• Created by Unknown User (erja.kinnunen@dvv.fi), last modified on 09.8.2023


1.

Käyttöliittymät ja rajapinnat eriytetään käyttäjätyyppien tarpeiden perusteella

Käyttäjätyypit jaotellaan käyttötapaustensa mukaan, esimerkiksi seuraavasti:

  • viranomaiset,
  • kuluttajat/kansalaiset/asiakkaat,
  • ylläpito,
  • yritykset ja
  • avoimen datan rajapinnat.

Käyttötapausten niin salliessa rajapinnat eriytetään siten, että käyttäjä ei saa samasta rajapinnasta erityyppisiä palveluita ainoastaan esimerkiksi todennetun käyttäjätyypin perusteella, vaan esimerkiksi rajapinnan osoite tai polku on erilainen ylläpito- ja loppukäyttäjätoiminnallisuudessa.

Käyttöliittymät rajataan toiminnallisesti sisältämään vain käyttäjäryhmän tarvitsema minimitoiminnallisuus. sekä pienin mahdollinen tietosisältö.

Esimerkki: Palvelu tarjoaa rajapintoja sekä kansalaisille että ylläpidolle. Koska palvelu on monoliittinen ja sitä ei olla jakamassa esimerkiksi mikropalveluihin, päätetään tarjota ylläpitotoiminnallisuudet ulkoisen rajapinnan tasolla "eri" rajapinnasta (esim. juuresta alkaen eri URI-polku), vaikka toteutus onkin samassa sovelluksessa. Tämä mahdollistaa rajapintojen helpomman valvonnan esimerkiksi lokijärjestelmissä tai web-sovelluspalomuureissa.



2.

Käyttövaltuudet hallitaan keskitetysti ja ne sovitetaan kulloiseenkin tarpeeseen

Käyttövaltuuksia hallitaan keskitetystä paikasta, jotta vältetään hajautetun valtuuksien hallinnan mahdolliset ristiriitaisuudet ja katvealueet. Käyttäjillä on käyttökokemukseen ja -tarpeeseen sovitetut käyttövaltuustasot ja tarvittaessa mahdollisuus vaihtaa niitä, jotta kaikkia toimintoja ei tarvitse tehdä aina korkeimmalla tasolla.


3.

Henkilötietojen käyttöön liittyvät tiedot ja valinnat tuodaan käyttäjille oikea-aikaisesti ja oikeassa viitekehyksessä

Henkilötietojen käsittelyyn, ja erityisesti henkilötietojen keräämiseen ja siirtoon, liittyvät tiedotteet ja luvat näytetään käyttäjille käyttökokemuksen perusteella parhaiten soveltuvassa tilanteessa ja ilmaisu on tehty käyttäjän ymmärrystaso huomioon ottaen. Henkilötietojen keräyksestä informoidaan asteittain tarkentuvalla tiedolla sen mukaan, kuinka tarkkoja tietoja käyttäjä tietojen käytöstä haluaa (nk. layered notice).


4.

Suostumuksen kysymisen käyttöliittymässä on oltava auditoitavissa

Käyttäjältä kysytyn henkilötietojen käsittelyyn liittyvän suostumuksen peruminen on oltava käyttäjälle yhtä helppoa kuin sen antaminen. Suostumuksen antamisesta ja perumisesta on jäätävä aikaleimattu lokimerkintä.


Vaatimus

EU:n yleinen tietosuoja-asetus (GDPR)

7 artikla Suostumuksen edellytykset



5.

Käyttäjä saa tehdä tietoturvaan vaikuttavan päätöksen vain, jos se on tarpeellista

Käyttäjä saa tehdä tietoturvaan vaikuttavan päätöksen, kuten esimerkiksi poikkeustilanteen hyväksynnän, vain, jos käyttäjä voi todellisuudessa tuoda päätökseen lisätietoa, jota järjestelmällä itsellään ei ole. Käyttöliittymän on uskottavasti pystyttävä takaamaan, että käyttäjä ymmärtää päätöksensä seuraukset. Muussa tapauksessa järjestelmän tulee automaattisesti tehdä turvallinen päätös käyttäjän puolesta, eikä käyttäjä saa pystyä ohittamaan päätöstä.



6.

Rajapinnat toteutetaan kieliopiltaan mahdollisimman yksinkertaisiksi

Rajapintojen hyväksymien syötteiden kieliopin on oltava mahdollisimman yksinkertainen, jotta syötteen oikeellisuuden tarkastaminen on helppoa tai edes mahdollista.



7.

Käyttöliittymät ja rajapinnat hylkäävät väärät syötteet kokonaisuudessaan

Mikäli rajapintaan tulee väärä syöte, koko syöte hylätään mahdollisimman varhaisessa vaiheessa. Syötettä ei yritetä tulkita, mikäli se on osittainkin virheellinen.



8.

Käyttöliittymät ja rajapinnat piilottavat tietovarantojen sisäisen toiminnallisuuden

Tietovarantojen sisäiseen toiminnallisuuteen liittyvät asiat, kuten tietokantarivien järjestysnumerot tai palvelimen tiedostojärjestelmän nimet eivät ole näkyvissä rajapinnan tai käyttöliittymän läpi.



9.

Jokainen rajapinta vaatii todennuksen ja valtuutuksen riippumatta verkkoympäristöstä

Ennen kutsujalle annettavaa valtuutusta on varmistettava, että kyseisiä tietoja saa luovuttaa kyseiselle henkilölle tai organisaatiolle. 

Jokaisen tarjottavan rajapinnan on todennettava kutsujan ja tarkistettava sen valtuutus. Rajapintoja ei saa avata edes luotettuun verkkoon niin, että kuka tahansa verkon alueelta pystyy kutsumaan rajapintaa tunnistautumatta.

Tästä ainoana poikkeuksena ovat tilanteet, joissa rajapintojen välillä on pisteestä toiseen toteutettu VPN-yhteys tai jos rajapinta on julkisen tiedon haku- tai monitorointirajapinta.



10.

Rajapinnoissa suositaan standardeja

Rajapintojen toteutuksissa suositaan protokollia ja tietojen esitys- ja siirtomuotoja, jotka ovat laajalti hyväksyttyjä ja käytössä.

Organisaation eri osissa standardoidaan ja yhtenäistetään samoihin tarkoituksiin tarkoitetut rajapinnat ja näiden toteutukset.



11.

Rajapintojen todennuksessa ja valtuutuksessa käytetään standardoituja protokollia ja algoritmeja

Todennus ja valtuutus perustuvat kryptografiaan. Kryptografisten protokollien ja algoritmien suunnittelu itse ei ole sallittua. Yleisesti hyväksyttyjen todennus- ja valtuutusprotokollien toteutus itse on sallittua, mutta niille on tehtävä tarkka suunnittelu- ja toteutuskatselmointi sekä testaus.



12.

Järjestelmien lähtevän sähköpostin asetukset ehkäisevät roskapostia ja tietojen kalastelua

Lähtevää sähköpostia varten on määritelty domain-pohjainen lähtevän sähköpostin todennus (DMARC), joka pyytää vastaanottajaa hylkäämään vialliset viestit.

Esimerkki: Organisaation domain-ylläpito määrittelee DKIM-, SPF- ja DMARC-tiedot ja tarjoaa sovelluskehittäjille tavan lähettää sähköpostia näiden alaisuudessa.










< 7.6 Pilviympäristöjen tietoturvaperiaatteet

7.8 Tietoturvatestauksen ja teknisen tarkastuksen yleisperiaatteet >