Skip to main content

We have a tailored site for international audiences

Tietoa meistä

Signicatin Tunnistusperiaatteet – Suomen Luottamusverkosto

Suomessa vahvaa tunnistautumista tarjoaa Suomen luottamusverkosto (Finnish Trust Network , ”FTN”) ja sitä valvoo Traficom. Luottamusverkoston tavoitteena on tarjota vahvoja tunnistuspalveluita kansalaisille, joita voivat hyödyntää julkiset ja yksityiset palveluntarjoajat.

Luottamusverkosto sisältää Suomalaisten pankkien tarjoamat vahvat tunnistautumisvälineet Suomalaisilta pankeilta ja teleoperaattoreilta.

Signicat toimii edellä mainittujen sähköisten henkilöllisyyksien välittäjänä.


Signicat-identiteetin välittäjäpalvelu

Signicat on FTN:n jäsen ja tarjoaa vahvan luonnollisten henkilöiden sähköisen tunnistamisen varmuustasolla ’korotettu’ (Substantial). Vahvan tunnistamisen periaatteet on vahvistettu Suomen lainsäädännössä: Laki vahvasta sähköisestä tunnistamisesta ja sähköisestä luottamuspalveluista 533/2016.

Kaikki verkkopalveluntarjoajat voivat hyödyntää Signicatin palveluita keskitetysti.

Keskeinen osa Signicatin jäsenyyttä Suomen luottamusverkostossa on sen Authentication-tuote, jota käytetään loppukäyttäjien tunnistamiseen. Signicatin tunnistusvälityspalvelu on helposti integroitava palvelu, joka liittää yhden integraatiopisteen kautta eri verkkopalveluntarjoajien tunnistamisvaihtoehdot eri verkkopalveluntarjoajille.

Seuraava kaavio näyttää tunnistutapahtuman kulun loppukäyttäjän näkökulmasta.

Signicat identiteetin välittäjä

Lisätietoja Signicatista on osoitteessa https://www.signicat.com/fi.

 

Palvelun hinnoittelu

 

Tunnistettavan loppukäyttäjän ei tarvitse maksaa Signicatin välityspalvelun käytöstä, vaan Signicatilla on kaupalliset sopimukset verkkopalveluntarjoajien (verkkokaupat, palveluportaalit jne.) kanssa. Hinnoittelu perustuu tilaukseen (kiinteä kuukausimaksu) ja transaktiomaksuihin (dynaamiset käytön mukaan). Signicat välittää kolmannen osapuolen käyttömaksut identiteetin tarjoajilta (esim. FTN-pankit ja Mobiilivarmenne) Suomen lainsäädännön mukaisesti:

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (29.3.2019/412), section 12 c §.

Sovellettavat ehdot
 

Signicat noudattaa Traficomin toimintaohjeita tehdessään luottamusverkkosopimuksia identiteettipalveluntarjoajien kanssa. Signicat noudattaa asiakassopimuksissaan sovellettavaa tietosuojalainsäädäntöä.

Tietosuojakäytäntö
 

Tunnistusprosesseissa Signicat toimii tietojen käsittelijänä EU:n tietosuojamääräysten mukaisesti. Signicat välittää henkilötunnuksen (Henkilötunnus, HETU), etunimen, sukunimen ja syntymäajan (otettu HETU:sta) Traficomin asetuksen 72 mukaisesti.

Henkilöllisyyden tarjoaja (esim. FTN-pankki tai Mobiilivarmenne) palauttaa yllä mainitut tiedot Signicatille. Signicat välittää vastaanotetut henkilötiedot verkkopalveluntarjoajalle sellaisenaan. Signicat ei käytä henkilötietoja mihinkään muuhun tarkoitukseen.

Signicat tallentaa tunnistetapahtumatiedot teknisiin lokeihin tukeakseen palvelun turvallisuutta ja vakautta vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 24 §:n mukaisesti.

Tunnistusprosessissa käytettyjä henkilötietoja käsitellään soveltuvan lainsäädännön, kuten Suomen tietosuojalain, EU:n yleisen tietosuoja-asetuksen, vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain sekä Suomen Luottamusverkostoa koskevien lakien ja säädösten mukaan.

Henkilötietojen käsittelyn turvallisuus taataan seuraavilla tavoilla:

Tiedonsiirto

Kaikki tietoliikenne palveluntarjoajan infrastruktuurin ja Signicat-infrastruktuurin välillä tapahtuu verkkopalveluiden kautta. Viestinnän aitous, eheys ja luottamuksellisuus varmistetaan kaikilla seuraavilla toimenpiteillä:

  • Keskinäinen TLS, asiakkaan todennus. Palveluntarjoajalla on oma asiakasvarmenne.
  • Viestitason salaus: Kaikki henkilötietoja sisältävät viestit salataan, jotta vain palveluntarjoaja voi lukea tiedot. Palveluntarjoajalla on tähän tarkoitukseen oma varmenne.
  • Käyttäjätunnus ja salasana (viestitaso).
  • Palveluntarjoajalla on oma käyttäjätunnus ja salasana.

Tietoturva

Signicat ei käytä palveluntarjoajan Signicatille lähettämiä tietoja mihinkään muuhun tarkoitukseen kuin sovittuihin palveluihin. Vain valtuutetuilla henkilöillä, joilla on selkeä tarve, on pääsy tietoihin. Kaikki pääsy tietoihin on suojattu henkilökohtaisilla tileillä ja kirjattu.

Liiketoiminnan jatkuvuuden hallinta

Palvelun toimittamisen ja saatavuuden takaamiseksi Signicatilla on täysi korkean käytettävyyden konfiguraatio, jossa vikasieto toimii vähintään kahdessa eri paikassa erillisillä sähköverkoilla ja Internet-yhteyspisteillä.

Varmuuskopiointi (sovellus + tiedot) tehdään säännöllisesti ja tallennetaan eri paikkaan samojen turvallisuusvaatimusten mukaisesti, jotka koskevat live-dataa.

Fyysinen ja looginen kulunvalvonta

Signicatin toimintakeskuksen fyysisen ja loogisen kulunvalvonnan turvallisuusvaatimukset noudattavat ISO 27001:n mukaisia ​​tietoturvallisuuden hallintajärjestelmän (ISMS) dokumentoituja prosesseja.

Avaintenhallinta

Secure Key Management on keskeinen osa Signicatin toimintaa. Signicat käyttää avainten hallintajärjestelmää, joka tarjoaa turvallisuusetuja tarkan kulunvalvonnan, tarkastuslokin ja salatun tallennustilan avulla.

Protokolla- ja API-suojaus

Signicat tarjoaa SAML 2.0 (Security Assertion Markup Language 2.0) ja OpenID Connect (OIDC) -protokollat.

Turvallisuusperiaatteet

Signicat on julkaissut tietoturvaperiaatteet, jotka löytyvät osoitteesta https://www.signicat.com/fi/tietoa-meista/security-and-trust.

Jos sinulla on kysyttävää siitä, miten Signicat käsittelee henkilötietoja, ota yhteyttä osoitteeseen tietosuoja.asetus@signicat.com.

Tärkeimmät kumppanuudet

Signicat tekee yhteistyötä kansainvälisten ICT-yritysten, kuten CGI:n, TietoEvryn, Salesforcen ja Microsoftin kanssa. Paikallisia kumppaneita Pohjoismaissa ovat Telia, Innofactor, Qvik, HiQ ja Knowit. Löydät lisätietoja kumppanuuksista osoitteessa https://www.signicat.com/plugins. Tällä hetkellä Google Cloud on Signicatin isännöintipalvelun tarjoaja.

Vaatimustenmukaisuuden arviointi lainsäädännössä kuvatulla tavalla (Tunnistuslaki 29§)

Signicat on sertifioitu FTN-välittäjä ja suorittaa palveluilleen määräajoin vaatimustenmukaisuuden arviointeja Traficomin vaatimusten mukaisesti. Nämä arvioinnit suoritetaan kahden vuoden välein tai aikaisemmin, jos Signicat Authentication -palvelua muutetaan merkittävästi. Nixu Certification Oy teki Signicatin palveluista viimeisimmän arvioinnin kesäkuussa 2024. Arviointiraportti hyväksyttiin Traficomin toimesta heinäkuussa 2024.

Viranomaisvalvonta

Suomen Luottamusverkoston puitteissa tunnistusvälityspalvelujen valvontaviranomainen on Liikenne- ja viestintävirasto (TRAFICOM). Lisätietoa löydät osoitteesta https://www.kyberturvallisuuskeskus.fi.