Lainsäädäntö kiristyy – mitä käytännön toimia yrityksiltä vaaditaan?

Mikko S. NiemeläManaging Director

Silverskin Information Security

• Yleinen trendi on lakien kiristyminen – ja tulee olemaan

• Mistä tämä kaikki nyt sitten johtuu?• Varautuminen ja reagoiminen tulevaan

direktiiviin on puolitotuus.

• EU on ottanut käyttöön 5 vuoden viiveellä ”kaikki” USAn tietoturvalait.

• Lait eivät tule 1:1 vaan paketoituna erilaisissa muodoissa: ”SOX ei koskaan tule eurooppaan” – BASEL sisältää pankki- ja rahoitustoimialan SOX vaatimukset

EU Data Directive vs SB 1386EU Data Directive• Ilmoitusvelvollisuus:

viranomaisille ja tietovuodon uhreille

• Ei oikeutta viivytellä• Sanktiot: Kansallisella

tietosuojaviranomaisella sakotusoikeus, lisäksi käytännössä rajaton korvausvelvollisuus yksityisiä ihmisiä kohtaan

SB 1386• Ilmoitusvelvollisuus:

viranomaisille ja tietovuodon uhreille

• Oikeus viivyttää ilmoitusta, mikäli itse tutkii tapausta

• Sanktiot: osavaltio voi haastaa oikeuteen (siviilikanne ja rikosoikeudellinen) myös uhrien puolesta.

Direktiivin vaatimukset

• Yrityksellä tulee olla kyky havaita tietovuodot.• Ilmoitusvelvollisuus viranomaisille ja tahoille

joiden tietoja on saattanut vuotaa• Mikäli yrityksellä ei ole kykyä havaita

tietovuotoa tai tietovuodon sattuessa määräaikaan mennessä (48h / 72h) ilmoitusta ei ole tehty viranomaisille, seuraa sanktio

• 1% liikevaihdosta tai up to 1,000,000 eur

• Ilmoitusvelvollisuus vaatii oman prosessin, jolla asia hoidetaan

• Mitä havainnointi käytännössä vaatii?

Havainnointi

• Verkkokaupassa: käyttäjä näkee toisen ostoshistorian / laskutustietoja / preferenssejä / liittymän tietoja

• Sähköpostilistalla: vastaanottaja näkee muille kuuluvaa viestintää / viestejä

• Wallet / e-payments: monimutkaisempaa! Onko maksu kirjautunut oikein, vastaako transaktio kirjautunutta tuotetta/palvelua, välitetäänkö maksu oikein. Näkeekö yksi kauppias tai asiakas tai operaattorin henkilökunta muiden hintoja / tietoja.

mikko @ silverskin.fi