LIITE 4 – Tietoturvatoimenpiteet (TOMs)

Yleistä: riskiperusteinen hallinta, vähimmän oikeuden periaate, EU/ETA-tietosijainti.

- Turvallisuuden hallintamalli ja vuosikatselmointi; DPO-prosessit; DPIA tarvittaessa.

- Henkilöstön NDA, perehdytys, roolipohjainen pääsy; koulutus.

- Toimittaja- ja alihankkijahallinta (DPA:t, auditointioikeudet).

- Salaus: TLS 1.2+ siirrossa; AES-256 levyllä.

- Pääsynhallinta: SSO/IdP (Clerk), MFA, vähimmän oikeuden periaate; katselmoinnit.

- Lokitus & valvonta: sovellus- ja audit-lokit; hälytykset; säilytys ≥ 180 pv.

- Haavoittuvuudet: säännölliset skannaukset; riskipohjainen korjaus; riippuvuusskannaukset.

- Varmuuskopiot: päivittäin salattuna; palautustestit.

- DR/BCP: RPO ≤ 24 h, RTO ≤ 24 h.

- Verkko: WAF/DDoS, palomuurit, segmentointi.

- Kehitys: koodikatselmukset, CI/CD-tarkistukset, dev/test/prod-erottelu.

- Vuotuinen penetraatiotestaus tai vastaava kolmannen osapuolen arvio.

- Ilmoitus vähintään 3 arkipäivää etukäteen.

Lisätiedot: https://lyyli.ai/fi/security