Kuinka valita tietoturvallinen kumppani palkka-, HR- tai SaaS-palveluille?

Tänä päivänä tietoturva- ja tietosuoja-asiat ovat keskeisiä kaikille organisaatioille ja erityisesti silloin, kun käytetään ulkoistettuja kumppaneita tai valitaan SaaS-palvelua. Lyhenteet kuten ISO, ISAE, GDPR ja NIS2 ovat tärkeitä, mutta miten asiakas voi varmistua, että palveluntarjoaja toimii tietoturvallisesti ja kaikkien säädösten, lakien ja standardien mukaisesti? Tässä artikkelissa nostamme esiin asioita, jotka sinun tulee huomioida, kun arvioit palveluntarjoajan tietoturvaa ja tietosuojaa.

Sertifikaatit ja standardit tietoturvan takeena

Hyvä lähtökohta on selvittää toimittajan ulkoiset sertifioinnit ja laatustandardit. Nämä kertovat siitä, kuinka hyvin toimittaja noudattaa lakeja ja standardeja. Kansainväliset sertifikaatit, kuten ISO 27001 (tietoturva) ja ISO 27701 (tietosuoja), osoittavat toimittajan sitoutumista tietoturvaan ja tietosuojaan. ISAE-laadunvarmennestandardit puolestaan antavat kuvan palveluntuottajan prosesseista. Näiden sertifikaattien ja standardien auditoinnit tehdään aina ulkoisen puolueettoman sertifioijan toimesta. 

ISO 27001 -sertifikaatista on hyötyä myös uuden NIS2-direktiivin täyttämisessä, sillä NIS2 vastaa monilta osin ISO 27001 -vaatimuksia. NIS2-direktiivi on EU:n uusi verkko- ja tietoturvadirektiivi, joka pyrkii parantamaan jäsenvaltioiden kyberturvallisuutta. Esimerkiksi Belgiassa, jossa NIS2-direktiivi on jo viety paikalliseen lainsäädäntöön, yritykset voivat osoittaa NIS2-vaatimusten täyttymisen ISO 27001 -sertifioinnilla. 

Sertifikaattien kattavuus

Sertifikaatti itsessään ei kerro kaikkea. Sertifikaattien kattavuus (scope) osoittaa, kuinka laajasti yrityksen sisällä prosessit ja ulkoinen auditointi on tehty. Yritys voi itse määrittää kattavuuden ja sertifioida vain tietyn tai tiettyjä toimintoja tai koko palvelukokonaisuuden. Toinen tärkeä asia on soveltumislausuma (Statement of Applicability), joka määrittelee, mitkä tietoturvakontrollit toimittaja on valinnut sovellettavaksi ja miksi. Kontrollit tarkoittavat käytännössä niitä turvatoimia ja menettelyjä, joilla yritys suojaa tietojaan ja varmistaa palvelujensa turvallisuuden.

SD Worxillä kattavat ISO-sertifikaatit ja ISAE-standardit

Me SD Worxillä olemme vuosia panostaneet tietoturva-, tietosuoja- sekä ympäristökäytäntöihin ja prosesseihin. ISO-sertifikaattimme kattavat koko HR- ja palkkasovellusten kehityksen, testauksen, palvelualustan ja asiakastuen sekä palkkaulkoistuspalvelut. Olemme valinneet sovellettaviksi kaikki kontrollit, jotta voimme tarjota asiakkaillemme parhaan mahdollisen tietoturvan ja tietosuojan.

Mitä SD Worxin ISO-sertifioinnit takaavat asiakkaillemme?

• ISO 27001:2022 takaa, että meillä on käytössä kattavat, dokumentoidut ja jalkautetut tietoturvakäytännöt.
• ISO 27701:2019 takaa, että meillä on käytössä kattavat, dokumentoidut ja jalkautetut tietosuojakäytännöt.
• ISO 14001:2015 takaa, että huolehdimme toiminnassamme myös ympäristö- ja ympäristönsuojeluasioista.

Mitä SD Worxin ISAE-standardit tarkoittavat asiakkaillemme?

• ISAE 3402 -standardi osoittaa, että palkkapalveluidemme ja -sovellustemme prosessit sekä palvelutuotannon IT-järjestelmät ovat tehokkaita ja luotettavia. Lisätietoa SD Worxin ISAE 3402 -raportista löydät täältä.
• ISAE 3000 -standardi todentaa, että SaaS- ja palkkapalveluidemme tietosuojakäytännöt noudattavat kaikkia nykysäädöksiä.

Luottamus toimittajan sanaan

Hyvä toimittaja on aina valmis näyttämään avoimesti, että asiat on hoidettu kunnolla. Me SD Worxillä olemme tehneet kattavan tietoturva- ja tietosuojapaketin, joka on kaikkien asiakkaiden vapaasti saatavilla asiakassivujemme kautta. Paketti sisältää aina ajantasaisen tiedon sertifikaateista ja muusta materiaalista. Paketista asiakkaat löytävät ISO-sertifikaattimme ja soveltumislausumat, kattavasti tietoa SD Worxin riskienhallinnasta, palveluiden jatkuvuudenhallinnasta sekä esimerkiksi viimeisimmät raportit jatkuvuudenhallinnan testauksesta ja sovellusten penetraatiotestauksista.

Asiakkaat voivat myös tilata täyden ISAE 3402 audit -raportin, jota voidaan hyödyntää asiakkaan omissa auditoinneissa ja tilintarkastuksessa. ISAE 3402 -raportissa auditoijat valitsevat tarkastusotokset kontrollimatriisin kaikista kontrolleista ja antavat lopuksi yksityiskohtaiset lausunnot tarkastuksen tuloksista. Raportin avulla asiakas saa myös yksityiskohtaista tietoa SD Worxin palveluiden toteutuneesta laadusta.