# Finnish Trust Network Information

# Tunnistusperiaatteet (välitysperiaatteet)

Signicat välittää seuraavia tunnisteita:

Tunnistusväline Varmuustaso
Verkkopankkitunnistautuminen Korotettu
Mobiilivarmenne Korotettu
Tunnistusvälityspalvelu Varmuustaso
Signicat Connect Korotettu

# Tiedot palveluntarjoajasta

Signicat on Luottamusverkostossa toimiva tunnistusvälityspalvelun tarjoaja, joka on määritelty laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (533/2016, ”tunnistuslaki”) 2§:n 1 momentin 5 kohdassa: http://www.finlex.fi/fi/laki/ajantasa/2009/20090617 (opens new window).

Signicatin palvelun avulla verkkopalvelut voivat tarjota asiakkailleen useita eri tunnistustapoja yhdellä teknisellä rajapinnalla ja yhdellä sopimuksella. Signicatin palvelun piiriin kuuluvat kaikki Pohjoismaiset vahvat tunnisteet, eli mm. kaikki Suomalaiset vahvaa tunnistautumista tarjoavat verkkopankit.

Signicat AS:n pääkonttori on Norjassa, ja sillä on myyntiorganisaatiot Suomessa, Ruotsissa, Tanskassa, Hollannissa, Belgiassa, Saksassa ja Yhdistyneessä Kuningaskunnassa. Signicat on toiminut vuodesta 2006 lähtien ja se välittää vuosittain yli 270 miljoonaa tunnistustapahtumaa. Suomalaisille asiakkaille Signicat on toimittanut palvelua vuodesta 2008 lähtien. Suomen toimipiste avattiin 2013, jossa työskentelee tällä hetkellä seitsemän henkilöä. Yhteystiedot https://www.signicat.com/contact/signicat-suomi (opens new window).

# Keskeiset tiedot tarjottavista palveluista ja niiden hinnoista

Signicatin keskeisin palvelu Luottamusverkoston kannalta on tunnistuksen välityspalvelu (Signicat Connect).

Signictin välityspalvelu on helposti liitettävä palvelu, joka laajentaa erilaisten asiointipalveluiden tunnistamispalvelua tuomalla helposti kaikki sähköiset tunnisteet saataville yhdellä sopimuksella ja yhdellä järjestelmäintegraatiolla.

click-to-zoom

Tunnistautuva asiakas ei maksa tunnistuksen välityspalvelun käytöstä, mutta Signicat veloittaa palvelun käytöstä asiakkailtaan (joita ovat verkkokaupat ja sähköiset asiointipalvelut). Palvelun hinnoittelu muodostuu kahdesta osatekijästä: Kuukausimaksu ja transaktiomaksu (laskutetaan kuukausittain). Signicat puolestaan maksaa tunnistusvälineen tarjoajille (mm. verkkopankit, teleoperaattorit) tunnistuspalveluiden käytöstä tunnistuslain12 c §:n mukaisesti. http://www.finlex.fi/fi/laki/ajantasa/2009/20090617 (opens new window).

Tunnistuslain mukaisen tunnistuksen välityspalvelun lisäksi Signicat tarjoaa palveluita erilaisten tunnistustapojen yhdistelyyn (Signicat Assure), dokumenttien sähköiseen allekirjoittamiseen (Signicat electronic signatures), arkistointiin (Signicat Preserve) sekä identiteetinhallintaan (Signicat Identity).

Signicat Assuren osalta kyseessä ei ole tunnistuslain 17 §:n mukainen ensitunnistamistaminen.

Tarkemmat tuotekuvaukset löytyvät täältä: https://www.signicat.com/products/ (opens new window).

# Keskeiset tiedot sovellettavista ehdoista

Signicat noudattaa tunnistuspalvelujen tarjoajien kanssa solmimissaan Luottamusverkostoyhteistyösopimuksissaan tunnistuslakia, Traficomin Käytännesääntöjä sekä sen liitteenä olevaa Tietosuojakäytännettä.

Asiakassopimuksissaan Signicat on huomioinut edellä mainittujen lisäksi Tietosuoja-asetuksen , tietosuojalain sekä Tunnistuslain henkilötietoja käsittelevät säännökset.

# Palveluun liittyvät tietosuojaperiaatteet

Signicat toimii tunnistustapahtumassa käsittelijänä EU:n tietosuojalainsäädännön mukaisesti. Signicat välittää asiointipalvelun ja tunnistusvälineen tarjoajan tunnistettavan kanssa tekemiin toimeksiantosopimuksiin perustuen tunnistetusta henkilöstä Traficomin määräyksen 72 mukaisesti vähimmäistietoina henkilön yksilöivä tunnisteen (HETU), henkilön etunimen, henkilön sukunimen sekä henkilön syntymäajan (saadaan HETUN sisällöstä).

Tunnistusvälineen tarjoaja (esim. verkkopankki) palauttaa Signicatille tunnistetusta henkilöstä yllä mainitut tiedot. Signicat välittää tiedot sellaisinaan asiointipalvelulle. Signicat ei käsittele tunnistettavien henkilötietoja muuhun tarkoitukseen.

Signicat tallettaa yksittäisen tunnistustapahtuman todentamiseksi tarvittavat tiedot teknisiin lokitiedostoihin tunnistuslain 24 §:n mukaisesti. Lokitietoja säilytetään tunnistuslain 24§:ssä määritetyn ajan.

Tunnistuksessa tarvittavassa henkilötietojen välityksessä noudatetaan soveltuvaa henkilötietojen käsittelyä koskevaa lainsäädäntöä kuten tietosuojalakia, EU:n yleistä tietosuoja-asetusta, sekä tunnistuslain henkilötietojen käsittelyä koskevia säännöksiä.

Henkilötietojen käsittelyn turvallisuuden varmistaminen on toteutettu seuraavilla toimenpiteillä:

# Tiedonsiirto

Kaikki tietoliikenne asiakasinfrastruktuurin ja Signicat-infrastruktuurin välillä on toteutettu web-services tekniikoilla. Viestien aitous, eheys ja luottamuksellisuus turvataan käyttämällä kaikkia seuraavia toimenpiteitä:

  • Tehostettu kaksisuuntainen SSL, asiakassovellusten todennus. Asiakassovelluksella on oma asiakassertifikaatti.
  • Sanomatason salaus (Message-level encryption): Kaikki henkilötietoja sisältävät viestit salataan myös viestitasolla, jotta voimme varmistaa vain asiakasyrityksen voivan lukea datan. Asiakkaalla on oma sertifikaatti tätä suojausta varten.
  • IP-suodatus. Vain asiakkaiden IP-osoitteet sallitaan, jotka voivat tehdä kutsuja verkkopalveluun.
  • Käyttäjätunnus ja salasana (viestitaso).
  • Asiakkaalla on oma käyttäjätunnus ja salasana.

# Liiketoiminnan jatkuvuuden hallinta

Palvelun toimintavarmuuden ja saatavuuden varmistamiseksi Signicatilla on korkean saatavuuden (HA) ratkaisu. Vikasietoisuus on turvattu kahdella eri palvelimien sijainnilla, joilla on yli 4 kilometrin etäisyys toisistaan. Palvelinkeskukset on kytketty eri sähköverkkojen ja Internet-yhteyspisteiden piiriin.

Varmuuskopiointi (sovellus + data) otetaan päivittäin ja tallennetaan pois sivustolta samoilla turvallisuusvaatimuksilla kuin reaaliaikaiset tiedot.

# Fyysinen ja looginen pääsynhallinta

Turvallisuusvaatimukset fyysiselle ja loogiselle pääsynvalvonnalle on kuvattu Tietoturva-asetuksissa, joka noudattaa Information Security Management System (ISMS) dokumentoitua prosessia ja on ISO 27 001 mukainen.

# Avainhallinta

Turvallinen avainhallinta on keskeinen osa Signicatin operatiivista toimintaa. Käytämme avainhallintajärjestelmää, joka tarjoaa turvallisuushyödyt hienojakoisen pääsynhallinnan, tarkkailun kirjaamisen ja salatun tallennuksen kautta. Erityisiä turvallisuusvaatimuksia käyttävissä avaimissa Signicat käyttää HSM moduleja.

# Protokolla ja api-tietoturva

Signicatin Connect-tuote (käytetään Luottamusverkoston tunnistusvälityspalveluna) tukee Traficominkin suosittelemia tunnistukseen käytettäviä protokollia:

  • SAML2-protokollaan, jonka suojaus on “sisäänrakennettu”.
  • OpenID Connect (OIDC)

# Tietoturvaperiaatteet

Signicatin julkaistut tietoturvaperiaatteet löytyvät englanninkielisinä Signicatin www-sivustolta: https://www.signicat.com/about/security-and-trust (opens new window)

Mikäli sinulla on kysyttävää Signicatin henkilötietojen käsittelystä, otathan yhteyttä sähköpostitse: tietosuoja.asetus@signicat.com.

# Pääyhteistyökumppanit

Hosting-palvelut Signicat hankkii Basefarm AS-yritykseltä.

Signicat toimii yhteistyössä kansainvälisten isojen IT-yritysten kanssa kuten Tieto, Accenture, Salesforce ja Microsoft. Signicatin paikallisiin Pohjoismaisiin tärkeisiin yhteistyökumppaneihin lukeutuu mm.Vincit, Nixu, HiQ ja Knowit. Lisää kumppaniyhteistyöstä https://www.signicat.com/plugins (opens new window).

# Tunnistuslain 29§ mukainen vaatimustenmukaisuuden arviointi

Nixu Certification Oy on arvioinut Signicatin palvelut 6-8/2017, johon liittyvä raportti on toimitettu Traficomille. Vaatimustenmukaisuusauditointi tehdään kahden vuoden välein tai aiemmin, mikäli tunnistuksenvälityspalveluun tehdään merkittäviä muutoksia.

# Viranomaisvalvonta

Suomen Tunnistuslain mukaista tunnistuksenvälityspalvelua valvova toimivaltainen viranomainen on Liikenne– ja Viestintävirasto Traficom. Tämän valvonnan piiriin kuuluvat vain Suomessa Luottamusverkostoon kuuluvat tunnistusvälineet.

Last updated: 14/02/2023 08:05 UTC