Varaa demo Kirjaudu
Varaa demo Kirjaudu
Varaa demo Kirjaudu
Trust center

Luottamuskeskus

Tietoturva   Tietosuoja   Saatavuus   Läpinäkyvyys
6-1

Fennoa on turvallinen valinta

21-1

Luotettava ja suojattu taloushallinto

Tietoturva on rakennettu palveluun alusta alkaen. Suojaamme yritysten tietoja, henkilötietoja ja käyttäjätilejä monitasoisilla teknisillä ja organisatorisilla ratkaisuilla – jotta voit luottaa palveluun myös kriittisissä tilanteissa.

13-1

Läpinäkyvyys ja vaatimustenmukaisuus

Luottamuskeskus kokoaa yhteen keskeiset tietoturva- ja tietosuojakäytännöt, auditoinnit ja sertifioinnit. Löydät yhdestä paikasta tiedot GDPR-käytännöistä, alihankkijoista ja auditoinneista.

6-1

Käytännöt, jotka näkyvät arjessa

Tietoturva ei ole meillä vain dokumentteja – se näkyy käytännön toiminnassa. Täältä löydät tiedot kirjautumisen suojauksista, käyttäjäoikeuksista, häiriöiden hallinnasta ja siitä, miten viestimme asiakkaille poikkeustilanteissa.

Fennoa-checkmark
Tietoturva

Suojaamme järjestelmän ja asiakkaiden tiedot

  • Palvelimilla oleva tieto soveltuvin osin salattu ja muilta osin suojattu toisin mekanismein
  • Valvonta ja lokit
  • Säännöllinen testaus (auditoinnit, pen-testit)
Fennoa-checkmark
Tietosuoja ja GDPR

Miten käsittelemme henkilötietoja turvallisesti ja lainmukaisesti

  • Rekisterinpitäjän ja käsittelijän vastuut
  • DPA / henkilötietojen käsittelysopimus
  • Alihankkijat (subprocessors)
  • GDPR-oikeudet ja toimintamallit
Fennoa-checkmark
Jatkuvuus ja saatavuus

Näin varmistamme, että palvelu toimii kaikissa tilanteissa

  • Varmuuskopiot
  • Häiriönhallinta & incident-prosessi
Fennoa-checkmark
Sertifikaatit ja auditoinnit

Riippumaton varmistus turvallisuuden tasosta

  • Toimintamme perustuu yleisesti hyväksyttyihin tietoturvakäytäntöihin 
  • Säännölliset auditoinnit vuodesta 2018 lähtien
  • Riippumaton auditoija 2NS Cybersecurity Oy
Fennoa-checkmark
Läpinäkyvyys

Keskeiset dokumentit ja ajantasainen tieto

Asiakkaille saatavilla
  • Alihankkijalistaus
  • Tietoturvapolitiikan tiivistelmä
  • Ajankohtaiset tiedotteet (päivitykset, häiriöt, turvallisuusparannukset)
Fennoa-checkmark
Kirjautuminen & käyttäjähallinta

Turvallinen kirjautuminen ja selkeä käyttäjäoikeuksien hallinta

  • Kaksivaiheinen tunnistautuminen (2FA) pakollisena kaikille käyttäjille
  • Vahvat salasanavaatimukset
  • Vahva tunnistautuminen salasanan ja autentikointisovelluksen vaihtamisen lisäsuojaksi 
  • Tilien lukitus epäilyttävissä kirjautumisissa
  • Käyttöoikeuksien ja roolien hallinta
  • Audit-lokit käyttäjätoiminnoista

1. Tietoturva (Security)

Pidämme tietoturvaa keskeisenä osana palvelumme suunnittelua, kehitystä ja ylläpitoa. Suojaamme järjestelmäämme monitasoisesti, ja kehitystyö tehdään turvallisuus edellä.

Miten suojaamme palvelun:

Salaus: Palvelussa käsiteltävät tiedot on suojattu soveltuvin osin vahvalla salauksella ja muilta osin suojattu toisin mekanismein. Kaikki tiedonsiirto palveluun kulkee suojatun HTTPS-yhteyden kautta. Salaus ja avainten hallinta perustuvat yleisesti hyväksyttyihin tietoturvakäytäntöihin.

Valvonta ja lokit: Seuraamme kirjautumisia ja muita kriittisiä toimintoja reaaliaikaisesti.

Palvelinten lokitietojen hallinta: Lokitietoja käytetään palvelun tietoturvan, toimintavarmuuden ja väärinkäytösten havaitsemisen varmistamiseen. Lokien käsittely on osa hallittua tietoturvaprosessia.

Lokitietojen hallinnan periaatteet:

  • Rajattu pääsy: Lokitietoihin on pääsy vain ennalta määritellyillä ja valtuutetuilla henkilöillä, joilla on siihen työtehtäviensä perusteella tarve.

  • Valvottu käyttö: Lokien käyttöä seurataan ja hallinnoidaan osana tietoturvakäytäntöjä.

  • Määritelty säilytysaika: Lokitietoja säilytetään rajatun ja määritellyn ajan tietoturvan, vikatilanteiden selvittämisen ja lakisääteisten velvoitteiden täyttämiseksi.

  • Tietoturva: Lokitiedot on suojattu asianmukaisesti luvattomalta käytöltä ja muutoksilta.

Lokitietoja käsitellään vain ennalta määriteltyihin tarkoituksiin, eikä niitä käytetä muihin kuin tietoturvan ja palvelun toiminnan varmistamiseen liittyviin tarpeisiin.

Suojattu infrastruktuuri: Palvelinympäristö sijaitsee suomalaisissa turvallisissa ja valvotuissa konesaleissa, joissa on modernit suojaukset ja varmistukset.

Tietoturvapäivitysten ja auditointien hallinta: Tietoturvaa kehitetään jatkuvasti hallitun prosessin mukaisesti. Seuraamme tietoturvaan liittyviä muutoksia ja haavoittuvuuksia, toteutamme tarvittavat päivitykset riskiperusteisesti ja testaamme muutokset ennen käyttöönottoa. Tietoturvan tasoa varmistetaan säännöllisillä auditoinneilla ja penetraatiotesteillä, jotka teetämme ulkopuolisilla tietoturva-asiantuntijoilla.

2. Tietosuoja & GDPR (Privacy)

Käsittelemme asiakkaidemme tietoja huolellisesti ja lain edellyttämällä tavalla. Toimimme läpinäkyvästi ja varmistamme, että henkilötiedot ovat suojattuja koko niiden elinkaaren ajan.

GDPR-käytäntömme sisältävät:

  • Selkeät vastuut: määrittelemme rekisterinpitäjän ja henkilötietojen käsittelijän roolit ja velvoitteet.

  • Salaus: Henkilötietojen suojaus perustuu teknisiin ja organisatorisiin toimenpiteisiin, kuten salaukseen.

  • DPA-sopimus: tarjoamme vakiosopimuksen henkilötietojen käsittelystä.

  • Alihankkijat: ylläpidämme ajantasaista alihankkijoiden listaa, jossa kuvataan, ketkä käsittelevät tietoja ja missä tarkoituksessa.

  • Rekisteröityjen oikeudet: tuemme tiedon tarkastamista, oikaisua, poistoa ja muita GDPR-oikeuksia.

  • Tietojen säilytysajat: tiedot säilytetään vain niin kauan kuin käyttötarkoitus tai laki edellyttää.

GDPR & vastuut

Rekisterinpitäjä ja henkilötietojen käsittelijä – roolit selkeästi

GDPR:ssa on tärkeää ymmärtää, kuka vastaa henkilötietojen käsittelystä ja missä roolissa. Roolit voivat vaihdella sen mukaan, kenen tietoja käsitellään ja mihin tarkoitukseen.

1

Ohjelmistotoimittaja (Fennoa)

  • Toimimme henkilötietojen toisena käsittelijänä.
  • Käsittelemme tietoja ainoastaan asiakkaan ohjeiden mukaisesti.
  • Vastaamme siitä, että palvelu on teknisesti ja organisatorisesti suojattu.
Ohjelmistotoimittaja (Fennoa)
2

Tilitoimisto

  • Toimii useimmiten henkilötietojen käsittelijänä asiakasyritystensä puolesta (esim. kirjanpito ja palkanlaskenta).
  • On rekisterinpitäjä omien työntekijöidensä ja oman liiketoimintansa henkilötietojen osalta.
  • Vastaa siitä, miten ja mihin tarkoitukseen asiakasyritysten tietoja käsitellään.
Tilitoimisto
3

Asiakasyritys

  • On rekisterinpitäjä omien työntekijöidensä, asiakkaidensa ja muiden sidosryhmiensä henkilötietojen osalta.
  • Määrittelee käsittelyn tarkoitukset ja keinot (esim. palkanmaksu, laskutus).
  • Vastaa GDPR-velvoitteiden täyttämisestä rekisterinpitäjänä.
Asiakasyritys

Mitä tämä tarkoittaa käytännössä?

  • Rekisterinpitäjä päättää miksi ja miten henkilötietoja käsitellään.
  • Käsittelijä huolehtii siitä, että käsittely tapahtuu turvallisesti ja sovitulla tavalla.
  • Kaikkien osapuolten vastuut on määritelty henkilötietojen käsittelysopimuksessa (DPA).
lamppu
Vinkki

Rekisteröity (data subject) ja oikeudet

Rekisteröity on henkilö, jonka henkilötietoja käsitellään. GDPR antaa rekisteröidylle selkeät oikeudet omiin tietoihinsa.

Rekisteröity voi esittää pyyntönsä rekisterinpitäjälle, joka vastaa pyyntöön GDPR:n mukaisessa määräajassa.

3. Jatkuvuus & saatavuus (Availability & Resilience)

Huolehdimme siitä, että palvelu on käytettävissä luotettavasti kaikissa tilanteissa. Varmuuskopiointi, valvonta ja testatut toipumismallit varmistavat toiminnan myös poikkeustilanteissa.

Näin varmistamme palvelun saatavuuden:

Varmuuskopiot

Tietoja varmuuskopioidaan säännöllisesti osana palvelun jatkuvuuden ja tietojen saatavuuden varmistamista. Varmuuskopiointi tukee palautumista.

Varmuuskopioiden palauttamiselle on määritelty selkeät toimintamallit ja palautumistavoitteet. Palautusprosesseja testataan säännöllisesti, jotta palvelu voidaan palauttaa hallitusti ja turvallisesti poikkeustilanteissa.

Varmuuskopiot on suojattu asianmukaisesti, ja niihin pääsy on rajattu vain erikseen määritellyille tahoille. Varmuuskopioiden säilytys ja elinkaari on hallittu osana palvelun tietoturva- ja tietosuojakäytäntöjä.

Jatkuva valvonta: seuraamme järjestelmän tilaa ja suorituskykyä.

Häiriönhallinta: noudatamme selkeää incident-prosessia, joka määrittää vastuut, aikataulut ja viestinnän.

Kapasiteetin hallinta: kuormitusta ja skaalautuvuutta testataan säännöllisesti, jotta palvelu kestää kasvun ja sesonkien piikit.

4. Sertifikaatit & auditoinnit (Compliance)

Riippumaton auditointi ja standardoitujen käytäntöjen noudattaminen varmistavat, että tietoturvan taso on korkealla ja kehittyy jatkuvasti.

Varmennukset ja käytännöt: 

  • Riippumattomat auditoinnit: vuosittaiset auditoinnit vuodesta 2018 toteuttaa 2NS Cybersecurity Oy.

  • Auditointien käsittely: havaitut puutteet korjataan suunnitelmallisesti ja dokumentoidusti.

  • Sisäinen tietoturvapolitiikka: ohjaa toimintatapoja ja tarkistetaan säännöllisesti.

5. Läpinäkyvyys (Transparency)

Uskomme avoimuuteen – jaamme asiakkaille olennaiset dokumentit ja tiedot, jotka auttavat arvioimaan palvelun tietoturvaa ja luotettavuutta.

Tarjoamme avoimesti ajantasaisen alihankkijalistauksen alikäsittelijöistä. Pidämme asiakkaamme ajan tasalla palveluun liittyvistä muutoksista, päivityksistä ja tietoturvaan liittyvistä asioista. 

6. Kirjautuminen & käyttäjähallinta (Login & Access Management)

Käyttäjätilien suojaaminen on yksi tärkeimmistä tavoistamme estää väärinkäytökset. Tarjoamme vahvan tunnistautumisen ja selkeän roolipohjaisen käyttöoikeusmallin.

Käyttäjien kirjautuminen palveluun

Palveluun kirjaudutaan henkilökohtaisilla käyttäjätunnuksilla. Kirjautuminen on suojattu useilla toisiaan täydentävillä keinoilla, joilla estetään luvaton pääsy palveluun.

Kirjautumisen keskeiset periaatteet:

  • Henkilökohtaiset käyttäjätunnukset: Jokaisella käyttäjällä on omat tunnuksensa, joita ei jaeta. Kirjautuminen edellyttää toimivaa sähköpostiosoitetta, johon vain käyttäjällä itsellään on pääsy.

  • Vahvat salasanavaatimukset: salasanan tulee olla riittävän pitkä ja monipuolinen.

  • Pakotettu kaksivaiheinen tunnistautuminen (2FA): kirjautuminen edellyttää aina salasanan lisäksi toista tunnistautumistekijää.

  • Vahva tunnistautuminen: Pankkitunnuksia tai mobiilivarmennetta käytetään salasanan palauttamiseen ja autentikointisovelluksen vaihtamiseen. Käyttäjä voi nollata salasanansa itse vahvan tunnistautumisen avulla. Vahvaa tunnistautumista suositellaan kaikille, joilla on mahdollisuus käyttää pankkitunnuksia/mobiilivarmennetta.

  • Tilien lukitus epäilyttävissä tilanteissa:  palvelu estää kirjautumisen automaattisesti epäilyttävissä käyttötilanteissa. 

  • Valvonta ja lokitus: kirjautumisia seurataan ja lokitetaan väärinkäytösten havaitsemiseksi.

Roolipohjaiset käyttöoikeudet: Palvelussa käytetään roolipohjaista käyttöoikeusmallia, jonka avulla voidaan hallita, mihin tietoihin ja toimintoihin käyttäjällä on oikeus. Käyttöoikeuksilla määritellään esimerkiksi, voiko käyttäjä nähdä, muokata tai käyttää tiettyjä toimintoja, tai onko niihin pääsy estetty kokonaan.

Alihankkijat

Käyttötarkoitus

Alihankkija

Tietojen sijainti

Tietojen tyyppi, lisätietoja

Sisäinen viestintä ja dokumentinhallinta

Microsoft Ireland Operations Ltd

EU

Asiakas- ja yhteystiedot

CRM-järjestelmä

Hubspot Ireland LTD

EU

Asiakas- ja yhteystiedot

Asiakaspalvelu

Deskpro Ltd

EU

Asiakas- ja yhteystiedot

Projektinhallintasovellus

Atlassian PTY Ltd

EU

Palvelun kehityksessä käytettävä projektinhallinta

Ensisijainen palvelinsijainti

Upcloud Oy

EU, Suomi

https://upcloud.com/data-centres/

Asiakasdata (data, jonka Tilitoimisto tai Asiakas lataa Ohjelmistoon)
Palvelun tietokannat, palvelimet ja tiedot sisältävä konesali

Toissijainen palvelinsijainti

Hetzner Finland Oy

EU, Suomi

https://www.hetzner.com/unternehmen/zertifizierung

Palvelun tietokantojen ja tietojen varmuuskopioiden fyysinen ja organisatorinen hajautus erillisen toimittajan konesaliin

Sähköpostien palveluntarjoaja

Amazon Web Services Ltd

EU

Palvelusta lähtevien ja palveluun saapuvien sähköpostien välittäjä

Palkat

Apix Messaging Oy

EU

Palvelusta lähtevien verkkopalkkalaskelmien välittäjä

Ostot ja kulut

Google Cloud EMEA Limited

EU

Palveluun skannattujen osto/kulukuittien tietojen tunnistus

Myyntilaskut

Open Text Oy

EU

Palveluun saapuvien ja lähtevien osto- ja myyntilaskujen verkkolaskuoperaattori

Osto- ja myyntilaskut

Posti Messaging Oy

EU

Palveluun saapuvien ostolaskujen skannauspalveluoperaattori, palvelusta lähtevien myyntilaskujen tulostuspalveluoperaattori

Allekirjoitukset

Signicat AS

EU/EEA, Norja

Palvelusta tehtävien allekirjoituspyyntöjen digitaalinen allekirjoitusoperaattori

 

Onko sinulla kysyttävää?

Alta löydät usein kysytyt kysymykset. Jos et löydä vastausta, autamme mielellämme – ota rohkeasti yhteyttä.

Yhteystiedot

Usein kysytyt kysymykset

Mitä laite- ja käyttövaatimuksia palvelun käyttö edellyttää?

Palvelua käytetään pilvipalveluna suoraan selaimessa, joten erillisiä asennuksia ei tarvita.

Palvelun käyttö edellyttää:

  • Tuetun selaimen: Microsoft Edge, Chrome, Firefox tai Safari (uusin versio).

  • Tuetun käyttöjärjestelmän, jonka tietoturvapäivitykset ovat ajan tasalla.

  • Toimivan internetyhteyden (suojattu HTTPS-yhteys).

Lisäksi palvelussa on käytössä kaksivaiheinen tunnistautuminen (2FA).
Helpoin tapa käyttää 2FA:ta on älypuhelin, johon on asennettu autentikointisovellus (esim. Microsoft Authenticator, Google Authenticator tai vastaava).

Palvelu toimii tietokoneella, ja se skaalautuu myös tableteille. Selainversiota voi käyttää tarvittaessa myös mobiililaitteella, mutta päivittäiseen käyttöön suosittelemme tietokonetta.

Asiakasyrityksille on lisäksi saatavilla erillinen mobiilisovellus, joka on ladattavissa iOS- ja Android-sovelluskaupoista.

Millaisia verkkoyhteyksiä palvelun käyttö edellyttää?

Tuetut selaimet ovat Microsoft Edge, Chrome, Firefox ja Safari; näistä tulisi olla käytössä viimeisin versio.

Palvelun käyttö edellyttää, että työasemalta on sallittu suojattu (HTTPS) internetyhteys. HTTPS on yleisesti käytössä oleva suojattu yhteys, jota käyttävät esimerkiksi verkkopankit ja muut selainpohjaiset palvelut.

Mikä on suositeltu näyttöresoluutio?

Parhaan käyttökokemuksen saat näytöllä, jonka resoluutio on 1920×1080 (Full HD) tai parempi. Windows-käyttöjärjestelmässä suosittelemme pitämään näytön skaalausasetuksen 100 % -valinnassa, jotta näkymät näkyvät mahdollisimman selkeästi.

Palvelu skaalautuu myös pienemmille näytöille, kuten tableteille, ja selainversiota voi käyttää tarvittaessa myös mobiililaitteella.