Terve,
Sattuisiko täältä löytymään yhtä hysteerisiä yrittäjiä, jotka ovat pähkäileet tietoturvan ja vastuukysymyksien kanssa?
Itseä huolettaa suuresti miten nämä käyttäjärekisterien vastuukysymykset menevät. Itse kun en koskaan sataprosenttisesti luota internettiin liittyjen palvelujen tietoturvaan vaan lähtökohta on se, että internet luo aina riskin palvelin murrolle.
Tästä johtuen haluaisinkin tietää, millaisiin edesvastuuseen voin joutua, jos yritykseni palvelun tietokantoihin murtaudutaan. Veikkaisin, että tähän liittyy myös suuresti mitä tietoa murron ansiosta vuotaa. Vakavimmat ehkä? ( Etunimi, Sukunimi, Katuosoite ).
- Voiko vastuun siirtää pois, jos palvelun käyttöehtoihin lisätään maininta, palvelun käytönkautta muodostuvista riskeistä. ( Monet sivustot harrastavat tätä, mutta onko oikeasti lainvoimainen? )
- Onko olemassa ko. tilanteisiin liittyviä vakuutuksia? Kaiken näköisiä Kyber vakuutuksia näyttäisi löytyvät, mutta miten hyvin kattavat tilanteet, jos joku murtautuu ja vuotaa käyttäjien tiedot?
Kiitos.
kayttaja-3842 kirjoitti:
- Voiko vastuun siirtää pois, jos palvelun käyttöehtoihin lisätään maininta, palvelun käytönkautta muodostuvista riskeistä. ( Monet sivustot harrastavat tätä, mutta onko oikeasti lainvoimainen? )
Yleisesti ottaen sopimusehdoilla ei voi kumota velvoittavaa lainsäädäntöä - muutenhan lainsäädännöllä ei olisi mitään merkitystä. Sanoisin että olennaisempaa vastuun suuruuden rajaamisessa on se, että pystyt näyttämään että olet huolehtinut riittävän hyvin tietoturvasta. Tietoturvasta asianmukaisesti huolehtiminen myös vähentää todennäköisyyttä, että käyttäjien tietoja koskaan vuotaa.
kayttaja-3842 kirjoitti:
- Onko olemassa ko. tilanteisiin liittyviä vakuutuksia? Kaiken näköisiä Kyber vakuutuksia näyttäisi löytyvät, mutta miten hyvin kattavat tilanteet, jos joku murtautuu ja vuotaa käyttäjien tiedot?
Kyllähän vakuutuksia varmasti löytyy, esim. https://www.if.fi/yritysasiakkaat/vakuutukset/
Tuolla sanotaan että "Huomaathan, että vakuutus ei korvaa sakkoja tai viranomaisten määräämiä hallinnollisia maksuja. Niiden korvaaminen on katsottu olevan hyvän vakuutustavan vastaista Suomessa."
Sakoilta saat kuitenkin helposti vältyttyä sillä että huolehdit palvelun tietoturvasta riittävästi. Jos voit osoittaa että olet tehnyt riittävästi tietoturvan eteen niin siitä että joku murtautuu järjestelmääsi ei tule sakkoja. Osoittamisessa on avainasemassa dokumentointi.
Lisäisin vielä Grezin ansiokkaaseen viestiin, että tietoturvan auditoinnin voi toki tilata ulkopuoliselta yritykseltä. Ihan halpaa se ei tietysti ole, mutta juuri osoittamisen suhteen erinomainen toimenpide.
Aihe on jo aika vanha, joten et voi enää vastata siihen.