Tulostusversio

4/2011

Palveluntarjoajan vastuu: Verkkokauppias vastaa tietoturvasta

Teksti: Marjo Rautvuori

Jotta tietovuotoja ei tapahtuisi, asiakastietojen turvallinen käsittely pitää huomioida jo verkkopalvelua suunniteltaessa.

Verkkopalvelujen tietoturvallisuus on jälleen tapetilla, kun loppusyksystä kymmenien tuhansien suomalaisten asiakastietoja on päätynyt bittiavaruuteen kaikkien saataville.

Samaan aikaan verkkokauppa jatkaa Suomessa tasaista kasvuaan. Vuoden alkupuoliskolla suomalaiset ostivat verkkokaupoista yli viidellä miljardilla eurolla, mikä on 15 prosenttia edellisvuotta enemmän.

Kun verkkopalvelujen määrä vain kasvaa, kuinka huolehditaan siitä, että asiakastiedot eivät pääse vuotamaan ulkopuolisille? KPMG:n tietoturvallisuuspalveluista vastaava Mika Laaksonen kehottaa verkkopalvelujen tarjoajia laittamaan perusasiat kuntoon.

"Verkkokauppojen kehittäjien, toteuttajien, ostajien ja tilaajien pitäisi alusta alkaen tiedostaa tietoturva-asioiden tärkeys ja niihin mahdollisesti liittyvät ongelmat."

Yleisimmät haavoittuvuudet tiedossa

Silloin kun verkkokaupan tietoturvallisuudesta ei ole huolehdittu asianmukaisesti, syynä on yleensä ollut tietämättömyys tai välinpitämättömyys.

Laaksosen mukaan verkkopalvelujen suurimmat tietoturvaongelmat liittyvät hyvin tiedossa oleviin teknisiin ongelmiin, kuten syötteentarkastuksen tai sessionhallinnan puutteellisuuteen.

Laaksosen mukaan verkkokaupan tietoturvan tilasta saa parhaiten tietoa säännöllisellä tietoturvatestauksella. Tekninen tietoturva voidaan ainakin pääosin kattaa luottokorttitietojen PCI-vaatimukset toteuttamalla. Vaatimukset koskevat kuitenkin vain osaa verkkokauppojen palvelimista, sillä kaikilla palvelimilla ei välttämättä käsitellä luottokorttitietoja. Vaatimuksia voi silti soveltaa vapaaehtoisesti tällaisessakin tilanteessa.

Niitä, joiden palvelimet ovat osittain tai kokonaan ulkoistettuja, Laaksonen suosittelee pyytämään varmennusraporttia (ISAE) luotetulta kolmannelta osapuolelta. Sillä voidaan varmistaa, että palvelun tuottaja toimii vaatimusten mukaisesti. Eri toimialoilla on myös omia säädöksiään.

"Iso kysymys on tietysti se, mitkä ovat todellisuudessa pienen verkkokaupan taloudelliset ja muut resurssit huomioida kaikki edellä oleva."

Tietosuoja tunnetaan huonosti

Laaksosen mukaan verkkokauppiaat jättävät usein myös tietosuojan vaatimukset huomioimatta. Puutteita näkyy esimerkiksi suoramarkkinointisäännösten noudattamisessa ja henkilötietojen keräämisessä. Ongelmana on heikko tietämys verkkopalvelun tarjoajan lakisääteisistä velvoitteista. Lait jätetään huomiotta varsinkin rajat ylittävässä kaupassa, jossa tosin haastetta tuo tietosuojan ja siihen liittyvien vaatimusten vaihteleva taso eri maailmankolkissa.

Verkkokauppojen suurimpina yksittäisinä tietosuojaongelmina Laaksonen pitää evästeiden käyttöä ja siitä tiedottamista sekä henkilötietojen keräämisen ja käsittelyn valvonnan ja sanktioiden vaikeutta ja puutetta.

"Tähän liittyy sekin, että Suomessa ei tietovuodon sattuessa ole pakollista informoida asiasta niitä tahoja, joiden tietoja on vuodettu."

Riittääkö lainsäädäntö?

Verkkokaupoissa sovelletaan henkilötietolain säännöksiä henkilötietojen käsittelystä ja rekisterinpitäjän velvollisuuksista, kuten velvollisuudesta huolehtia tietojen suojaamisesta.

Tietosuojavaltuutetun toimiston tietoon ei ole tullut, että henkilötietolain soveltamisessa verkkokauppaan olisi noussut esiin ongelmia. Oikeusministeriön mukaan vireillä ei tältä osin ole lain uudistamiseen tähtääviä hankkeita.

Marraskuisen tietovuodon yhteydessä Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI huomautti, ettei palveluntarjoajilla ole nimenomaista velvollisuutta ilmoittaa vuodosta asiakkailleen. Ilmoittamatta jättäminen saattaa tosin vaikuttaa palveluntarjoajan vastuuseen aiheutuneista vahingoista.

EU:ssa valmistellaan parhaillaan henkilötietodirektiivin uudistamista. Komissio on ilmoittanut selvittävänsä, voitaisiinko henkilötietojen suojaa koskevissa loukkauksissa ottaa käyttöön yleinen ilmoitusvelvollisuus.

Oikeusministeri Anna-Maja Henriksson ei kommentoinut Tietosuojalle tietosuojaloukkausten ilmoitusvelvollisuuden mahdollista laajentamista kaikkiin palveluntarjoajiin.

Lue myös

Palveluntarjoajan vastuu: Verkkokauppias, tarkista nämä! »
Palveluntarjoajan vastuu: Yrittäjän linkkivinkit »
Palveluntarjoajan vastuu: Yritykset luottavat tietoturvaansa »
Palveluntarjoajan vastuu: Finnair vannoo PCI:n nimiin »
Palveluntarjoajan vastuu: Raportointi auttaa noudattamaan lakia »
Palveluntarjoajan vastuu: Lainsäädäntö ohjaa toimimaan tietoturvallisesti »
Palveluntarjoajan vastuu: Rekisterinpitäjän muistilista »
Palveluntarjoajan vastuu: Uusyrittäjää ei neuvota tietosuojasta »
Palveluntarjoajan vastuu: Rekisteritietojen tarkastus etanapostin varassa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.