SalesMonitor
FI·SV·EN
Etusivulle

Tietoturvaseloste

Voimassa: 21.5.2026 Viimeksi päivitetty: 21.5.2026 Versio: 1.0

SalesMonitorin tietoturva on suunniteltu vastaamaan modernin SaaS-palvelun standardeja. Tämä seloste kuvaa keskeiset tietoturvakäytäntömme.

1. Infrastruktuuri

Hosting ja sovelluskerros

  • Cloudflare Pages hostaa SalesMonitorin verkkosivuston ja sovelluksen frontendin globaalilla edge-verkolla
  • Cloudflare Workers suorittaa serverless-backend-logiikkaa lähellä käyttäjiä
  • Cloudflaren globaali verkosto tarjoaa nopean vasteen ja korkean saatavuuden

Tietokanta ja asiakasdata

  • Asiakkaiden henkilötiedot ja palveludata tallennetaan Supabasen EU-alueelle (Tukholma)
  • Asiakasdata ei poistu EU-alueelta ilman erikseen kuvattua perustetta
  • Datakeskuksilla on ISO 27001 -sertifioinnit

Verkkokerros

  • Cloudflare WAF (Web Application Firewall) suodattaa haitalliset pyynnöt
  • DDoS-suoja Cloudflaren tarjoamana
  • TLS 1.2+ pakotettu kaikessa liikenteessä
  • HSTS (HTTP Strict Transport Security) käytössä

2. Datan salaus

Liikenteessä (in transit)

  • Kaikki liikenne salataan TLS 1.2 tai uudemmalla protokollalla
  • Tukemme TLS 1.0 ja 1.1 on poistettu

Levossa (at rest)

  • Tietokannan tiedot salataan AES-256 -salauksella
  • Salaisuudet (API-avaimet, tokenit) tallennetaan eristetysti
  • Varmuuskopiot ovat salattuja

3. Pääsynhallinta

Asiakkaan tasolla

  • Salasanat hajautetaan bcrypt-algoritmilla (tai vastaavalla modernilla)
  • Suositus 2FA:n käyttöön
  • Istunnot vanhenevat määräajan kuluttua

Sisäinen pääsynhallinta

  • Roolipohjainen pääsynhallinta (RBAC)
  • Pakollinen 2FA henkilöstöllä
  • Vähimmäisoikeusperiaate (least privilege)
  • Pääsynhallintaa tarkistetaan säännöllisesti

4. Monitorointi

  • Lokitus kaikista kirjautumisista ja kriittisistä toiminnoista
  • Poikkeavan toiminnan automaattinen havaitseminen
  • 24/7 valvonta tuotantojärjestelmistä
  • Säännölliset tietoturvatarkastukset

5. Tietoturvaloukkausten käsittely

Sisäinen prosessi

  1. Tunnistaminen — Automaattinen havainto tai ilmoitus
  2. Eristäminen — Tilanteen rajaaminen ja todisteiden säilyttäminen
  3. Korjaaminen — Vian poistaminen ja palautuminen
  4. Ilmoitus — Asiakkaille viipymättä, viranomaisille 72h kuluessa
  5. Jälkianalyysi — Juurisyy- ja parannustoimet

Ilmoituskynnykset

  • Asiakkaalle: viipymättä, viimeistään 48 tunnin kuluessa siitä, kun olemme saaneet tiedon
  • Valvontaviranomaiselle: 72 tunnin kuluessa (GDPR art. 33)
  • Rekisteröidylle: viipymättä, jos riski on korkea (GDPR art. 34)

6. Tietojen varmuuskopiointi

  • Päivittäiset varmuuskopiot kaikesta asiakasdatasta
  • Point-in-time recovery Supabasen kautta
  • Varmuuskopioita säilytetään 30 päivää
  • Palautustestit säännöllisesti

7. Liiketoiminnan jatkuvuus

  • RTO (Recovery Time Objective): 24 tuntia
  • RPO (Recovery Point Objective): 24 tuntia
  • Dokumentoitu palautumissuunnitelma kriittisiin häiriötilanteisiin

8. Kolmansien osapuolten tietoturva

Käytämme vain palveluntarjoajia, joilla on vahvat tietoturvakäytännöt:

  • Kaikilla sub-processoreilla on DPA-sopimukset kanssamme
  • Toimittajien valinnassa huomioidaan sertifioinnit (SOC 2, ISO 27001)
  • Lista alikäsittelijöistä on tietosuojaselosteessa ja DPA-liitteessä

9. Vastuullinen tietoturvan paljastaminen

Otamme tietoturvahavainnot vakavasti. Jos löydät haavoittuvuuden:

Ilmoita: info@salesmonitor.io Aihe: "Tietoturvahavainto"

Pyydämme ilmoittajia:

  • Olemaan julkaisematta tietoja ennen kuin ongelma on korjattu
  • Antamaan kohtuullinen aika korjaukseen (yleensä 90 päivää)
  • Olemaan kohdistamatta haittaa todelliseen asiakasdataan testauksen yhteydessä

Pyrimme vastaamaan ilmoituksiin 5 työpäivän kuluessa.

10. Sertifioinnit ja vaatimustenmukaisuus

  • GDPR (EU 2016/679) — vaatimustenmukaisuus
  • Suomen tietosuojalaki (1050/2018) — vaatimustenmukaisuus
  • ISO 27001 ja SOC 2 -sertifioinnit ovat osa pidemmän aikavälin tavoitteita

Yhteystiedot

Sähköposti: info@salesmonitor.io Tietoturvahavainnot: info@salesmonitor.io (aihe: "Tietoturvahavainto")