Yritystason turvallisuus, johon voit luottaa

Shield icon

ISO 27001 -sertifikaattimme, TÜV Saarland -akkreditointi ja kattavat tietoturvakontrollit turvaavat asiakkaidesi maksutiedot kaikissa vaiheissa—tarjoten sinulle ja käyttäjillesi täyden luottamuksen jokaiseen maksutapahtumaan.

Luotettu turvallisuustietoisimpien tiimien keskuudessa

Tärkeimmät suojausominaisuudet

Tiedot salataan siirron aikana eikä pankkitunnuksia tallenneta koskaan

Käytetään ainoastaan pankin tarjoamia tunnuksia – ei lisätunnuksia

Yksityiskohtaiset käyttöoikeudet kauppiaille ja Trustlyn työntekijöille

GDPR:n mukaiset säilytysajat tapahtumatiedoille

Shield icon

Vain SSL/TLS-salattu viestintä

EU:ssa sijaitsevat omat palvelimet ja pilvipalvelut

Katastrofipalautus ja liiketoiminnan jatkuvuuden varmistaminen käyttökatkosten ehkäisemiseksi

Ulkoiset turvallisuustarkastukset

Trustly noudattaa parhaita käytäntöjä täyttääkseen alla mainitut standardit ja säädökset – varmistaen, että käyttäjien tiedot ovat täysin suojattuja.

Jos haluat pyytää pääsyä alla lueteltuihin asiakirjoihin ja/tai sertifikaatteihin, täytä lomakkeemme.

ISO Icon
Check mark

ISO 27001

Trustly on ISO 27001 -sertifioitu, ja palvelimet sijaitsevat ISO 27001 -sertifioiduissa tiloissa.

TUV Approved pament system
Check mark

Tietosuoja

Trustly on TÜV Saarlandin "Approved Data Protection" -standardin mukaisesti akkreditoitu.

TUV Approved pament system
Check mark

Maksustandardit

Trustly on akkreditoitu TÜV Saarlandin "Approved Payment System" -standardien mukaisesti.

Check mark

Penetraatiotestit

Penetraatiotestauksia suorittavat kolmannen osapuolen yritykset.

Qualys
Check mark

SSL/TLS "A"-luokitus

Trustlyn siirtosalaus käyttää vain TLS:ää ja saa Qualys SSL Labs -testissä arvosanan "A".

GDPR Compliant Icon
Check mark

GDPR-yhteensopiva

Trustly on GDPR-yhteensopiva ja pitää yksityisyyden suojaa keskeisenä osana turvallisia maksuja.

Pikavalinnat

Tekniset toimenpiteetOrganisatoriset turvallisuusvalvonnat

Tekniset toimenpiteet

Hyökkäysten valvonta ja estäminen

  • Organisaatio käyttää hyökkäysten valvontatyökaluja, kuten verkkopohjaisia tunkeutumisen havaitsemis- ja estojärjestelmiä sekä verkkosovellusten palomuureja.
  • Lisäksi käytössä ovat Layer 7 -verkkosovellusten palomuurit.​

Haittaohjelmien torjunta

  • Kaikissa päätelaitteissa (työpöydät, kannettavat, älypuhelimet ja tabletit) on haittaohjelmien torjuntaohjelmisto.
  • Sovelluskoodin allekirjoitus, hiekkalaatikointi ja tiedostojen karanteeni ovat käytössä kaikissa älypuhelimissa ja tableteissa.
  • EDR/XDR-teknologia toimii haittaohjelmien torjunta-agenttina kaikissa työpöytä- ja kannettavissa tietokoneissa.
  • Haittaohjelmien torjuntaa hallinnoi ja valvoo keskitetysti vain valtuutettu henkilöstö.​

Tietojen käyttöoikeus

  • Organisaatio toteuttaa valvontatoimenpiteitä, jotka rajoittavat pääsyn organisaation tietoihin luotettujen palvelimien ja sovellusten kautta salattujen kanavien ja vahvan todennuksen avulla.
  • Organisaatio rajoittaa pääsyn kriittisiin kolmannen osapuolen sovelluksiin ja tietoihin luotettuihin laitteisiin tai päätelaitteisiin käyttäen vain salausta ja vahvaa todennusta.
  • Organisaatio käyttää monivaiheista todennusta (MFA) henkilöstönsä pääsyssä kriittisiin sovelluksiin.
  • Tietojen käyttöoikeus on rajoitettu siten, että konsulttien on käytettävä luotettua päätelaitetta päästäkseen sovelluksiin.​

Salaus

  • Saapuvat HTTPS-yhteydet on suojattu vähintään TLS 1.2 -salauksella.
  • Vastaava suojaustaso on käytössä muissa salatuissa yhteyksissä, kuten IPsec, SSH tai SFTP.
  • Epäsymmetrinen tiedostojen tai viestien salaus käyttää RSA:ta vähintään 2048-bittisillä avaimilla tai ECC:tä standardikäyrillä, kuten P256.
  • Symmetrinen tiedostojen tai viestien salaus käyttää AES:ää vähintään 256-bittisellä avaimella.
  • Päätelaitteet (työpöydät, kannettavat, älypuhelimet ja tabletit) on suojattu täydellisellä kiintolevyn salauksella.
  • Off-site-tietokantavaraukset on suojattu vahvalla salauksella.
  • Sähköpostit on salattu siirron aikana internetin yli, palvelimelta palvelimelle, sisään- ja ulospäin, käyttäen opportunistista TLS-salausta.
  • Tietyt sähköpostidomainit on suojattu pakotetulla TLS-siirtosalausella.
  • Merchant API vaatii kryptografisten allekirjoitusten käyttöä sekä saapuvissa pyynnöissä että lähtevissä vastauksissa TLS-siirtosalauksen lisäksi. Tämä takaa omistusoikeuden todistuksen ja minimoi MITM-hyökkäyksen riskin.
  • Kassapalvelu käyttää istuntokohtaista pisteestä pisteeseen epäsymmetristä salausta herkille loppukäyttäjätiedoille, kuten salasanoille tai haastekoodeille.​

Palomuurit ja käyttöoikeusluettelot

  • Paikalliset isäntäkoneen Layer 3 -palomuurilaitteet tukevat käyttöoikeusluetteloiden (ACL) toteutusta.
  • Layer 3 -palomuurilaitteet hallitsevat verkkoliikennettä julkisen internetin ja organisaation välillä.
  • Layer 7 -palomuurilaitteet tarkastavat ja hallitsevat liikennettä julkisen internetin ja organisaation palvelun välillä.
  • Verkon ACL:t hallitsevat viestintää organisaation verkon, sivustojen ja pilvipalveluiden välillä.
  • Järjestelmän ACL:t hallitsevat järjestelmän tai objektin käyttöä (esim. tallennusobjektit).
  • ACL:iä hallinnoivat valtuutetut työntekijät ja ne perustuvat työkuvaukseen (järjestelmän ACL:t) tai ennalta hyväksyttyihin verkkosuunnitelmiin (verkon ACL:t).
  • ACL:t tarkistetaan säännöllisin väliajoin (luokituksen perusteella) tai suurten muutosten yhteydessä.​

Looginen käyttöoikeusvalvonta

  • Looginen käyttöoikeusvalvonta on toteutettu kaikissa organisaation järjestelmissä ja palveluissa.
  • Käyttöoikeudet myönnetään hyväksymisprosessin kautta ja ne liittyvät työkuvaukseen.
  • Käyttöoikeudet myönnetään vähimmän oikeuden periaatteen mukaisesti.
  • Käyttöoikeudet tarkistetaan säännöllisesti järjestelmän/palvelun luokituksen perusteella.​

Lokitiedot

  • Keskitetty lokitus on toteutettu sovelluksille, jotka osallistuvat organisaation maksupalvelun tarjoamiseen.
  • Lokit ovat valtuutettujen työntekijöiden saatavilla tarpeen mukaan.
  • Lokien hallintajärjestelmää hallinnoivat valtuutetut työntekijät.
  • Lokien hallintajärjestelmä tuottaa hälytyksiä ennalta määritettyjen kriteerien perusteella.​

Mobiililaitteiden hallintatyökalut (MDM)

  • Organisaatio käyttää MDM-ratkaisua päätelaitteille (työpöydät, kannettavat, älypuhelimet ja tabletit), kattaen sekä työntekijät että pitkäaikaiset konsultit.
  • MDM-ratkaisu hallitsee, kuka pääsee kullekin päätelaitteelle käyttämällä ehdollista pääsyä ja kaksivaiheista todennusta.
  • MDM-ratkaisu hallitsee päätelaitteiden asetuksia, kuten sallittuja sovelluksia, sekä suojausasetuksia, kuten salausta ja kirjautumistietoja. MDM-ratkaisu hallitsee päätelaitteiden päivityksiä, kuten käyttöjärjestelmän ja sovellusten päivityksiä, jotka voidaan lähettää tietyille laitteille tarpeen mukaan.
  • MDM-ratkaisua voidaan käyttää kadonneiden päätelaitteiden lukitsemiseen tai etätyhjentämiseen.
  • MDM-ratkaisua hallinnoivat valtuutetut työntekijät.​

Monivaiheinen todennus

  • Organisaatio käyttää monivaiheista todennusta (MFA) sekä tarjoamiinsa että käyttämiinsä palveluihin.
  • Organisaatio käyttää useita lähestymistapoja MFA:han järjestelmän/palvelun/tiedon luokituksen perusteella:
    1. Laitteistotunniste MFA
    2. Laitetodistukset
    3. Käyttäjätodistukset
    4. Ohjelmistotunniste MFA (esim. TOTP)
    5. SMS (tekstiviesti) MFA​
    6. SMS (tekstiviesti) MFA​
    7. Laitetodistukset
    8. Käyttäjätodistukset
    9. Ohjelmistotunniste MFA (esim. TOTP)
    10. Laitteistotunniste MFA
  • Organisaatio käyttää monivaiheista todennusta (MFA) sekä tarjoamiinsa että käyttämiinsä palveluihin.

Säännölliset ohjelmistopäivitykset

Tietoturvapäivitykset asennetaan automaattisesti.​

Lähdekoodin allekirjoitus

Lähdekoodin muutokset allekirjoitetaan kryptografisesti kehittäjän toimesta käyttäen GPG:tä ja henkilökohtaista HSM:ää.​

Haavoittuvuuksien havaitsemistyökalut

  • Organisaatio toteuttaa haavoittuvuuksien hallintaohjelman sisäisille ja julkisesti altistuneille resursseille ja palveluille.
  • Organisaatio käyttää lähdekoodin haavoittuvuuksien skanneria.
  • Organisaatio suorittaa viikoittain haavoittuvuuksien arvioinn
  • Organisaatio toteuttaa haavoittuvuuksien hallintaohjelman sisäisille ja julkisesti altistuneille resursseille ja palveluille.
  • Organisaatio käyttää lähdekoodin haavoittuvuuksien skanneria.
  • Organisaatio suorittaa viikoittain haavoittuvuuksien arvioinn

Organisatoriset tietoturvakontrollit

Hyväksyttävän käytön politiikka (AUP)

Organisaatiolla on julkaistut Hyväksyttävän käytön politiikka (AUP) -käytännöt sisäisiä järjestelmiä ja palveluita varten. Työntekijöitä ja alihankkijoita tiedotetaan aina, kun käytäntöihin tehdään muutoksia.

Tietoturva- ja tietosuojakoulutus

Kaikille työntekijöille ja alihankkijoille tarjotaan pakollinen koulutus, joka kattaa seuraavat osa-alueet:

  • Tietoturva
  • Tietosuoja
  • Riskienhallinta
  • Sääntelyn noudattaminen
  • Rahanpesun torjunta

Jatkuvuussuunnittelu

Organisaatio on varautunut poikkeustilanteisiin useilla eri suunnitelmilla:

  • Kriisinhallinta
  • Liiketoiminnan jatkuvuussuunnittelu
  • Katastrofipalautumissuunnittelu

Muutostenhallinta

Organisaatio noudattaa muutostenhallinnassa ITIL-prosessia.

Data Processing Agreements (DPA)

Kun henkilötietoja käsitellään organisaation ja ulkoisten osapuolten välillä, käytössä ovat viralliset Data Processing Agreements (DPA) -sopimukset.

Poikkeamien hallinta

  • Organisaatiolla on käytössä poikkeamien hallintaohjelma, jonka tavoitteena on varmistaa palveluiden jatkuva saatavuus ja minimoida häiriöt sekä organisaatiolle että sen kumppaneille.
  • Ohjelmasta vastaa Service Management -tiimi.

Penetraatiotestit

  • Organisaatio teettää penetraatiotestauksen vuosittain tai merkittävien muutosten yhteydessä.
  • Testauksen suorittavat tunnetut ja luotettavat tietoturvayritykset.
  • Uusintatestien raportit jaetaan pyynnöstä kolmansien osapuolten kanssa.

Salasanakäytännöt

  • Organisaatiolla on määritelty perustason salasanakäytäntö kaikille järjestelmille ja palveluille.
  • Palvelun tai järjestelmän omistaja voi tarvittaessa asettaa tätä tiukemmat vaatimukset.
  • Perustaso sisältää:
    1. Vähimmäispituus: 10 merkkiä
    2. Monimutkaisuusvaatimus: käytössä
    3. 2FA/MFA: pakollinen aina, kun mahdollista

Turvalliset palvelinkeskukset

  • Palvelut tuotetaan tunnetuilla pilvipalvelualustoilla (esim. AWS, GCP) ja co-location -keskuksissa.
  • Fyysinen pääsy co-location -tiloihin on rajoitettu vain muutamalle valtuutetulle työntekijälle.

Secure Development Lifecycle (SDL)

Sisäisesti kehitetyt palvelut ja tuotteet noudattavat Secure Development Lifecycle (SDL) -mallia.

Tietoturvallinen hävittäminen

Laitteiden turvallinen hävittäminen on käytössä sekä päätelaitteissa että tuotantoympäristön laitteissa.

Lähdekoodin katselmointi ja julkaisu

Lähdekoodimuutoksissa noudatetaan neljän silmän periaatetta vastuiden erottelun varmistamiseksi.

Toimittaja-arvioinnit

Organisaatiolla on jatkuva prosessi, jolla arvioidaan ja seurataan tuotantoon tai tuottavuuteen vaikuttavia toimittajia.

Oletko löytänyt turvallisuusongelman?

Arvostamme ponnistelujasi korkeimman turvallisuuden ylläpitämisessä. Jos olet löytänyt turvallisuusongelman, ilmoita siitä vastuullisen tietoturvailmoituspolitiikkamme kautta.

Ilmoita ongelmasta