Pilvipalvelut turvataan monivaiheisilla määrittelyillä

Samlinkin pilvipalveluiden kehittämistyössä olennaista on tietoturvallisen alustan luominen Samlinkin strategiseen Azure-ympäristöön. Työ tehdään yhteistyössä IT-arkkitehtien toimesta teknologiajohtajan (CTO) sekä turvallisuusjohtajan (CISO) ohjeistuksen pohjalta.  

Samlinkissa on perusteellisesti tutkittu tärkeimpiä tietoturvakehyksiä, kuten ISO 27001 ja CIS:n (Center for Internet Security) pilviresursseihin soveltuvaa CIS Top 20 tietoturvakontrollilistaa. Niiden pohjalta on määritelty, mitä tietoturvakontrolleja Samlinkin modernisoituun ympäristöön sovelletaan. Tietyn kontrollin soveltuvuus riippuu tarjotusta palvelusta ja käsiteltävistä tiedoista huomioiden kuitenkin aina GDPR-vaatimukset.

Korkeat turvallisuusvaatimukset perustuvat Samlinkin asiakaspankkien kanssa solmittuihin sopimuksiin sekä sääntelyjärjestelmään. Niiden pohjalta vaatimuksia on täsmennetty, jotta ne ovat teknisesti sovellettavissa Samlinkin erilaisiin pilvipohjaisiin ympäristöihin. Osa tietoturvatoiminnoista on kehitetty nimenomaan pilvialustalle, mutta niitä testataan ja arvioidaan laajasti ennen käyttöönottoa, jotta vältytään tarpeettomilta katkoksilta ja muilta ongelmilta.

Tietoturvakontrollien määrittelyprosessi on ollut käynnissä useita viikkoja, jotta voidaan varmistua, että vaadittavat kontrollit on huomioitu ja otettu mukaan.

Seuraavaksi ensimmäisen kvartaalin alkupuolella Samlinkissa otetaan käyttöön vaaditut kontrollit ja testataan asetuksia. Tällä varmistetaan, että kaikki toimii suunnitellusti, pilviympäristöön asennettavat palvelut ovat riittävän turvallisia ja että Security Operating Center vastaanottaa hälytykset ja niitä valvotaan.