Yksityisyys ja turvallisuus

    Yksityisyytesi ja tapahtumatietojesi suojaaminen on tärkein prioriteettimme. Siksi turvatietoisimmatkin organisaatiot luottavat Lyytiin.

    Lyyti noudattaa täysin GDPR-säännöksiä ja täyttää tai ylittää kaikki yleisen tietosuoja-asetuksen asettamat vaatimukset.

    data_security
    Tribal Spirit

    Yksityisyytesi ja tapahtumatietosi ovat etusijalla


    25.5.2018 voimaan astunut Euroopan unionin yleinen tietosuoja-asetus (GDPR) on yksi tärkeimmistä kansainvälisistä tietosuojalainsäädännön muutoksista vuosikymmeniin. Asetuksen tarkoituksena on lisätä yksilön oikeuksia hallita ja käsitellä henkilötietojaan sekä yhdenmukaistaa lainsäädäntöä Euroopan unionin sisällä.

    Lyyti on sitoutunut uuteen tietosuoja-asetukseen. Sen lisäksi, että noudatamme itse määräyksiä, meidän on tärkeää auttaa asiakkaitamme heidän noudattamisessaan. Tämä tavoite saavutetaan koulutuksella, ohjeistuksella ja ohjelmistomme teknisellä kehittämisellä.

    Lyyti on turvallinen ja luotettava kumppani.

    Lyyti on osallistujadatan hallintaan erikoistunut palvelu, jonka avulla hallitaan vuosittain yli 70 000 tapahtumaa ja miljoonia ilmoittautumisia. Ilmoittautumisissa puhutaan aina henkilötiedoista, joiden säilytys ja käsittely kuuluu EU:n uuden tietosuoja-asetuksen piiriin. Pohjoismaiden suosituimpana tapahtumanhallintapalveluna Lyyti on halunnut toimia asiassa suunnannäyttäjänä ja tarjota asiakkailleen kaikki asetuksen vaatimat työkalut – ja vielä enemmän.

    Tekemiemme satojen asiakashaastattelujen perusteella erilaiset organisaatiot ympäri Eurooppaa painivat samankaltaisten haasteiden kanssa tietosuoja-asetukseen liittyen. Esittelemme tällä sivulla esimerkkejä näistä haasteista, sekä kerromme miten autamme organisaatioita ratkaisemaan juuri nämä asiat.

    Tarjoamme kaikille asiakkaillemme työkalut tietosuoja-asetuksen velvoitteiden täyttämiseen osana heidän nykyistä sopimustaan. Koska asiakkaiden tarpeet vaihtelevat, olemme paketoineet osan edistyneemmistä ominaisuuksista kuulumaan joko Tietosuojakeskukseen (sisältyy kaikkiin 1.1.2017 jälkeen hankittuihin tai päivitettyihin sopimuksiin) tai Enterprise-lisenssiimme. Jokaisen kappaleen yhteydessä on mainittu mihin Lyytin lisenssityyppiin kyseinen toiminnallisuus sisältyy.

    Lyytin tietoturvaominaisuudet

    Siellä täällä sijaitsevat henkilötietolistat eli hajautetut rekisterit aiheuttavat ongelmia. Varsinkin tapahtumissa näitä listoja muodostuu helposti kun erilaisia tietoja jaetaan erilaisille toimijoille, esim. majoituskohteelle tai pitopalvelulle.

    Lyyti tarjoaa yhden eheän tietokannan, jossa kaikkia henkilötietoja voi turvallisesti säilyttää ja jonka avulla osallistujatietoja voi helposti jakaa ilman että tiedoista tarvitsee tallentaa erillistä kopiota. Kutsumme tätä online-raportiksi, jonka näkyvyyden, voimassaoloajan ja mahdollisen salasanasuojauksen järjestäjä voi itse päättää. Tämä minimoi yhden suurimmista tietosuojariskeistä, eli sinne tänne tallennettujen listojen olemassaolon.

    Online-raportit sisältyvät kaikkiin Lyytin lisenssityyppeihin.

    Tietosuojaseloste, tai rekisteriseloste, kuvaa rekisteröidylle hänestä kerätyn tiedon käyttötarkoitukset. Yrityksellä voi olla yksi tai useampia rekistereitä (esim. markkinointirekisteri, henkilöstörekisteri). Selosteen tulee aina olla rekisteröidyn nähtävillä.

    Tarjoamme kaikille asiakkaillemme mahdollisuuden luoda ja näyttää yhden tietosuojaselosteen usealla eri kielellä. Käytännössä tämä tarkoittaa tapausta, jossa Lyytillä hallitaan yhteen rekisteriin kuuluvia tietoja.

    Tietosuojaseloste sisältyy kaikkiin Lyytin lisenssimalleihin.



    Jos yritys hallinnoi Lyytillä useaan eri rekisteriin kuuluvia tapahtumia (esim. asiakastapahtumia, jotka liittyvät markkinointirekisteriin ja henkilöstötapahtumia, jotka liittyvät henkilöstörekisteriin), saattaa olla tarve hallita myös useita eri tietosuojaselosteita.

    Rekisterit voivat olla Lyytissä suostumuspohjaisia, jolloin ilmoittautujan tulee laittaa rasti ruutuun osoittaakseen suostumuksensa. Rekisteri voidaan myös asettaa pohjautumaan johonkin muuhun perusteeseen, jolloin peruste ilmoitetaan osallistujalle ilmoittautumisen yhteydessä, mutta hänen ei tarvitse erikseen vahvistaa suostumustaan.

    Useat eri rekisterit mahdollistavat myös ns. tapahtumatoimistokäyttömallin. Tässä mallissa asiakkaamme toteuttaa tapahtumia omille asiakkailleen, eikä siten ole rekisterinpitäjä, vaan rekisterin käsittelijä asiakkaansa puolesta. Tapahtumatoimisto voi luoda asiakaskohtaisia tietosuojaselosteita, hallita asiakaskohtaisia suostumuksia ja myös poistaa tietoa asiakaskohtaisista rekistereistä.

    Useamman rekisterin ominaisuus sisältyy lisensseihin joissa on Lyytin Tietosuojakeskus. Tietosuojakeskus sisältyy 1.1.2017 jälkeen hankittuihin tai päivitettyihin lisensseihin.

    Mikäli osallistujalta kysytään suostumusta myös johonkin vapaaehtoiseen sitoumukseen, esimerkiksi uutiskirjeen vastaanottamiseen, voidaan suostumusta hallita Lyytissä. Lyytin suostumuskysymysten perusteella suostumustiedon kerääminen ja hallinta on helppoa ja myös osallistujalle yksinkertaista. Mikäli suostumus on jo annettu jossain aiemmassa tapahtumassa, tunnistaa Lyyti tämän henkilön sähköpostiosoitteen perusteella, eikä suostumusta tarvitse erikseen uusia.

    Yksi suostumuskysymys ja suostumustiedon hallinta sisältyy kaikkiin Lyytin lisenssimalleihin.

    Mikäli organisaatiolla on käytössään useita eri suostumuksia, kuten esimerkiksi useampia eri uutiskirjeitä tai muita markkinointilupia, voidaan Lyytissä luoda rajaton määrä eri suostumuskenttiä. Kuhunkin tapahtumaan on mahdollista erikseen valita ne suostumuskysymykset, jotka järjestäjä kokee tarpeelliseksi.

    Usean suostumuksen ominaisuus sisältyy lisensseihin joissa on Lyytin Tietosuojakeskus. Tietosuojakeskus sisältyy 1.1.2017 jälkeen hankittuihin tai päivitettyihin lisensseihin.



    Tietosuoja-asetuksen mukaan rekisteröidyllä (eli tässä yhteydessä osallistujalla) on oikeus tarkastaa yrityken rekisterissä olevat omat henkilötietonsa sekä tarvittaessa pyytää niiden osalta korjausta.

    Lyyti on toteuttanut henkilön sähköpostiosoitteeseen perustuvan haun, joka hakee joko yhden käyttäjän tapahtumista tai kaikista organisaation tapahtumista kaikki henkilöön liittyvät tiedot ja tuottaa niistä joko PDF-dokumentin tai konekielisen tiedoston.

    Osallistujatietojen haku yhden lisenssikäyttäjän tapahtumista kerrallaan kuuluu kaikkiin Lyytin lisenssimalleihin.

    Koko organisaation kattava haku ja pdf- sekä konekielidokumenttien luonti sisältyvät lisensseihin joissa on Lyytin Tietosuojakeskus. Tietosuojakeskus sisältyy 1.1.2017 jälkeen hankittuihin tai päivitettyihin lisensseihin.

    Mikäli organisaatiolla on käytössään useita eri rekistereitä, tarjoamme työkalut myös henkilötietojen hakemiseen joko vain yhdestä tai kerralla kaikista rekistereistä.

    Henkilötietojen haku useasta rekisteristä sisältyy lisensseihin joissa on Lyytin Tietosuojakeskus. Tietosuojakeskus sisältyy 1.1.2017 jälkeen hankittuihin tai päivitettyihin lisensseihin.

    Henkilötieto lakkaa olemasta henkilötietoa, kun sitä ei enää voi yhdistää luonnolliseen henkilöön. Tätä kutsutaan anonymisoinniksi. Tämän jälkeen tieto ei ole enää tietosuoja-asetuksen alaista, vaan esimerkiksi tilastotietoa. Tarve anonymisointiin voi syntyä useasta eri syystä, kuten rekisteröidyn pyynnöstä tai kun henkilötiedon käsittelytarve lakkaa (esim. tapahtumasta on kulunut jo riittävä aika).

    Anonymisointityökalu yhden yksittäisen henkilön tietojen anonymisointiin sisältyy kaikkiin Lyytin lisenssimalleihin.

    Mikäli tietoja kertyy useampaan rekisteriin, saattaa joskus syntyä tarve näyttää tiedot tai poistaa tiedot koskien myös vain yhtä rekisteriä. Yksi esimerkki tällaisesta tarpeesta on organisaatio, jossa osallistuminen vaatii suostumusta osallistujarekisteriin, mutta käytännön syistä markkinointirekisteri ja asiakasrekisteri on haluttu pitää erillään. Tällöin osallistujan tiedot voidaan hakea vain yhdestä rekisteristä ja myös poistaa vain tästä.

    Myös tapahtuma- ja kongressitoimistot arvostavat tätä ominaisuutta, sillä näin eri asiakkaiden osallistujatiedot eivät sekoitu keskenään ja tietopyynnöt voidaan kohdistaa oikean asiakkaan rekisteriin.

    Anonymisointi joko yhdestä tai useammasta rekisteristä sisältyy lisensseihin joissa on Lyytin Tietosuojakeskus. Tietosuojakeskus sisältyy 1.1.2017 jälkeen hankittuihin tai päivitettyihin lisensseihin.

    Koko tapahtuman anonymisointi yhdellä klikkauksella on kätevä työkalu esimerkiksi vanhojen, jo arkistoitujen tapahtumien henkilötietojen hävittämiseen.

    Yhden tapahtuman anonymisointi sisältyy lisensseihin joissa on Lyytin Tietosuojakeskus. Koska anonymisointi on aina peruuttamaton toimenpide, on tämä työkalu vain pääkäyttäjän käytössä.

    Automaattinen anonymisointi tarkoittaa työkalua, jossa pääkäyttäjä voi asettaa erilaisia sääntöjä tietojen poistoon. Näitä työkaluja ovat mm. tietojen ajastettu anonymisointi ja tietyn halutun kentän tai kysymyksen automaattinen anonymisointi.

    Nämä ominaisuudet vastaavat ennen kaikkea useita käyttäjiä sisältävien organisaatioiden tarpeisiin tai sellaisille asiakkaille, jotka haluavat keskittää tietojen poiston hallinnan koko organisaation tasolla.

    Automaattinen anonymisointi sisältyy Enterprise-tason lisensseihin.



    Tapahtumailmoittautuminen toimii usein suostumuksen lähteenä (henkilö esimerkiksi ilmoittautuu tapahtumaan ja ilmoittaa samalla suostumuksensa markkinointirekisterin mukaiseen uutiskirjeen vastaanottamiseen). Tällöin suostumustieto tulee viedä toiseen järjestelmään, jossa henkilötiedon käsittelyä jatketaan.

    Suostumustiedon haku ja vienti raportointitoimintomme kautta Excel-tiedostona kuuluu kaikkiin lisenssimalleihin.

    Asiakkaat, jotka hallitsevat Lyytin kautta kerättyjä henkilötietoja pääsääntöisesti jossain toisessa järjestelmässä (CRM, markkinoinnin automaatio, HR-järjestelmät jne.) arvostavat mahdollisuutta automatisoida suostumustiedon ylläpito. Heille mahdollistamme suostumustiedon viennin sekä tuonnin rajapintamme avulla.

    Suostumustiedon vienti toisiin järjestelmiin ja tuonti toisista järjestelmistä Lyytiin rajapintaamme hyödyntäen sisältyy Enterprise-lisenssiin.

    Arkaluontoista tietoa on esimerkiksi henkilön terveyteen, puoluetaustaan tai sukupuoliseen suuntautumiseen liittyvä tieto. Usein tapahtumissa kysytään esimerkiksi allergiatietoa, joka on terveyteen liittyvä tieto. Arkaluontoista tietoa kannattaa säilyttää vain välttämätöntä käyttötarkoitusta varten.

    Lyyti tarjoaa mahdollisuuden määrittää erilaisia kysymyksiä arkaluontoisiksi ja määrittää näille tiedoille poistoasetukset. Yrityksen pääkäyttäjä voi asettaa asetukset koko organisaatiolle pakottaviksi, varmistaen näin tiedon turvallisen ja varman hävittämisen.

    Pääkäyttäjä voi määrittää tietyn vakiokysymyksen arkaluontoiseksi: Jos järjestäjä lisää tapahtumaan tällaisen kysymyksen, poistuu sen tuoma tieto pääkäyttäjän määrittämän säännön mukaisesti. Toinen vaihtoehto on määrittää geneerinen sääntö arkaluontoisen tiedon hävittämiseen: Jos järjestäjä merkkaa jonkun itse luomansa kysymyksen arkaluontoiseksi, noudattaa kysymys pääkäyttäjän määrittämää automaatiota tiedon poistamisessa.

    Tieto voidaan määrittää poistuvaksi joko ilmoittautumishetkeen tai tapahtuman päättymishetkeen perustuen. Ilmoittautumishetkeen perustuva poistuminen on kätevä, jos Lyytiä käytetään esimerkiksi rekrytoinnissa jatkuvasti avoinna olevana tapahtumana. Muissa kuin jatkuvasti avoinna olevissa tapahtumissa suosittelemmme käyttämän tapahtuman päättymishetkeen perustuvaa tiedon poistoa.

    Arkaluontoisen tiedon hallintatyökalut sisältyvät Enterprise-lisenssiin.

    Muistakaa, että tapahtumia ei missään nimessä tarvitse poistaa, sillä tapahtuma ei ole henkilötieto. Vanhojen tapahtumien henkilötietojen osalta jokaisen tapahtuman kohdalla tulee erikseen analysoida:

    • Onko järjestäjällä velvollisuus säilyttää henkilötietoja (esim. koulutuksen todistamista varten tai kirjanpitolain vaatimuksiin liittyen)?
    • Onko järjestäjällä oikeutettu etu säilyttää tietoja (esim. tapahtuma omille asiakkaille, joiden tiedot jo kuuluvat asiakasrekisteriin)?
    • Onko järjestäjällä liiketoimintaan liittyvä tarve säilyttää tietoja (esim. usein toistuva tapahtumasarja, jossa aiempien vuosien osallistumistieto vaikuttaa tulevien vuosien kutsulistoihin)?

    Jos mitään tarvetta tietojen säilyttämiseen ei ole, voi olla paikallaan anonymisoida vaikkapa yli kaksi vuotta vanhat tapahtumat. Suosittelemme, että tämä tehdään tapahtuma kerrallaan, sillä anonymisointi on peruuttamaton toimenpide. Tietojen palauttaminen ei ole mahdollista.

    Jos asiakas kaikesta huolimatta haluaa anonymisoida kokonaisten tapahtumien henkilötietoja, teemme tämän kerran veloituksetta asiakkaan puolesta.

    Tietoturva

    Tietoturvan korkea taso on meille ensiarvoisen tärkeää.

    Tietoturvan korkean tason ylläpitäminen on tärkein prioriteettimme. Kun uskot tapahtumatietosi Lyytiin, voit olla varma sen turvallisuudesta. Olemme 100-prosenttisesti sitoutuneet noudattamaan tiukkoja turvallisuusstandardeja useiden suojakerrosten avulla.

    Lyytin avulla sinulla on kaikki tarvittavat työkalut osallistujatietojen turvalliseen hallintaan.

    Lyytin tietoturvan hallintajärjestelmä (ISMS) on ISO/IEC 27001 -standardin mukainen ja sisältää kattavan valikoiman turvatoimia. Näihin toimenpiteisiin kuuluvat tarkastukset, käytännöt, ohjeet, suunnitelmat ja menettelyt, jotka kaikki on suunniteltu turvaamaan toimintamme kaikki osa-alueet.

    Lyyti käsittelee tietoja yksinomaan EU:n alueella noudattaen tarkasti GDPR:ää (2016/679).
    Lyytin tilat on suunniteltu ja varusteltu tiukkoja turvallisuusmääräyksiä noudattaen.
    Toimintatiimi valvoo jatkuvasti Lyytin toimivuutta. Ryhmä palvelee 24/7, vuoden jokaisena päivänä.
    Seuraamme jatkuvasti Lyyti-ympäristöjä tunnistaaksemme ja korjataksemme mahdolliset haavoittuvuudet ripeästi.

    Kaikki Lyytin aliprosessorit on valittu huolellisesti täyttämään tiukat turvallisuusstandardimme. Jokainen alikäsittelijä auditoidaan vuosittain vaatimustenmukaisuuden varmistamiseksi, ja luettelo kumppaneista on saatavilla Lyytin verkkosivuilla.
    Lyytin varmuuskopiointijärjestelmä on vankka, ja se sisältää neljä erillistä toimintatasoa, jotka on maantieteellisesti erotettu turvallisuuden parantamiseksi.

    Henkilöstön turvallisuusohjelmamme velvoittaa kaikki työntekijät suorittamaan vuosittaisen tietoturva- ja tietosuojakoulutuksen, mikä varmistaa, että tiimimme on hyvin perehtynyt korkeimpien tietoturvastandardien ylläpitämiseen.

    Lyytin tietoturvaohjelma

    Lyytin tietoturvaohjelma kattaa yrityksen toiminnan kaikki alueet. Tietoturvan hallinnalla suojataan Lyytin ydinarvot, kuten henkilöstö, tiedot, maine, omaisuus, resurssit ja ympäristö. Lyytin tietoturvan tavoite on parantaa yrityksen kilpailukykyä varmistamalla kaiken käsitellyn tiedon luottamuksellisuus, eheys sekä saatavuus, kaikissa tiedon käsittelyn eri vaiheissa.

    Lyytin tietoturvan hallintajärjestelmä

    Lyytin tietoturvan hallintajärjestelmä (ISMS) pohjautuu ISO/IEC 27001 -standardiin ja se sisältää erilaisia tietoturvan hallinnan toimenpiteitä. Näihin sisältyy esim. hallintakeinot, politiikat, ohjeet, suunnitelmat ja parhaat käytännöt, ja ne on suunniteltu turvaamaan toimintamme kaikki osa-alueet.

    Fyysinen turvallisuus

    Lyytin toimisto on varustettu elektronisilla lukitusjärjestelmällä, kameravalvonnalla sekä moderneilla murtohälytysjärjestelmillä. Ulkopuolinen turvapalveluyritys valvoo tiloja ympäri vuorokauden, vuoden jokaisena päivänä. Jokaisella työntekijällä on henkilökohtainen elektroninen avain ja  kaikki kulkutapahtumat kirjataan ja niitä voidaan tarvittaessa tutkia.

    Lyytin hosting-palveluntarjoaja noudattaa useita alan tunnettuja turvallisuusstandardeja, kuten ISO 9001, SOC 1 Type II, SOC 2 Type II, ISO 27001, ISO 22301 sekä PCI-DSS. Palveluntarjoajan kaikki voimassa olevat sertifikaatit.

    Tietojen luokittelu

    Lyyti käyttää kolmiportaista tietojen luokittelumallia. Kriteerit tietojen luokittelulle sekä tietojen käsittelyohjeet jokaiselle tasolle on kuvattu politiikoissa. Työntekijöille annetaan säännöllistä koulutusta näistä menettelyistä oikean tietojen käsittelyn varmistamiseksi.

    Päätelaitteiden turvallisuus

    Kaikki yrityksen tietoja käsittelevät laitteet ovat yrityksen omistamia, ja ne on kovennettu dokumentoidusti. Laitteet on suojattu erilaisia hyökkäyksiä vastaan ympäri vuorokauden valvotulla XDR-ratkaisulla. Päätelaitteiden hallintaan käytetään MDM-ratkaisua, jolla varmistetaan että kaikki laitteet ovat vaatimustenmukaisia ja salattuja. Käyttäjien on ilmoitettava kaikista laitteiden käytön aikana havaitsemistaan poikkeavuuksista.

    Lyytin Acceptance Use Policy määrittelee yrityksen IT-resurssien ja yrityksen omistamien laitteiden käytön säännöt sekä menettelyt sääntöjen mahdollisissa laiminlyönneissä.

    Turvallisuus-koulutukset

    Uusien työntekijöiden on suoritettava tietoturva- ja tietosuojakoulutus sekä läpäistävä siihen liittyvä testi ensimmäisenä työpäivänään. Koulutusten sisältöä päivitetään säännöllisesti ja ne suoritetaan jatkossa vähintään vuosittain. Koulutusten suorittamista valvotaan.

    Ohjelmistokehittäjät koulutetaan vähintään vuosittain lisäksi turvallisen ohjelmistokehityksen parhaisiin käytäntöihin.

    Salauskäytännöt

    Kaikki yrityksen omistamat laitteet on salattu. Asiakkaiden tiedot käsitellään aina salatussa muodossa, sekä lepotilassa (at rest) että siirron aikana (in transit).

    Lyytin tietoturvavastuut

    Kaikki Lyytin tietoturvaan liittyvät keskeiset roolit ja sijaiset on kuvattu yrityksen sisäisessä dokumentinhallintajärjestelmässä. Yrityksen viestintäkanavat sisältävät vastuuhenkilöiden yhteystiedot.

    Tietoturvapolitiikat

    Lyytin tietoturvadokumentaatio koostuu useista hallituista politiikkadokumenteista ja ohjeista, joilla jokaisella on vastuuhenkilö. Dokumentit katselmoidaan vuosittain tai aina, kun sisältöön tehdään muuten merkittäviä muutoksia. Näin varmistaan, että politiikat ja ohjeet pysyvät ajan tasalla ja ovat linjassa organisaation tavoitteiden, päämäärien sekä lakisääteisten vaatimusten kanssa.

    Tietomurrot ja häiriönhallinta

    Lyyti ylläpitää dokumentoitua järjestelmää tietoturvaloukkausten valvontaan ja hallintaan. Työntekijöiden on viipymättä ilmoitettava havaitsemistaan tai epäilemistään tietoturvapolitiikan rikkomuksista, murtoyrityksistä, tietomurroista, laitteiden varkaudesta tai katoamisesta sekä muista tietoturvaan liittyvistä poikkeamista.

    Lyytin häiriönhallinnan dokumentaatiot tarkastetaan vuosittain ja se on kaikkien työntekijöiden saatavilla. Dokumentaatio sisältää kommunikointiohjeet ja korostaa nopean reagoinnin merkitystä Lyytin palveluiden ja tietojen suojaamiseksi.

    Jatkuvuussuunnittelu

    Lyytillä on liiketoiminnan jatkuvuussuunnitelma (BCP), jota tukee kattavat palautussuunnitelmat (DRP). Näiden avulla varmistetaan kriittisten toimintojen jatkuvuus kriisitilanteen aikana ja sen jälkeen. Palautumissuunnitelman ensisijainen tavoite on minimoida järjestelmän käyttökatkot ja tietojen häviäminen. Dokumentteja tarkastellaan säännöllisesti niiden ajantasaisuuden  varmistamiseksi.

    Haavoittuvuuksien hallinta ja valvonta

    Lyytillä on liiketoiminnan jatkuvuussuunnitelma (BCP), jota tukee kattavat palautussuunnitelmat (DRP). Näiden avulla varmistetaan kriittisten toimintojen jatkuvuus kriisitilanteen aikana ja sen jälkeen. Palautumissuunnitelman ensisijainen tavoite on minimoida järjestelmän käyttökatkot ja tietojen häviäminen. Dokumentteja tarkastellaan säännöllisesti niiden ajantasaisuuden  varmistamiseksi.

    Penetraatiotestaukset

    Riippumaton ulkopuolinen yritys suorittaa järjestelmän penetraatiotestauksen vähintään kerran vuodessa. Kaikki havainnot dokumentoidaan ja käsitellään asianmukaisesti. Tiivistelmä viimeisimmästä penetraatiotestauksesta löytyy täältä.

    Päivitysprosessit

    Lyytin tuotantojärjestelmiä valvotaan jatkuvasti mahdollisten haavoittuvuuksien varalta. CVSS v3.0-luokitusjärjestelmän mukaan "kriittisiksi" tai "korkeiksi" luokitellut haavoittuvuudet paikataan välittömästi, ja "keskitasoiset" ja sitä matalammat haavoittuvu  udet korjataan kuukauden kuluessa päivityksen julkaisusta.

    Työntekijöiden ja alihankkijoiden turvallisuuskäytännöt

    Lyyti on sitoutunut noudattamaan parhaita tietoturvakäytäntöjä, sisältäen myös työntekijöiden ja alihankkijoiden rekrytointi- ja perehdytysprosessit. Rekrytoimme ainoastaan luotettavia ja vastuullisia työntekijöitä, ja kaikki sopimukset sisältävät myös salassapitolausekkeen.

    Tietoturvan varmistamiseksi henkilöstö ja alihankkijat käyvät läpi koulutuksen ja suorittavat testit ennen käyttöoikeuksien myöntämistä. Pääsyoikeuksia tarkastellaan työnkuvien mukaan, jolla varmistetaan vain välttämätön pääsy yrityksen tietoihin.

    Työntekijän offboarding

    Työntekijän työsuhteen päättyessä, noudatetaan dokumentoitua yksityiskohtaista  offboarding-prosessia, jolla varmistetaan mm. käyttäjätilien lopettaminen ja yrityksen omistamien IT-laitteiden palautuminen. Kaikki Lyytin omistamat IT-laitteet on kirjattu omaisuusrekisteriin ja niitä hallinnoidaan dokumentoitujen käytäntöjen mukaisesti. 

    Datan sijainti ja alikäsittely

    Kaikki Lyytin käsittelemä tieto, mukaanlukien alihankintakäsittely, käsitellään ainoastaan EU-alueella. Kaikki alihankkijat arvioidaan vuosittain osana Lyytin riskienhallintaprosesseja. Lyytin käyttämät alihankkijat. 

    Lyyti in numbers

    55+

    Employees around Europe

    2100+

    Clients globally

    50+/98+

    NPS/CSAT

    22

    Registration languages

    100+K

    Events created annually

    Aloitetaan!

    Pyydä esittely