Hea Eesti Raamatupidajate Kogu liige
Seoses Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) jõustumisega 25.mail 2018 on raamatupidaja kohustatud veenduma, et temale teenust pakkuv tarkvaraettevõte tegutseb isikuandmete kaitse üldmäärusest tulenevalt ja on kooskõlas kõigi nõuetega. Selleks peab raamatupidaja sisuliselt veenduma, et tema poolt kasutatav tarkvara vastab isikuandmete kaitse üldmääruses toodud nõuetele.
Soovime kõigi elu lihtsustada ja Eesti Raamatupidajate Kogu liikmeid aidata.
Oleme saatnud tarkvara esindajatel palve, tulenevalt eeltoodust kinnitada, kas nende tarkvara vastab isikuandmete kaitse üldmääruses toodud nõuetele ja palusime vastata järgmistele küsimustele:
- Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse?
- Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele?
- Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)?
- Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad?
NB! Eesti Raamatupidajate Kogu (ERK) on lisanud siia nimekirja need tarkvara pakkujatest, kes on isikuandmete kaitse üldmäärusega kooskõlas ja sellest meid teavitanud. Nimekiri ei ole lõplik, nimekirja täiendame iga päevaselt!
13.juuni 2018 seisuga:
1. DIRECTO
Directo kasutamine GDPR kontekstis
2. Merit Tarkvara ja Merit Palk
Tarkvara kasutamise tingimused
Privaatsusteavitus
3. AccountStudio
1. Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse? - Andmed on kaitstud juhusliku hävimise eest varukoopiatega,
sanktsioneerimata juurdepääsu eest isikustatud juurdepääsuõigustega.
2. Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele? - Juurdepääsupiirangud on tagatud juurdepääsuõigust omavate isikute isiklike
kasutajakontode ja paroolide alusel "vaja teada" põhimõttel antavate juurdepääsuõiguste süsteemiga.
3. Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)? - Eestis
4. Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad? - Varundamine toimub regulaarselt, varukoopiaid hoitakse Eestis kuid eraldi serveritest.
4. Eeva Majandustarkvara
1. Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse? - Eeva Majandustarkvara nõuab, et kõigile kasutajatele on määratud tugevad paroolid.
2. Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele? - Serverid paikevad spetsiaalses turvalises serverimajutuskeskuses, kus juurdepääs on kontrollitud.
3. Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)? - Serverid asuvad Eestis.
4. Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad? - Varukoopiad tehakse igal öösel. Varukoopiaid hoitakse eraldi seadmel.
5. PMen Majandustarkvara
OÜ San Revilo ei hoia raamatupidamistarkvara PMen kasutajate andmeid enda käes. See on iga kasutaja enda otsustada, kus ta hoiab andmeid.
6. Uniconta
1. Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse? - Unicontas on kehtestatud on IT turvapoliitika, mida me järgime. Samuti on käigus ISO27002 sertifikaadi saamise protsess, mis kinnitab Uniconta IT turvapoliitika vastavust ISO 27002 infoturbe nõuetele.
Uniconta pilvelahenduse majutusteenuste pakkuja on juba ISO 27002 sertifitseeritud, st järgib standardist tulenevaid infoturbenõudeid.
2. Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele? - Järgime GDPR-i poliitikat, nn "opt-in" lähenemisviisi. See tähendab, et klient peab ise andma meile ja oma partnerile juurdepääsu oma ettevõtete andmetele.
Nagu igal IT lahenduse pakkujal on ka Uniconta arendusmeeskonnas kaks töötajat, kellel on nn super-administraatori õigused. Meil peab olema selline ligipääs selleks, et tagada teatud turvalisuse, jõudluse ja andmete taastamise võimalikkus ning muude ettenägematute asjaoludega seotud põhjustel.
3. Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)? - Praegu on meil serverid ELis ja seame üles servereid ka Aasias (Aasia klientuurile). ELis on serverid kahes asukohas Taanis.
4. Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad?
Teeme regulaarset varukoopiaid, et vältida andmete kadu. Kliendiandmetega seotud SQL-andmebaasi varundame 3 korda päevas. Varukoopiaid säilitab oma serverites sama serverteenuse pakkuja kahes asukohas. Varukoopiate taastamist testime perioodiliselt, et tagada vajaduse korral andmete taastamine. Andmetest saab varukoopiaid teha ka klient ise.
7. SmartAccount
Isikuandmete töötlemise üldpõhimõtted
Kliendiandmete töötlemise kord
1. Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse?
Rakendatavad turvameetmed jagunevad sisuliselt kolmeks:
- Tehnoloogilised meetmed serverite kaitsmisel;
- Tehnoloogilised meetmed kõikide muude töös kasutusel olevate seadmete kaitsmisel;
- Protseduurilised ja muud meetmed.
Tehnoloogilistest meetmetest serverite kaitsmisel võib välja tuua ehk järgmised üldised märksõnad: krüpteeritud andmeside, krüpteerimise kasutamine seal, kus on vähegi võimalik ning otstarbekas, varundamine, tulemüürireeglid, ligipääsupiirangud kasutatavatele tarkvarakomponentidele ja serveritele, logimine, õigustesüsteem jne.
Sellele lisaks on tegelikult oluline kaitsta ka kõiki seadmeid, mis on kuidagi SmartAccounts’ga seotud (telefone, arvuteid), sest ka need võivad sisaldada potentsiaalseid turvaauke ning kui seade ise ei pruugigi olla lekkeallikas (ei sisalda olulisi andmeid) on selle turvaaukude ärakasutamine potentsiaalne oht muudele ühendatud seadmetele. Seejuures on kaitsemeetmeteks üldlevinud praktikad it-st: seadmete krüpteerimine, tugevad kordumatud paroolid, biomeetriliste autentimisvahendite kasutamine jne.
Tehnoloogiliste lahenduste kõrval on minu hinnangul aga turvalisuse tagamisel vähemasti sama olulised, kui mitte olulisemad, protseduurilised ja muud mitte-tehnoloogilised meetmed, sest andmekaitse algab siiski inimestest ja nende käitumisest. Toon vaid mõned näited meetmetest, kuidas andmekaitse meie tööpraktikaid mõjutab:
- Töötajate värbamisel on usaldusväärsus meie jaoks väga kõrge prioriteediga;
- Peale värbamist tegeleme oma inimeste harimisega turvariskide ning korrektse küberhügieeni osas;
- Ka koostööpartnerite valikul on usaldusväärsus võtmefaktor;
- Ligipääsude andmisel lähtume minimeerimisest – ehk töötajatel on ligipääs vaid tema tööks hädavajalikule jne.
- Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele?
Ligipääs andmetele võib toimuda kahel viisil:
- Füüsiline ligipääs serveritele;
- Ligipääs üle võrgu.
Serverid asuvad Tallinna serveripargis, kus on kasutusel kõik vajalikud meetmed serverite füüsiliseks kaitseks: valvesüsteemid, tulekustutussüsteemid, sõltumatud toitesüsteemid, ligipääsupiirangud jne. Vastutus selle eest lasub meie majutusteenuse pakkujal Telial, kuid ka meie teame, kes on need füüsilised isikud, kes serveritele potentsiaalselt ligipääsu omavad.
Üle võrgu autoriseerimata ligipääsu tõkestamise on tagatud lahendustega, mida puudutasin juba eelmises punktis tehnoloogiliste infoturbemeetmete all. Näiteks on siin oluline roll rakenduse õigustesüsteemil, millega tagatakse igale kasutajale vajalik ning minimaalne ligipääs.
- Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)?
Meie serverid asuvad Eestis ning füüsiliste masinate haldamisega tegeleb Telia.
- Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad?
Varundamine on igaöine protsess ning varukoopiad on talletatud serverist erinevas, füüsiliselt sõltumatus asukohas. Ka see asub Eestis.
8. Tresoor Tarkvara
Tresoor Tarkvara OÜ kinnitab käesolevaga, et tegutseb isikuandmete kaitse üldmäärusest tulenevalt. Vastavalt määrusele : Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. (...) Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. (...) Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.
Oma põhitegevuses lähtub Tresoor Tarkvara OÜ sellest, et ta ei kogu otseselt ega kaudselt isikuandmeid, vaid osutab tarkvarateenuseid, mis on osalt seotud isikuandmete töötlemisega(volitatud töötleja), tulenevalt lepingupartnerite tööalasest tegevusest, osapoolte vahelise lepingu raames ning selle kehtivuse vältel.
Isikuandmed, mida Tresoor Tarkvara OÜ fikseerib ja säilitab (vastutav töötleja), tulenevad otseselt lepingulistest suhetest klientidega - äriettevõtete ja avaliku sektori asutustega, ning piirduvad seega kontaktisikute või teiste lepingu osapoolega seotud isikute andmetega, osapoolte vaheliste lepingute alusel.
Tresoor Tarkvara OÜ käsitleb kliendiandmeid, ning muid töö käigus loodavaid andmeid, samuti andmeid, millele tekib töö käigus juurdepääs, konfidentsiaalsena.
Konfidentsiaalsuse nõue laieneb kõigile Tresoor Tarkvara töötajatele ning lepingupartneritele.
Ülaltoodu alusel teatab Tresoor Tarkvara OÜ järgmist:
1. Andmete turvalisus. Kasutusel on andmebaasitarkvara SQLBase, kus andmebaaside puhul on kasutusel 256-bitine AES andmete krüpteerimine (andmed salvestatakse krüpteerituna).
Kommunikatsioon tarkvararakenduse ning SQLBase andmebaasi serveri vahel saab toimuda krüpteeritult, kasutades 256-bitist SSL krüpteeringut, millega saavutatakse täielik end-to-end andmete krüpteerimine.
Lisaks eelnevale on SLQBase andmebaasitarkvarasse sisse ehitatud rünnakuvastane ning paroolide katsetamisele reageeriv funktsionaalsus (brute-force password guessing attacks, denial-of-service attacks). Seega on SQLBase andmebaasitarkvara turvaline niihästi sise- kui välisveebi rakenduste kui ka mobiilirakenduste backend andmebaasisüsteem.
2. Tresoor Tarkvara OÜ tarkvaraliste teenuste puhul on andmed kas kliendi poolt hallatavad, vastavalt kliendi soovile; või Tresoor Tarkvara OÜ poolt hallatavad, vastavalt osutatavale teenusele.
Viimasel juhul korraldab teenusepakkuja andmetele juurdepääsu viisil, et turvalisus on tagatud.
3. Kui andmed on kliendi poolt hallatavad, korraldab serveritega seotud lahenduse klient.
Teisalt: Tresoor Tarkvara OÜ ei avalda käesolevaga serverite asukohta, kui klient on soovinud vastavat lahendust Tresoor Tarkvara poolt. Konkreetne lahendus ja selle raamistik, samuti turvalisuse aste määratakse lepingu raames.
4. Andmete varundamine on turvameetmete üks osa. Vastavalt p.3 fikseeritakse varundamisega seonduv kliendi soovi korral osapoolte vahelises lepingus.
9. SimplBooks
1. Iga kasutaja peab endale konto loomisel määrama tugeva salasõna. Andmeid varundatakse igaöiselt ja andmetele on ligipääs ainult kliendi poolt volitatud kasutajatel, meie poolt volitatud ja lepingulistel andmetöötlejatel kelle protsessid on samuti vastavuses EL isikuandmete kaitse üldmäärusega.
2. Andmeid talletatakse turvalistes selleotstarbelistes serveriparkides, kus on piiratud ligipääs ainult volitustega isikutel ja kontrollitud.
3. SimplBooks serverid ja klientide andmed asuvad Eestis. Osasid isikuandmete kaitse üldmääruse alla minevaid andmeid talletatakse ka USA serverites (kasutajatoe suhtlus) ja sellised teenusepakkujad vastavad EU-US Privacy Shield (https://www.privacyshield.gov/welcome) raamistikule ning regulatsioonidele.
4. Andmete varundamine ja vajadusel taastamine toimub automaatselt. Varukoopiaid hoitakse eraldi seadmetel ja nö offline.
Küsimuste korral võtke meiega julgesti ühendust e-posti teel
10. ERPLY
- Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse?
Andmete turvalisuse ja meetmete kohta saab lugeda lähemalt: https://ee.erply.com/turvalisuspoliitika/ -
Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele?
Juurdepääsust on lähemalt räägitud samuti: https://ee.erply.com/turvalisuspoliitika/. Lühidalt rakendab ERPLY omapoolselt volitatud töötlejat, kes pakub teie ERPLY kasutajale majutust oma serverites. Neid servereid omame meie täielikult, ehk need ei ole jagatud teiste teenusepakkujatega või ERPLY-väliste majutusteenuse kasutajatega. Vastav töötleja ei oma ise ligipääsu serverites hoiustatavatele andmetele ja ainult meie töötajad saavad nendele andmetele ligi. Sellised töötajad, kes omavad ligipääsu teie andmetele, on vastavalt koolitatud ja rakendatud on minimaalseid ligipääsu õigusi, mida on vastava tööeesmärgi täitmiseks vaja. Antud andmetele toimub ligipääs ainult juhul, kui selleks tekib alust ehk normaalolukorras ei soorita keegi ligipääsu teie andmetele peale teie enda. ERPLY töötleb teie andmeid ainult vastavalt teie juhistele, lepingule, teie-poolsele teenuse kasutamisele ja kehtiva andmekaitseseaduse nõuete täitmiseks.
- Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)?
Standardis hoiustatakse kõik Euroopa klientide andmed Euroopa-siseselt. Euroopas hoiame andmeid ainult serverites, mis asuvad Eestis või Saksamaal. Kõigi selliste teenusepakkujatega oleme allkirjastanud andmekaitse üldmääruse kohaselt nõutud andmetöötluslepingud.
- Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad?
Antud sisuga on võimalik tutvuda samuti lähemalt: https://ee.erply.com/turvalisuspoliitika/. Lühidalt varundatakse kogu ERPLY konto sisu ja varukoopiat hoiustatakse samas serverikeskuses koos teie ERPLY kontoga. ERPLY loob varukoopiaid automaatselt ehk töötajad ei oma vastavat ligipääsu antud protsessis. ERPLY töötaja saavutab ligipääsu ainult juhul, kui esineb vajadus andmete taastamiseks ehk ainult teie kirjalikul loal.
11. Standard Books by Excellent
- Kuidas on teil tagatud andmete turvalisus? Milliseid meetmed rakendatakse?
Excellent tagab turvalisuse läbi keskhalduse, mille kaudu saadakse jooksvalt infot turvariskide kohta ning koheselt viiakse läbi ka vastavad uuendused. Tulemüüriga piiratakse ebastandardset liikumist. Andmeid varundatakse nii riistvara, operatsioonisüsteemi kui ka tarkvara tasemel.
Lisaks on tarkvara kaitstud kliendi poolt määratud parooliga.
- Kuidas on tagatud juurdepääsu piirangud meie klientide andmetele?
Igale kliendile on eraldatud eraldi tarkvara, kust klient näeb ainult talle kuuluvaid andmeid. Excellenti tulemüür kontrollib sissetulevaid ühendusi ning legitiimse ühenduse korral blokeeritakse ründaja. - Kus asuvad teie serverid (kas Eestis või mujal või nn kolmandates riikides)?
Kõik serverid asuvad Eestis.
- Kuidas toimub andmete varundamine? Kus hoitakse varukoopiad?
Varundamise ülesehitusel oleme kasutanud mitmeid erinevaid spetsialiste ja koostööpartnereid. Varukoopiaid tehakse regulaarselt ning need on kaitstud erinevate rünnakute eest.
Excellenti pakutavate äritarkvarade Standard Books ja Standard ERP tingimused seoses (isiku)andmete töötlemisega on välja toodud Excellenti kodulehel.
