1. Yleiset kysymykset

2. Infra

3. Ohjelmistoon liittyvät tekniset kysymykset


4. Ongelmatilanteet ja tukipalvelut


5. Ohjelman käyttöön liittyviä kysymyksiä




1. Yleiset kysymykset

Alikäsittelijät?

Kaikki DomaCare-järjestelmän ja Invianin käyttämät alikäsittelijät on lueteltu ja niitä ylläpidetään Visman Trust Center:ssä, osoitteessa:


https://www.visma.com/trust-centre-products/domacare


Henkilötietojen käsittelyajan kesto?


Invian säilyttää Domacareen kerättyjä asiakkaan tallentamia tietoja niin kauan kuin asiakkaalla on voimassa oleva tilaus voimassa.


Kanta-palveluista, mukaanluettuna sosiaalihuollon tietovaranto ja sähköinen lääkemääräys haettuja asiakirjoja ei lähtökohtaisesti tallenneta pitkäaikaisesti, eikä niitä koskaan siirretä Invian Oy:n hallinnoiman UpCloudin operoiman datakeskuksen palvelimien ulkopuolelle. Kun asiakirjoja haetaan Kanta-palvelusta, ne tallennetaan vain palvelimien muistiin (RAM) tai palvelimella sijaitseviin väliaikaistiedostoihin ja välitetään suoraan haun tehneelle käyttäjille. Tiedot poistuvat välittömästi, kun hakukyselyn tiedot on välitety käyttäjälle.


DomaCare-järjestelmällä luotuja Kanta-palveluihin siirrettäviä dokumenttejä säilytetään myös pitkäaikaisesti Invian Oy:n hallinnoimilla asiakaskohtaisilla tietokantapalvelimilla. Tämän lisäksi tietokantapalvelimien varmuuskopiot peilataan päivittäin Invianin hallitsemalle palvelimelle jota operoi Hetzner. Palvelimet sijaitsevat Suomessa. Tiedonsiirto palvelimien välillä on toteutettu salatulla SSH-yhteydellä ja tunnistautuminen perustuu julkisen avaimen tunnistusmenetelmiin.


Liitetiedostot:

DomaCare-järjestelmään tallennettuja liitetiedostoja, joita voidaan siirtää (mutta ei välttämättä siirretä) Kanta-palveluihin tallennetaan Google LLC:n operoimilla palvelimilla. Palvelinkeskukseksi on valittu Googlen Haminan palvelinkeskus Suomessa. 


Tietojen poisto:

Kaikki asiakasrekisterissä olevat, tiettyyn asiakkaaseen liittyvät tiedot voidaan poistaa asiakkaan kaksivaiheisen poistoprosessin mukaisesti. Ensimmäisessä vaiheessa asiakas merkitään poistetuksi, jonka jälkeen asiakastiedot siirtyvät arkistoon, jossa tiedon näkyvät vain käyttäjille, joilla on oikeus poistettujen asiakkaiden arkistoon. 


Kun hoitosuhde ja asiakastietojen säilytysvelvollisuus on päättynyt, asiakastiedot voidaan poistaa lopullisesti käyttämällä poistoprosessin toista vaihetta. Tällöin tiedot poistetaan tietokantapalvelimelta.  Asiakasdata tullaan poistamaan 2 kuukauden päästä sopimuksen päättymisestä ja tämän jälkeen viimeiset varmuuskopioidut tiedot asiakkaasta poistuvat viimeistään kuuden kuukauden kuluttua poistoprosessin toisen vaiheen suorittamisesta.


Onko tietojärjestelmän toimittajalla ISO 27001 sertifikaatti?

DomaCarella ei ole vielä ISO 27001 sertifikaattia. DomaCare on auditoitu Kanta A3 -luokan tietojärjestelmäksi ja se toteuttaa Valviran sote-tietojärjestelmien vaatimusluettelon vaatimukset profiileilla 3a1 (sähköinen lääkemääräys) ja 3d1 (sosiaalihuollon tietovaranto)


2. Infra

Palvelinten sijainti ja tiedot?

DomaCare-järjestelmän tuotantoympäristö sijaitsee kaikkien osa-alueidensa osalta Suomessa. Järjestelmässä olevia henkilötietoja ei siirretä ETA-alueen eikä edes Suomen ulkopuolelle. Tiettyjä järjestelmän liitetiedostoja käsitellään Googlen palvelinkeskuksissa. Palvelinkeskukseksi on valittu Suomessa sijaitseva keskus (Haminan Datakeskus). Myös näistä tietoa täältä:

https://www.visma.com/trust-centre-products/domacare


Mistä on pääsy palvelimille?

Domacaren järjestelmän hallintayhteydet on suojattu tarkasti usealla eri menetelmällä, jotta tietoturva pysyy korkealla tasolla. Hallintayhteydet toteutetaan turvallisilla tavoilla sekä yrityksen omalla VPN-yhteydellä, joka on käytössä ainoastaan henkilökunnan työasemilla. VPN-yhteys edellyttää henkilökohtaisia avaimia, jotka varmistavat sen, että vain valtuutetut käyttäjät voivat muodostaa yhteyden järjestelmään.


Etäyhteydet on rajattu vain pienelle, valikoidulle osalle henkilökuntaa, joilla on selkeästi määritelty tarve päästä käsiksi järjestelmään. Näin minimoidaan riskiä, että ulkopuoliset käyttäjät pääsisivät luvatta käsiksi hallintayhteyteen. Myös sisäverkon kautta tulevat hallintayhteydet on suojattu vastaavanlaisilla tehokkailla menetelmillä, mikä varmistaa, että yhteydet ovat turvallisia sekä sisäisistä että ulkoisista verkko-osoitteista käsin. 


Kokonaisuudessaan järjestelmän hallintayhteydet ovat siis luotettavasti suojattuja monitasoisilla tietoturvamekanismeilla, joissa yhdistyy vahva tunnistautuminen ja salattu tiedonsiirto.


Onko henkilötietoihin etätukea tai pääsyä EU-/ETA-alueen ulkopuolelta?

Kts. edellinen vastaus. Etätukea ei käytännössä tapahdu ETA-alueen ulkopuolelta. Etätuen henkilöstö on Suomessa.


Miten varmuuskopiot on toteutettu?

Ensisijaisesti varmuuskopiot ovat UpCloudin datakeskuksissa samassa konesalissa, missä asiakkaiden tietokannatkin sijaitsevat. Tietokantapalvelimien varmuuskopiot peilataan päivittäin Invianin hallitsemalle palvelimelle jota operoi Hetzner. Palvelimet sijaitsevat Suomessa.


Tiedonsiirto palvelimien välillä on toteutettu salatulla yhteydellä ja tunnistautuminen perustuu julkisen avaimen tunnistusmenetelmiin. Varmuuskopiot salataan eli Invianin käyttämien palveluntarjoajien palvelimilla ei ole salaamattomia varmuuskopioita. Tietojen palauttaminen on myös varmistettu ja sitä on harjoiteltu käytännössä.


Tietokantojen varmuuskopiot salataan kun ne muodostetaan. Varmuuskopioiden salauksen avainta hallinnoi Invian Oy.



3. Ohjelmistoon liittyvät tekniset kysymykset

Rajapintojen toteutus?


"Sovellukset ja ohjelmointirajapinnat (API:t) suunnitellaan, kehitetään, testataan ja otetaan käyttöön alan hyvien turvallisuuskäytäntöjen mukaisesti."


DomaCare-järjestelmän ohjelmistokehityksen lähtökohtana on turvallinen, laadukas ja testattava kehitysprosessi, missä tietoturva on huomioitu kehityksen jokaisessa vaiheessa. 


Helposti ongelmia aiheuttavien funktioiden ja rajapintojen käyttöä valvotaan joko staattisella analyysillä (mikäli mahdollista), kieltämällä sellaisen käyttö (valvotaan automaattisesti) tai viimesijaisesti lähdekoodin katselmoinnissa.


Arkkitehtuurin ja lähdekoodin katselmoi kehittäjä, joka ei ole osallistunut kyseisen lähdekoodin kehitykseen. Katselmointi vaaditaan, jotta lähdekoodi otetaan osaksi julkaisua. Versionhallintajärjestelmä vaatii katselmoinnin ja tarkastaa, ettei katselmoiva kehittäjä ole osallistunut kyseisen lähdekoodin kehitykseen.


Ohjelmakoodia tarkastellaan automaattisesti ohjelmoinnin aikana SonarLint-analysaattorilla. Lisäksi koodia tarkastellaan myöhemmin automaattisesti Sonar, Coverity on Polaris, sekä Aikido -analysaattoreilla.


Kaikki ohjelmakoodi on versionhallintajärjestelmässä. Muutokset ohjelmakoodiin liitetään julkaisuun versionhallintajärjestelmässä. Muutokset saa mukaan ohjelmistojulkaisuun vain, jos se on läpäissyt koodikatselmoinnin, staattisen analyysin sekä automaattiset testit. Muutokset on dokumentoitu tikettijärjestelmään ja tikettijärjestelmän tiketin tunniste on liitetty muutoksiin. Pienemmissä muutoksissa tikettiä ei välttämättä ole, jolloin dokumentaationa toimii muutoksen viesti versiohallinnassa.


Jokaisesta ohjelmistoversiosta, joka on julkaistu, tuotetaan oma itsenäinen julkaisupaketti joka sisältää kaikki tarvittavat tiedostot ohjelmiston käyttöön. Vanhemmat julkaisupaketit ovat saatavissa arkistosta. 


Ennen jokaista julkaisua ohjelmistoversiolle suoritetaan kattavat testit joihin sisältyy mm. manuaalisia integraatiotestejä, jossa frontend- ja backendjulkaisun yhteentoimivuus testataan.



Rajapinnat ja tietoturva?


"Sovellusten ja rajapintojen on kestettävä niitä vastaan käytettävissä olevat yleiset hyökkäysmenetelmät ilman, että käsiteltävien tietojen luottamuksellisuus, eheys tai saatavuus vaarantuu."


"Järjestelmän rajapinnat tulee suunnitella ja toteuttaa siten, että niissä on varauduttu tunkeutumisyrityksiin.

Ohjelmointirajapinnat ovat suojattuja ja niiden käyttö edellyttää joko sertifikaattia, API-avainta tai muuta vastaavaa suojausta."


"Toimittajan tuottaman Palvelun internetiin avoinna olevat rajapinnat on tarkastettu tietoturva-aukkojen varalta, mukaan lukien esimerkiksi OWASP TOP10 -haavoittuvuudet.


DomaCare toteuttaa mm. Valviran sote-järjestelmien vaatimuslistan vaatimuksen

"ASTUR02 - Yleisiin hyökkäysmenetelmiin varautuminen". Vaatimusten toteutuminen on auditoitu osana Kanta A3 -luokan auditointia.


Rajapinnat testataan ennen julkaisua automaattisilla testeillä. Testissä simuloidaan läpi sekä normaalia toimintaa, että virhetilanteita. 


Visman tietoturvaohjelman yhtenä osana on Dynaaminen sovellusanalyysi (Dynamic Application Security Test, DAST). DAST -järjestelmään on syötetty DomaCare:n QA-ympäristön API-rajapintojen osoitteet ja järjestelmä testaa automaattisesti rajapintojen toimintaa erilaisilla syötteillä.


Ohjelmiston rakenneanalyysi (Software Composition Analysis, SCA) tarkistaa järjestelmien lähdekoodin ja varoittaa kehittäjiä tietoturvan kannalta vaarallisista ja yleisille hyökkäysmenetelmille alttiista käytännöistä. Koodikatselmointistandardiemme mukaan julkaisuun ei hyväksytä koodia, josta on noussut SCA-järjestelmän varoituksia.


Lisäksi SCA-järjestelmä varoittaa käytössä olevista kolmannen osapuolen kirjaistoista, joissa on raportoitu tietoturvahaavoittuvaisuuksia. Tässä tapauksessa Infrastuctrure & Security -tiimimme ryhtyy toimiin komponentin päivittämiseksi tietoturvalliseen versioon


Lisäksi Visman tietoturvaohjelmassa suoritetaan manuaalista haavoittuvuuden tarkastelua säännönmukaisesti penetraatiotestaukseen erikoistuneen, konsernin yhteisen tietototurvatiimin toimesta. Löydetyistä haavoittuvuuksista tehdään tiketit, jotka on korjattava tietyn aikamääreen puitteessa riippuen haavoittuvaisuuden vakavuudesta.


DomaCare toteuttaa mm. Valviran sote-järjestelmien vaatimuslistan vaatimukset 

"AKYM04 - Verkkoyhteyden suojaus" ja "AKYM03 Poikkeamien havainnointi". Vaatimusten toteutuminen on auditoitu osana Kanta A3 -luokan auditointia.


Miten tietojen poisto on hoidettu?


Invian säilyttää Domacareen kerättyjä asiakkaan tallentamia tietoja niin kauan kuin asiakkaalla on voimassa oleva tilaus voimassa.


Kaikki asiakasrekisterissä olevat, tiettyyn asiakkaaseen liittyvät tiedot voidaan poistaa asiakkaan kaksivaiheisen poistoprosessin mukaisesti. Ensimmäisessä vaiheessa asiakas merkitään poistetuksi, jonka jälkeen asiakastiedot siirtyvät arkistoon, jossa tiedon näkyvät vain käyttäjille, joilla on oikeus poistettujen asiakkaiden arkistoon.


Kun hoitosuhde ja asiakastietojen säilytysvelvollisuus on päättynyt, asiakastiedot voidaan poistaa lopullisesti käyttämällä poistoprosessin toista vaihetta. Tällöin tiedot poistetaan tietokantapalvelimelta.  Asiakasdata tullaan poistamaan 2 kuukauden päästä sopimuksen päättymisestä ja tämän jälkeen viimeiset varmuuskopioidut tiedot asiakkaasta poistuvat viimeistään kuuden kuukauden kuluttua poistoprosessin toisen vaiheen suorittamisesta.



Onko järjestelmää ns. kovennettu?


"Käyttöön on otettu vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut."


DomaCare toteuttaa mm. Valviran sote-järjestelmien vaatimuslistan vaatimukset "ASTUR03- Sovelluksen käyttämät verkkoportit" ja "AKYM07 Järjestelmän kovennus". Vaatimusten toteutuminen on auditoitu osana Kanta A3 -luokan auditointia.


Onko data selväkielisessä muodossa?


Tietokannasta levossa oleva data on selväkielisessä muodossa Invianin tietokantapalvelimilla. Salaus levossa mitigoi uhkia, jossa hyökkääjä pääsee fyysisesti varastamaan palvelinlaitteiden tallennusmedioita tai mediat joutuvat vääriin käsiin. Nämä uhat on mitigoitu muilla tavoin, mm. tiukalla fyysisellä turvallisuudella ja tallennusmedioiden asianmukaisella käsittelyllä pilvipalveluoperaattorin puolesta.



4. Ongelmatilanteet ja tukipalvelut


Miten verkko- tai tietoliikenne ongelmiin on varauduttu?


Invianin palvelimien verkkoyhteydet on toteutettu vikasietoisesti ja keskeiset verkkolaitteet on monennettu. Verkko-infrastruktuurin tilaa voi seurata osoitteessa:


https://status.upcloud.com/


Invianin asiakkaan vastuulla on huolehtia verkkoyhteyden toimivuus asiakkaan päätelaitteilta Internettiin ja tarvittavat varautumistoimenpiteet, jos Internet-yhteys ei toimi. Invian tarjoaa lisämaksullista Turva-palvelua, jossa tärkeimmät tiedot voidaan toimittaa asiakkaan sisäverkossa oleville palvelimille. Tällöin tiedot on saatavilla vaikka verkkoyhteys ei toimisi.


Miten saan tukea jos ohjelman käytön kanssa on ongelmia?


"Järjestelmien käyttöön liittyvät ongelmat (menettelyt, jos järjestelmä ei toimi, ei käynnisty tai toimii virheellisesti, järjestelmäntoimittajien yhteystiedot ja tukipalvelut)"


Tukinumeron lisäksi kaikki DomaCaren palvelut ovat jatkuva-aikaisessa seurannassa ja infrasturktuuritiimimme saa automaattisen hälytyksen, jos joku palvelu ei toimi.


Tuen yhteystiedot:

020 7424 090 (ma–pe klo 10-14)

tuki@domacare.fi

Tukisivusto: https://tuki.domacare.fi


Invianin asiakkaan vastuulla on tarvittavista varautumistoimenpiteistä, jos palvelu ei hetkellisesti ole saatavilla. Invian tarjoaa lisämaksullista Turva-palvelua, jossa tärkeimmät tiedot voidaan toimittaa asiakkaan sisäverkossa oleville palvelimille. Tällöin tiedot on saatavilla vaikka verkkoyhteys ei toimisi.



Miten toimitaan, jos havaintaan virus- tai haittaohjelma?


Invian Oy toteuttaa haittaohjelmilta suojautumisen Valviran sote-järjestelmien vaatimuksen AKYM08 mukaisesti. Vaatimuksen toteutuminen on auditoitu osana Kanta A3-luokan sertifiointia. Invianilla on raportointivelvollisuus, jos palveluun kohdistuu vakava tietoturvahaavoittuvaisuus.


Asiakkaan vastuulla on huolehtia omien päätelaitteidensa haittaohjelma- ja virussuojauksen ajantasaisuudesta ja toiminnasta tilanteessa, jolloin virus- tai haittaohjelma havaitaan. Yleisemmin viruksen ja haittaohjelmat on suunnattu kohdistumaan loppukäyttäjien päätelaitteisiin.


Miten toimitaan, jos työntekijän tunnukset ovat vuotaneet ulkopuolisille?


Invian on osana Visma-konsernia mukana Cyber Thread Intelligence -ohjelmassa. Ohjelmaan kuuluu automaattisia seurantavälineitä, joilla pyritään havaitsemaan mm. pimeän verkon keskustelua liittyen Visman tuotteisiin. Jos Invian saa esim. tätä kautta tietoonsa käyttäjätunnusten vuotamisen, ilmoitamme siitä viipymättä asiakkaalle.


Tunnusten turvaaminen ja niiden käytön seuranta on kuitenkin pääsääntöisesti Invianin asiakasorganisaation vastuulla.


 

Miten toimitaan, jos havaitaan tietojen kalastelua?


Invianin asiakaspalvelu on koulutettu varautumaan tietojen kalasteluun mm. vuosittaisilla tietoturvakoulutuksilla. Tämän lisäksi asiakaspalvelumme varmistaa yhteydenottajan henkilöllisyyden ennen asiakaspalvelutilannetta.


Todennäköisin tietojen kalasteluyrityksen kohde on Invianin asiakasorganisaatio. Tämän vuoksia asiakasorganisaatiolla tulee olla oma politiikka ja koulutus, jolla vähennetään tietojen kalastelun uhkaa.



Miten huolehditaan perehdytyksestä järjestelmän käyttöön?


Invian tarjoaa asiakasorganisaatiolle käyttöönotto- ja pääkäyttäjäkoulutuksia, joissa käydään läpi järjestelmän toimintaa. Lisäksi tukisivustoltamme löytyy laajat ja ajantasaiset ohjeet järjestelmän käytöstä. Ongelmatilanteissa asiakasorganisaatiot voivat olla yhteydessä DomaCare -tukeen.


DomaCare:n loppukäyttäjien koulutus ja perehdytys on kuitenkin asiakasorganisaation vastuulla osana tavanomaista työntekijöiden perehdytystä.



Miten huolehditaan perehdytyksestä järjestelmämuutoksen yhteydessä?


Invian tarjoaa asiakasorganisaatiolle käyttöönotto- ja pääkäyttäjäkoulutuksia, joissa käydään läpi järjestelmän toimintaa. Lisäksi tukisivustoltamme löytyy laajat ja ajantasaiset ohjeet järjestelmän käytöstä. Ongelmatilanteissa asiakasorganisaatiot voivat olla yhteydessä DomaCare -tukeen.


DomaCare:n loppukäyttäjien koulutus ja perehdytys on kuitenkin asiakasorganisaation vastuulla osana tavanomaista työntekijöiden perehdytystä.



5. Ohjelman käyttöön liittyviä kysymyksiä


Miten varmistetaan, että DomaCarea (etenkin DC2) ei käytetä esimerkiksi kotikoneelta tai muusta asiaankuulumattomasta paikasta tai asiaankuulumattomalta laitteelta?


Kaikki DomaCare -työasemat tulee rekisteröidä tietyn organisaation käyttöön, ennen kuin järjestelmään voidaan kirjautua. Laitteen rekisteröinnin jälkeen kirjautuminen tapahtuu käyttäjätunnuksella ja salasanalla. Pelkkä käyttäjätunnus ja salasana eivät siis riitä DomaCaren käyttöön ja vaikka esim. mobiilisovelluksen voi ladata kuka vaan, ei sitä voi käyttää ilman rekisteröintiä.


DomaCare 2 -selainversiossa sekä DC2 mobiilissa rekisteröidään tietty selain tai mobiililaite ja yhdistetään se tiettyyn organisaatioon. Rekisteröintiin tarvitaan voimassa oleva DomaCare:n käyttäjätunnus ja salasana ja lisäksi rekisteröintioikeudellisen henkilön puhelimeen tekstiviestillä lähetetty kertakäyttöinen tunniste. Organisaation ylläpitäjä voi päättää, kenelle laitteen rekisteröintioikeus annetaan. Rekisteröinnin jälkeen kuka tahansa organisaation käyttäjä voi kirjautua omalla käyttäjätunnuksellaan ja salasanallaan laitteelta DomaCareen. Tämä tarkoittaa, että rekisteröinnin voi tehdä eri henkilö, kuin henkilö joka lopulta pääsääntöisesti käyttää kyseistä laitetta.


Laitteen rekisteröintioikeuden omaavien henkilöiden vastuulla on varmistaa, että laitteen rekisteröinti kohdistuu hyväksyttyyn laitteeseen. Hänen vastuullaan on siis esimerkiksi varmistaa, että jos organisaatio ei salli käyttöä kotikoneilta, kotikonetta ei rekisteröidä DomaCaren käyttöön. Rekisteröintiin tarvittavaa kertakäyttöistä tunnusta ei pidä lähettää eteenpäin, jos ei voida olla varmoja minkä laitteen rekisteröintiin tunnus on tarkoitus käyttää.


Uuden autentikaatiomoduulin valmistuessa Q1/2025 aikana organisaatioiden on mahdollista ottaa käyttöön laitteiden rekisteröinti perustuen asiakasvarmenteeseen (client certificate). Asiakasvarmenne voidaan asentaa keskitetyn laitehallinnan kautta kaikille organisaation laitteille. Näin tekstiviestiin pohjautuvaa rekisteröintiä ei tarvita.



Miten varmistetaan, että henkilöt joiden työsuhde on päättynyt tai työn kuva on muuttunut eivät pääse käyttämään DomaCarea tai pääse näkemään asiakkaiden tietoja joihin heillä ei ole oikeutta?


Asiakasorganisaation tehtävänä on huolehtia, että käyttäjätunnukset ovat voimassa ainoastaan henkilöillä, joille asiakasorganisaatio sallii pääsyyn DomaCaree:n tallennettuihin tietoihin. 


DomaCaressa on mahdollista määrittää tunnusten voimassaolo seuraavilla tavoilla:

- Tunnukselle on mahdollista asettaa voimassaoloaika (alkuaika ja päättymisaika)

- Tunnus on mahdollista poistaa käytöstä joko väliaikaisesti tai pysyvästi


Lisäksi jos työntekijän työnkuva tai organisaatio muuttuu niin, että hänen käyttöoikeutensa muuttuvat, on asiakasorganisattion tehtävänä varmistaa, että työntekijälle päivitetään asiaankuuluva oikeustaso. Oikeustasojen muutos tulee voimaan välittömästi tai viimeistään muutoksen kohteena olevan käyttäjän seuraavalla kirjautumiskerralla.