Haluamme edistää vastuullista ja tietoturvallista digiasiointia Suomessa

Kun kyse on laskujen maksamisesta ja tärkeiden asiakirjojen säilyttämisestä, luottamus on kaiken a ja o. Siksi Kivrassa tehdään jatkuvasti töitä sen eteen, että digipostipalvelun tietoturva on aina ajan tasalla.

Jaa

”Käyttäjiemme tietojen turvaaminen on toimintamme ytimessä ja erottamaton osa yrityskulttuuriamme. Haluamme edistää vastuullista digiasiointia Suomessa, ja se edellyttää, että meihin voi luottaa. Tuota luottamusta lunastamme päivittäin, sillä parhaan mahdollisen tietoturvan varmistaminen vaatii jatkuvaa työtä ja valppaana pysymistä”, Kivran toimitusjohtaja Ilari Abdeen sanoo.

kivra_tietoturva_ilari_abdeen

Jotain Kivran luotettavuudesta varmasti kertoo se, että Ruotsissa palvelulla on lähes neljä miljoonaa käyttäjää. Sen kautta digipostia lähettävät kymmenet tuhannet ruotsalaisorganisaatiot – muiden muassa poliisi, verovirasto sekä useat pankit ja vakuutusyhtiöt. Suomessa Kivra aloitti helmikuussa 2020. Nyt sen kautta asiakkailleen laskuja ja muita tärkeitä dokumentteja lähettää yli 20 eri organisaatiota, kuten Telia, Fortum, Elenia ja Resurs Bank.

”Toimintamme Ruotsissa on jo niin merkittävää, että sitä tarkastellaan huoltovarmuuden näkökulmasta. Tämä asettaa tietoturvallemme ja palvelun saatavuudelle erittäin korkeat vaatimukset. Tästä hyötyvät myös suomalaiset käyttäjämme, sillä teemme tiiviisti yhteistyötä ruotsalaisten kollegoidemme kanssa niin teknologian kuin sopimustenkin osalta. Ruotsissa rakennetut järjestelmän turvallisuusominaisuudet ja siihen liittyvät hyödyt ja opit ovat myös meidän käytössämme”, Ilari Abdeen kertoo.

”Riskienhallinta perustuu loppujen lopuksi aika yksinkertaiseen yhtälöön: ymmärrämme, mitä dataa meillä on, mihin dataan meillä täytyy olla pääsy ja mihin ei. Tämä ajattelu ohjaa päivittäistä tekemistämme, ja näin datan suojaaminen ja tietoturvan ylläpitäminen ovat jatkuvasti keskiössä.”

Näin turvaamme tietosi

Mitä kaikkea Kivrassa käytännössä tehdään tietoturvan hyväksi? Siihen oikea henkilö vastaamaan on yhtiön CTO Tony Träskelin.

Tarjoatte ympäristöystävällisemmän ja helpomman vaihtoehdon paperipostille. Mutta miten on tietoturvan laita, jos Kivraa vertaa perinteiseen kirjeeseen?

”Kivra on selkeästi turvallisempi vaihtoehto kuin tavallinen paperiposti. Palvelumme otetaan käyttöön pankkitunnusten avulla, vahvasti tunnistautuen. Rekisteröitymisen jälkeen palveluun kirjaudutaan joko kaksivaiheisella tai biometrisellä eli sormenjäljen tai kasvojen avulla tapahtuvalla kirjautumisella. Tietoturvaamme voikin verrata paperipostin sijaan pankkien verkko- ja mobiilipalveluihin.”

Mitä tietoja keräätte Kivran käyttäjistä?

”Rekisteröitymisen yhteydessä kysymme käyttäjän nimen, osoitteen, puhelinnumeron, sähköpostiosoitteen ja henkilötunnuksen. Ne kaikki tallentuvat palvelimille, jotka sijaitsevat Suomessa. 

Henkilötietojen lisäksi tallennamme rekisteröityneiden käyttäjiemme kirjautumiskerrat, laskujen maksusuoritukset ja digitaalisen postin lukukerrat. Näiden tietojen avulla pystymme esimerkiksi todentamaan laitteen, jolla kirjautuminen on tehty – tarvittaessa voimme siis jälkikäteen tarkastaa, mitä käyttäjän tunnuksilla on tehty.”

Kivrassa laskujen maksaminen tapahtuu suoraan omalta pankkitililtä. Siirtyykö käyttäjän pankkitilin tietoja siinä yhteydessä Kivralle?

”Laskun maksaminen vaatii aina kaksivaiheisen tunnistautumisen käyttäjän pankkitunnuksilla. Tunnistautumisen jälkeen Kivraan siirtyy pankista tieto siitä, onko maksu onnistunut. Lisäksi käyttäjä näkee Kivrassa tilinsä saldon.”

Kivrassa on myös jako-ominaisuus, jonka avulla on mahdollista auttaa esimerkiksi iäkkäitä vanhempia laskunmaksussa tai hoitaa perheen yhteisiä menoja. Mitä toistensa tietoja Kivran keskenään jakaneet käyttäjät näkevät?

”Kivran jakamiseen tarvitaan molempien osapuolten henkilötiedot ja -tunnukset. Jakaminen vaatii myös molemminpuolisen hyväksynnän, eikä jakoa voi tehdä vahingossa. Oman Kivransa toisen käyttäjän kanssa jakava käyttäjä voi itse valita, mitkä asiakirjat hän haluaa jakaa. Niiden lisäksi käyttäjät näkevät toistensa nimet – eivät mitään muita henkilökohtaisia tietoja.

Kumpikin käyttäjä voi milloin tahansa lopettaa jakamisen. Lisäksi jako pitää uusia turvallisuussyistä puolen vuoden välein.”

Myyttekö tai luovutatteko hallussanne olevia käyttäjätietoja eteenpäin?

”Emme myy emmekä luovuta käyttäjiemme ja asiakasyritystemme tietoja eteenpäin. Tiedot on tarkoitettu vain asiakaskommunikaatioon Kivran käyttäjän ja laskuttajayritysten välillä. Palvelumme käyttäjä omistaa itse oman datansa.”

Miten testaatte järjestelmienne turvallisuutta?

”Testaamme palveluamme jatkuvasti sekä Suomessa että Ruotsissa. Tarvittaessa käytämme myös ulkoisia tietoturvayrityksiä palvelun laadun ja turvallisuuden varmistamiseksi.”

Miten viranomaiset valvovat toimintaanne?

”Tietosuojavaltuutetun toimisto valvoo henkilötietojen käsittelyn lainmukaisuutta ja ihmisten tietosuojaoikeuksien toteutumista. 

Noudatamme EU:n yleistä tietosuoja-asetusta eli GDPR:ää sekä asetusta täydentävää uutta tietosuojalakia, joka astui voimaan 1.1.2019. Pankkitililtä maksamista säätelee puolestaan EU:n PSD2-direktiivi.”

Käytättekö palvelussanne evästeitä tai keräättekö dataa palvelun käyttäjistä? Entä verkkosivuillanne?

”Haluamme kehittää palveluitamme, ja siksi keräämme tietoa ja analytiikkaa Kivra-palvelun käytöstä. Tämän datan keräämme pseudonymisoidusti tai anonymisoidusti. Pseudonymisointi tarkoittaa, että dataa ei voi yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset tiedot säilytämme huolellisesti erillään henkilötiedoista. Anonymisointi puolestaan tarkoittaa, että henkilötietoja käsitellään siten, ettei henkilöä voi tunnistaa millään keinolla.

Ulkoisella Kivra.fi-markkinointisivustollamme sen sijaan käytämme evästeitä parantamaan kävijäkokemusta sekä kohdentaaksemme mainontaa ja kehittääksemme sivustoa. Tähän tietysti kysymme luvan verkkosivuille saavuttaessa.”

Tutustu myös: