「アウトプット脳からユーザー価値脳へ」がそんなに簡単にできたら苦労しない #RSGT2026
Avatar for Aki / @LoveIdahoBurger aki_iinuma
8
4k
コールドスタンバイ構成でCDは可能か
Avatar for 平目 hiramax
0
130
純粋なイミュータブルモデルを設計してからイベントソーシングと組み合わせるDeciderの実践方法の紹介 /Introducing Decider Pattern with Event Sourcing
Avatar for Tomohisa Takaoka tomohisa
1
640
テストセンター受験、オンライン受験、どっちなんだい?
Avatar for Yuuki Yamashita yama3133
0
200

Featured

See All Featured
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
51k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.1k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
0
84
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.1k
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
590
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
3.5k
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
9
35k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
110
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
100
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
92

Transcript

  1. 1

  2. 2

  3. • Rekisterinpitäjä = Taho, joka omistaa henkilörekisterin (esim. Yritys Oy)

    • Henkilötietojen käsittelijä = Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun (esim. CRM, jota Palvelu Oy tarjoaa) • Sovelluskehittäjä = Taho, joka kehittää sovelluksen käsittelijälle • Rekisterinpitäjä on aina vastuussa henkilötietojen turvallisuudesta • Rekisterinpitäjä välittää vaatimukset eteenpäin henkilötietojen käsittelijälle • Henkilötietojen käsittelijällä intressi edellyttää samoja vaatimuksia sovelluskehittäjältä 3

  4. 4

  5. • Vaatimukset sisäänrakennetusta tietoturvasta ja sovelluksen eri kontrolleista tulevat rekisterinpitäjältä

    • Rekisterinpitäjällä on velvollisuus velvoittaa tietojen käsittelijää toimimaan tietosuoja-asetuksen vaatimalla tavalla • Tietojenkäsittelijällä puolestaan intressi edellyttää sovellustoimittajan sovellukselta vaatimuksenmukaisuutta 5

  6. • Perusedellytys turvalliselle sovelluskehitykselle on uskottava sovelluskehitysprosessi, joka huomioi tietoturvan

    • Esim. Microsoftin SDL - https://www.microsoft.com/en-us/sdl/ • Sovellukselle tulee määritellä tietoturva- ja suojavaatimukset • Vaatimukset tehdään riskiarvioinnin perusteella – on arvioitava riskiä, joka rekisterissä olevaan henkilöön kohdistuu, kun: • Henkilön tietoja käsitellään • Tiedot joutuvat luvattomasti toisen tahon haltuun • Tietosuoja-asetus edellyttää sisäänrakennettua tietosuojaa (privacy by design) 6

  7. • Sovellukselle tulee tehdä vaikutusten arviointi • Tarkoituksena on selvittää

    rekisterissä oleville henkilöille aiheutuvat riskit • Kontrollit tulee suunnitella siten, että suurimpia riskejä kyetään kontrolloimaan riittävän hyvin 7

  8. • Anonymisointi – Yksilöitä ei voida erottaa toisistaan • Pseudonymisointi

    – Henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn • Anonymisoi tiedot aina kuin mahdollista – tällöin kyse ei enää ole henkilötiedoista • Huomioi kuitenkin, että järjestelmä käsittelee henkilötietoja, mikäli ne anonymisoidaan vasta palvelussa • Pyri pseudonymisoimaan tietoja • Nyrkkisääntö: Käsittele ja tallenna vain tietoa, joka on tarpeellista 8

  9. • Salaa henkilötiedot siirrettäessä (esim. HTTPS) • Tarvetta salata henkilötietoja

    tallennettaessa tulee analysoida • Esim. levysalaus ei auta mikäli valtuutuksessa on puutteita • Ymmärrä mitä vastaan salauksella halutaan suojautua ja implementoi salaus sen perusteella 9

  10. • Sovellukseen tulee rakentaa kyky havaita hyökkäykset • Rekisterinpitäjällä on

    tietomurron havaitsemisesta 72h aikaa raportoida tietosuojavaltuutettua • Tulee olla myös kyky selvittää, mitä tietoja on vuotanut • Suunnittele esimerkiksi lokitus tätä silmällä pitäen 10

  11. 11