Miten Master suojaa henkilötietosi

Master Suomi Oy toimii Master International A/S:n arviointimenetelmien ja -palveluiden valtuutettuna jälleenmyyjänä Suomessa. Master International vastaa palveluiden teknisestä toteutuksesta, järjestelmän tietoturvasta ja henkilötietojen käsittelystä järjestelmässään.

Tämä dokumentti tarjoaa yleiskatsauksen Master International A/S:n toteuttamista teknisistä ja organisatorisista tietoturvatoimenpiteistä ja -käytännöistä. Toimenpiteiden tavoitteena on suojata henkilötietoja sekä varmistaa alustamme, tuotteidemme ja palveluidemme jatkuva luottamuksellisuus, eheys ja saatavuus.

Master International A/S on rekisteröity Tanskan tietosuojaviranomaiselle rekisterinpitäjänä henkilöstöhallintoon liittyvän tiedon käsittelyssä. Lisätietoja Tanskan tietosuojaviranomaisesta löydät osoitteesta https://www.datatilsynet.dk/english/

Master International A/S sitoutuu jatkuvasti seuraamaan tietoturvansa toimivuutta ja teettämään vuosittain riippumattoman kolmannen osapuolen auditoinnin varmistaakseen, että toteutetut toimenpiteet ja kontrollit täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) 32 artiklan vaatimukset. Riippumattoman auditoijan laatima ISAE 3000 -raportti valituista GDPR:n mukaisista kontrollikäytännöistä on saatavilla pyynnöstä.

Toteutettavat tekniset ja organisatoriset tietoturvatoimenpiteet

Master International A/S toimii tapaus- ja sopimuskohtaisesti joko rekisterinpitäjänä, henkilötietojen käsittelijänä tai alikäsittelijänä. Riippumatta roolista, sovellamme samoja tietoturvakäytäntöjä GDPR:n vaatimusten mukaisesti.

1. Henkilöstön koulutus ja ohjeistus:
   Kaikki työntekijämme on koulutettu ja ohjeistettu toimimaan tietoturvallisesti ja suojaamaan testiin osallistujien, asiakkaiden ja kumppaneiden henkilötietoja.
2. Fyysisen pääsyn valvonta:
   Toimistomme ja muut tilamme, joissa henkilötietoja käsitellään, ovat kulunvalvonnan piirissä. Kaikista tiloihin kulkemisista pidetään kirjaa.
3. Järjestelmäpääsyn rajoitukset:
   Järjestelmiin, joissa käsitellään henkilötietoja, on pääsy vain työntekijöillä, joiden tehtävät sitä edellyttävät.
4. Muutoshallinta:
   Muutokset prosesseihin ja palveluihin toteutetaan hallitusti ja sovittujen lakien ja asiakassopimusten mukaisesti.
5. Tietojen eriyttäminen:
   Arkkitehtuurimme varmistaa henkilötietojen ja testidatan teknisen ja loogisen eriyttämisen, mikä minimoi tietomurtojen vaikutuksia. Käytön aikana tiedot käsitellään sovelluksessa pseudonymisoituna, mutta itse testidata on anonyymiä.
6. Henkilötietojen suojaaminen asiakkaan puolesta:
   Toimiessamme henkilötietojen käsittelijänä tai alikäsittelijänä tarjoamme asiakkaillemme ohjelmistoalustan, jonka tietoturva suojaa tiedot sekä ulkopuolisilta että henkilöstön luvattomalta pääsyltä.
7. Salattu tiedonsiirto:
   Kaikki tiedonsiirto tapahtuu luotettavan toimijan myöntämällä salauksella ja sertifikaateilla suojattuna.
8. Käyttövalvonta:
   Kaikki ohjelmistoalustan käyttö, myös epäonnistuneet kirjautumisyritykset, kirjataan.
9. Tietoturvaloukkauksiin varautuminen:
   Meillä on prosessit tietoturvaloukkausten havaitsemiseen ja hallintaan.
10. Järjestelmien ja tietojen saatavuus:
    Varmistamme järjestelmiemme ja tietojemme käytettävyyden myös häiriötilanteissa.
11. Kehitys-, testaus- ja tuotantoympäristöjen eriyttäminen:
    Näiden ympäristöjen tiedot ja käyttö pidetään tiukasti erillään toisistaan.
12. Laitteiden tietoturvallinen poistaminen käytöstä:
    Varmistamme, että kaikki laitteet tyhjennetään asianmukaisesti ennen niiden luovutusta kolmansille osapuolille tai hävittämistä.
13. Alikäsittelijöiden valvonta:
    Varmistamme, että kaikki käyttämämme alikäsittelijät noudattavat soveltuvia tietosuojavaatimuksia ja suojaavat henkilötietoja asianmukaisesti.

Päivitetty: 12.5.2025