Luottamuskeskus: Turvallisuus, vaatimustenmukaisuus ja ihmislähtöinen laatu

Riippumattomien tunkeutumistestien (VAPT) tulokset

Alustaamme arvioivat OSCP/CREST-sertifioidut kolmannen osapuolen testaajat käyttäen OWASP- ja PTES-menetelmiä. Viimeisimmässä arvioinnissa (syyskuu 2025) ei raportoitu kriittisiä/korkeita ongelmia, ja priorisoidut löydökset korjattiin ja varmistettiin uudelleentestauksessa. Pyydä pääsyä nykyiseen johdon yhteenvetoon ja täydelliseen VAPT-raporttiin (saatavilla salassapitosopimuksella).

Versio 1.2 — 07. Tammikuuta 2025

Pääsynvalvonta- ja todennusstandardi (SSO/MFA ja vähimpien oikeuksien periaate)

Tiukka yrityksen pääsynhallintastandardi, joka kattaa oletuksena SSO + MFA:n, hallinnon vain bastionin kautta, neljännesvuosittaiset oikeuksien tarkistukset, SIEM-valvonnan, holvatut salaisuudet ajastetulla kierrolla ja nollaluottamuksen päätepiste-/verkkosuojat. Suunniteltu ISO 27001/NIST-kontrolleihin, auditointitodisteisiin ja vähimpien oikeuksien pakottamiseen pilvessä, SaaS-palveluissa ja päätepisteissä.

Versio 1.2 — 07. Tammikuuta 2025

Turvallisuusohjelma ja valvontakehys (ISO/NIST-mukautettu)

Yleiskatsaus GoTranscriptin ISMS:ään: Mukautuminen ISO 27001/27002/27017/27018 ja NIST CSF -standardeihin, riskien hallinta, luokittelu-/säilytysmalli, tapausten hallinta (72 tunnin ilmoitusikkuna), IT-toimintojen kovettaminen ja turvallinen SDLC. Ihanteellinen due diligence -tarkastuksiin, tarjouspyyntöihin (RFP) ja auditoijien työpöytätarkastuksiin.

Versio 1.2 — 07. Tammikuuta 2025

Työvoiman turvallisuus- ja koulutuskäytäntö

Yrityksen henkilöstöturvallisuus: automaattinen pääsy uusille työntekijöille/siirroille/lähdöille SSO + MFA:n kautta, 90 minuutin perehdytys, Yhdysvaltain puolustusministeriön PII-koulutus 30 päivän kuluessa, kuukausittaiset mikrotunnit, neljännesvuosittaiset tietojenkalastelutestit ja 4 tunnin offboarding-SLA lähdöille välittömällä salaisuuksien kierrolla. Valmis todisteisiin auditoinneissa ja BAA-sopimuksissa.

Versio 1.2 — 07. Tammikuuta 2025

Turvallisuustapausten reagointi- ja haittaohjelmien torjuntastandardi

Muodollinen IR-pelikirja (Valmistelu→Havaitseminen→Rajoittaminen→Hävittäminen→Tapauksen jälkeen), 15 minuutin raportointisääntö, 72 tunnin ICO/GDPR-ilmoitusopas, 7 vuoden todisteiden säilytys ja kovetettu EDR/AV-pino (Defender, CrowdStrike, ESET, GuardDuty) latausten skannauksella ja neljännesvuosittaisilla EICAR-testeillä. Suunniteltu säänneltyihin ympäristöihin.

Versio 4 — 27. Syyskuuta 2025

Yrityksen tietoturvakäytäntö

Yrityksenlaajuinen luottamuksellisuutta, eheyttä ja saatavuutta ohjaava käytäntö: luokittelu, kolmansien osapuolten käsittely, turvallinen säilytys/hävittäminen, muutosten hallinta, tapausten reagointi, jatkuvuus ja vaatimustenmukaisuus. Selkeä laajuus/määritelmät auditointivalmiuteen ja sääntelyviranomaisten kanssa toimimiseen.

Versio 1.2 — 07. Tammikuuta 2025

Toiminnallinen sietokyky ja liiketoiminnan jatkuvuuskehys

Käyntiaika- ja palautumissitoumukset yritysasiakkaille: ≥99,9 % käytettävyys, RTO ≤1 h, RPO ≤15 min, multi-AZ-suunnittelu, salatut alueiden väliset varmuuskopiot eheystarkastuksilla, vuosittaiset vikasietoisuustestit/työpöytäanalyysit ja IR-integraatio 72 tunnin tietomurtoilmoituksilla tarvittaessa.

Versio 1.2 — 07. Tammikuuta 2025

IT-toimintojen turvallisuuskontrollit ja KPI:t

Päivittäinen kontrollien omistajuus ja todistevirrat auditointeihin: korjaus-SLA:t (kriittiset ≤14 päivää), 100 % salaus/MFA/varmuuskopiot, reaaliaikainen CMDB, IaC-muutosten hallinta, KPI-kojelaudat ja koulutus-/IR-harjoitusten rytmi. Yhdistää ISMS-vaatimukset vastuullisiin operatiivisiin tehtäviin ja raportointiin.

Viimeksi päivitetty — 19. Tammikuuta 2025

Inhimillinen laadunvarmistus (Precisa QMS): Tarkastus ja kaksivaiheinen editointi

Yritystason inhimillinen QA-ohjelma: valikoiva tarkastus, kielikohtaiset testit 140 kielellä, pakollinen kahden henkilön tarkistus jokaiselle tiedostolle, jatkuva pisteytys, kalibroidut editoijat ja tiukka NDA-käsittely/minimaalinen altistuminen, suunniteltu HIPAA/GDPR-herkille työkuormille.

Versio 1.2 — 07. Tammikuuta 2025

Turvallisuusriskien hallintakäytäntö (ISO 27001 / NIST CSF)

Miten tunnistamme, pisteytämme, käsittelemme ja hallitsemme riskejä: neljännesvuosittaiset tarkistukset, johdon turvallisuuskatselmus, jäännösriskin hyväksyminen, kontrollien kartoitus ISO 27001/27017/27018, NIST CSF, PCI DSS ja OWASP ASVS -standardeihin; integroituu pääsynvalvontaan, jatkuvuuteen, luokitteluun ja tapausten reagointiin.

Versio 1.2 — 07. Tammikuuta 2025

Vain ihmisten suorittama käsittely (Nolla tekoälyä, tarvittaessa) -käytäntö

Selkeä asiakasvarmistuskanta: mitkään tekoälyjärjestelmät eivät käsittele asiakastietoja. Verkko- ja päätepistelukot, ohjelmistojen sallitut listat, kuukausittaiset auditoinnit, perehdytys-/vuosikoulutus ja kurinpidollinen toimeenpano ISMS-tapausprosessin kautta. Ihanteellinen yksityisyydensuojaa vaativiin ja säänneltyihin toimeksiantoihin.