Stratman Oy toimittaa liiketoimintajärjestelmiin liittyvä palveluja vain yrityksille tai organisaatioille (alla organisaatiot), joiden kanssa sillä on tilaukseen tai sopimukseen perustuva asiakassuhde. Suoria henkilöasiakkaita Stratman Oy:lla ei ole. 

Tietojenkäsittelymme periaatteita ovat

• organisaatioiden ja henkilöidentietojen ja viestinnän luottamuksellisuus
• henkilöiden yksityisyyden suojaaminen ja oikeusturvan varmistaminen EU:n GDPR säännösten mukaisesti
• kokonaisvaltaisen tietoturvallisuuden varmistaminen mm. tietoturvahyökkäyksien varalta

Henkilötietojen tallentaminen

• omaan asiakassuhteiden hallintajärjestelmäämme (CRM) organisaatioiden henkilöistä tallennetaan tietoja, mikäli he ovat asiakkaan yhteyshenkilöitä tai palvelujen hankinnassa tai koulutuksissa mukana olleita henkilöitä.
• kerättyjä tietoja ovat: nimi ja yhteystiedot, yhteydenottojen ajankohta ja tyyppi, esim. puhelu, nettilomake. Muut tallennettavat tiedot liittyvät organisaatioon, kuten esim. keskusteluissa sovitut toimenpiteet.
• henkilöä koskevat tiedot ovat pyydettäessä tarkistettavissa.
• tietoja ei luovuteta kolmansille osapuolille ilman erillistä lupaa.

Tallennettavista tiedoista ja niiden käsittelystä on tarkempi kuvaus henkilörekisterikuvauksessamme.

Asiakasviestintä

• lähetämme tarvittaessa asiakkaittemme yhteyshenkilöille ja järjestelmätuotteittemme käyttäjille henkilöille tuotteita ja järjestelmäpalveluja, toiminnan ja tuotevalikoiman uudistuksia koskevia tiedotteita niiden versiopäivityksistä, häiriötilanteista, tietoturvatilanteista ilman erillistä suostumusta.
• suoramarkkinointia toteutamme tiedoteluonteisesti liiketoimintajärjestelmiimme ja palveluihimme läheisesti liittyvien uusien palvelujen myynnin edistämiseksi.

Asiakasrekisterin peruste

Asiakasorganisaation tilaukseen tai sopimukseen perustuva asiakassuhde. Rekisteriin tallennetaan organisaatioiden henkilöistä tietoja, mikäli he ovat asiakkaan yhteyshenkilöitä tai palvelujen hankinnassa tai koulutuksissa mukana olleita henkilöitä. 

Rekisterin pitäjä

Stratman Oy
Sinivuokontie 3
37550 Lempäälä
puhelin: 0500 644336

Rekisteriasioista vastaava henkilö

Pekka Ketonen
puhelin: 0500 644336

Henkilötietojen käyttötarkoitus

- organisaation hankkiman järjestelmän tai palvelun toimivuuden vaatimaan yhteydenpitoon
- palvelujen kehittämiseen, laatuun ja asiakastyytyväisyyteen liittyviin yhteydenottoihin
- laskujen lähettämiseen organisaatiolle
- suoramarkkinointiin liiketoimintajärjestelmiimme ja palveluihimme läheisesti liittyvien uusien palvelujen myynnin edistämiseksi

Rekisterin tietosisältö

- etu- ja sukunimet
- osoitetiedot
- yhteyspuhelinnumero (organisaation ja oman matkapuhelimen)
- yhteyssähköpostiosoite, ensisijainen ja toissijainen
- tehtävä organisaatiossa
- yhteystiedon alkuperä
- varsinaisen sähköpostimarkkinoinnin esto (opt-out) tai suostuminen (opt-in). Oletus: esto
- kuka on tiedon viimeksi päivittänyt sekä tieto ajankohdasta

Tietolähteet

- asiakasorganisaation ilmoittamat tiedot pääyhteyshenkilöstä ja muista asiakassuhteeseen liittyvistä henkilöistä
- palvelujen ylläpidon yhteydessä saadut tiedot
- henkilön itse ilmoittamat tiedot

Tietojen käsittely ja luovutus

- tietoja voidaan luovuttaa voimassa olevan lainsäädännön sallimissa ja velvoittavissa rajoissa esimerkiksi viranomaisille
- henkilön itse pyytäessä hänestä tallennettuja tietoja ne toimitetaan hänelle
- tietoja ei luovuteta kolmansille osapuolille
- tietoja ei käsitellä EU:n ulkopuolella tai siirretä EU:n ulkopuolelle

Rekisterin suojaus

- henkilöiden tiedot sijaitsevat suojatuilla, varmistetuilla palvelimilla
- Stratmanin henkilöillä ja Stratmanin lukuun toimivilla henkilöillä on salassapitovelvollisuus kaikista asiakassuhteessa käsiteltävistä tiedoista
- organisaation ja Stratmanin asiakassuhteen päättyessä, organisaation ja henkilöiden tiedot poistetaan asiakasrekisteristä. Myös varmuuskopiot poistetaan.

Tietojen säilytys, varmistus, poistaminen on kuvattu tarkemmin erillisessä tietoturvakuvauksessa

Tietoturvakuvaus Stratman Oy:n käyttämistä palvelimista, palvelinkeskuksista ja liiketoimintajärjestelmistä

Yleistä

Stratman Oy:n liiketoimintajärjestelmissä ja muissa nettipalveluissa käyttämät palvelimet sijaitsevat Suomessa tai Saksassa Hetzner Online GmbH:n tehokkaissa ja hyvin turvatussa palvelinkeskuksissa.

• Data Center Park Helsinki (Tuusula), Suomi
• Data Center Park Nuremberg, Saksa
• Data Center Park Falkenstein, Saksa

Hetzner on yksi Euroopan johtavista palvelukeskustoimijoista. Stratman Oy:n ja Hetzner Online GmbH:n välillä on solmittu myös Euroopan tietosuojadirektiivin (GDPR, EU General Data Protection Regulation) mukaiset sopimukset.

Palvelimet

• ISO/IEC 27001 - standardin mukaisesti sertifioitu tietoturva ja tietoturvan hallintajärjestelmä (Information Security Management System, ISMS)
• fyysinen suojaus (Hetzner):
  • videovalvottu tietokonepuiston ympäröivä aitaus, elektroninen kulunvalvonta antureilla ja henkilökorteilla
  • 24/7 h seuranta kulkuteillä, sisäänkäynneissä, ovikuluissa ja palvelinsaleissa
• tietoverkon suojaus (Hetzner / DE-CIX):
  • monitasoisesti varmistetut nopeat yhteydet Juniper Networks reitittimillä DE-CIX internet-keskuksen kautta
• palvelimen suojaus:
  • uusinta ennaltaehkäisevää DDoS-hyökkäysten (kuormitushyökkäysten) torjuntateknologiaa hyödyntävä järjestelmä. Toimii infrastuktuuri-, palvelin-, verkkosovellustasolla.
  • palvelinkohtainen virustorjunta (ClamAV): troijalaiset, virukset, haittaohjelmat.
  • palvelinkohtainen tunkeutumisen esto: denyhost, fail2ban
  • palvelinkohtainen tietokantatunkeutumisen (SQL injection) -esto

Stratman Oy:n tarjoamat liiketoimintajärjestelmät ja nettipalvelut

Palvelujen tiedonsiirron suojaus

• SSL-suojattu (128-bit) tiedonsiirto (https:/xxxx.xxx.xx). Tarvittaessa myös ftp-palveluille ja muille tietoyhteyksille.
• SSL-suojaus mahdollisuus myös asiakasportaalillejoissa loppuasiakkaalle näkyvät tiedot voidaan määritellä
• Järjestelmien-käyttäjäoikeuksien ja tietojen käyttöoikeuksien hallinta roolit, profiilit, ryhmät, tietojen yksityisyyden jakamissäännöt. Voidaan tarvittaessa toteuttaa myös kenttäkohtaisella tasolla.

Tietojen varmistus

• tietokantatiedot tallennetaan joka vuorokausi yöllä ja kopioidaan fyysisesti erilliselle palvelimelle. Tiedot ovat palautettavissa viikon ajalta joka edelliseltä päivältä, edelliseltä viikonlopulta, edellisen kuukauden lopulta ja edellisen vuoden lopulta. Tarvittaessa voidaan sopia muukin järjestely.
• järjestelmän päivitykset tehdään asiakkaan kanssa sovittuna aikana. Päivitystarve ja yhteensopivuudet tarkistetaan ennen päivitysten toteuttamista.
• mikäli erikseen ei ole sovittu itse järjestelmä ja sen tietokanta sijaitsevat samalla palvelimella
• koko palvelin voidaan palauttaa tarvittaessa snapshotista aikaisempaan tilaan. Tiedot voidaan palauttaa uudemmista tietokannoista ja ohjelmistoversiotasoista.

Palvelun siirrettävyys

• palvelu voidaan sovittaessa siirtää (tietokannat ja ohjelmisto) yhteensopivalle palvelimelle

Palvelun tietojen sijainti ml. henkilötiedot ja siirron rajoitukset

• palvelu ja sen tiedot ml. henkilötiedot varmistuksineen sijaitsevat EU:n alueella Hetzner Ag:n tietokonesaleissa
• GDPR-direktiivi huomioidaan. Tietoja ei siirretä EU-alueen ulkopuolelle missään palvelun tietojen käsittely-, ylläpito- tai siirtovaiheessa.

Tietojen poisto

• Järjestelmäpalvelun sisältämät tiedot poistetaan palvelun päättyessä järjestelmän palvelimelta ja varmuuskopiopalvelimilta.

Palvelujen ylläpitäjät, käyttäjät, roolit ja vastuut

• Palvelujen pääylläpitäjä on Stratman Oy:n kyseisetä palvelusta vastaava henkilö. Pääylläpitäjällä on pääsy- ja hallintaoikeus kaikkiin palvelun osioihin ja tietoihin.
• Asiakkaalla on yksi pääkäyttäjä, jolla on pääsy ja hallintaoikeus kaikkiin itse järjestelmän osioihin ja tietoihin. Palvelimille pääsy- tai hallintaoikeus voidaan myötää erikseen sopimalla.
• Palvelun pääkäyttäjä voi myöntää itse järjestelmään rajoitettuja rooleihin perustuvia käyttöoikeuksia järjestelmän omilla käyttövaltuuksien hallintatoiminnoilla
• Kaikissa järjestelmissä on käyttäjätunnuksiin salasanoihin perustuva pääsynhallinta

Stratman Oy:n ja asiakkaan väliset tietoturvaan liittyvät sopimukset

Salassapito (NDA)

• Stratman Oy:n ja asiakkaan välillä on molemminpuolinen tietojen salassapitovelvollisuus
• Stratman Oy:n toimittajan ja käyttäjä organisaation välille tehdään tarvittaessa myös salassapitosopimus
• Erityisesti henkilötietojen osalta huomioidaan GDPR-direktiivi. 

Palvelutaso (SLA) 

• Palvelutaso 99.9%. Pois lukien toimitussopimuksessa tai tilausvahvistuksessa mainitut huolto- ja päivitystapahtumat.
• Stratman Oy:n ja käyttäjäorganisaation välille tehdään tarvittaessa tarkempi SLA-tavoitetasot kuvaava palvelutasosopimus