Tietosuoja»Käyttäjätunnusten hallinta
  • RSS Feed

Last modified on 5/23/2018 11:24 AM by User.

Tags:

Käyttäjätunnusten hallinta

Käyttötunnuksia koskevat käyttöohjeet löytyvät tästä linkistä.

Tietosuojan ja käyttäjätunnusten kannalta oleellisin asia on laadukas ylläpito. Tässä ohjeistuksessa käydään läpi tietosuojan kannalta oleellisimmat seikat.

Yhteiskäyttötunnukset

Suositeltava käytäntö on poistaa yhteiskäyttötunnukset ja tehdä jokaiselle käyttäjälle henkilökohtaiset tunnukset. Henkilökohtaisten tunnusten avulla järjestelmässä suoritettuja toimintoja saadaan tarvittaessa yksilöityä toimintoja suorittaneisiin käyttäjiin.

 

Mikäli yhteiskäyttötunnuksia ei syystä tai toisesta saada poistettua käytöstä, tulee ylläpitää tietoja siitä, kuka tietty henkilö on milloinkin käyttänyt yhteiskäytössä olevaa tunnusta.

 

Alla olevasta kuvasta nähdään, miten sopimuksen ja osapuolen lisäys pystytään yksilöimään helposti tiettyyn käyttäjään, yksilöllisesti luodun ja nimetyn käyttäjätunnuksen ansiosta. Sopimuksen irtisanominen on tehty yhteistunnuksilla, jolloin toiminnon suorittajan yksilöiminen on merkittävästi työläämpää.

 


Käyttämättömät tunnukset

Hyvän tietosuojakäytännön kannalta yksi oleellisimmista asioista on se, että järjestelmään kirjautuminen on tehty mahdolliseksi vain todellisessa käytössä olevilla tunnuksilla, joten ylimääräisten ja tarpeettomien käyttäjätunnusten poistaminen käytöstä on suositeltavaa.

Tunnuksia voidaan poistaa käytöstä, joko poistamalla tunnukset kokonaan tai asettamalla tunnuksille ensimmäinen ja viimeinen voimassaolopäivä. Voimassaolopäivien asettamista suositellaan tapauksissa, joissa tunnusten käyttö on lähtökohtaisesti määräaikaista.

Voimassaoloajan asettaminen estää tunnusten käytön aikavälin ulkopuolella, mutta ei esimerkiksi poista tunnuksia päättymispäivän jälkeen. Tarpeen vaatiessa voimassaoloajan päättymispäivä voidaan siis siirtää, tai poistaa kokonaan voimassaoloaikaa ennen tai jälkeen.

Käyttöoikeudet

Käyttäjätunnuksille annetut käyttöoikeudet määrittelevät sen, mitä toimintoja on käytettävissä ja mitä tietoja nähtävissä. Käyttöoikeuksien suhteen suositellaan sellaista tapaa, missä kullekin roolille annetaan vain välttämättömät oikeudet. Oikeustarkastuksia suoritetaan erityisesti sellaisissa toiminnoissa ja näkymissä, missä käsitellään henkilötietoja.

Oikeustarkastukset estävät henkilötietojen näkymisen väärälle henkilölle esimerkiksi sellaisessa tilanteessa, jossa henkilötietojen käsittelyyn luvan saanut käyttäjä lähettää henkilokortille johtavan linkin toiselle käyttäjälle, jolla ei ole lupaa käsitellä kyseisiä henkilötietoja. Kun ilman lupaa oleva käyttäjä yrittää avata linkin, suoritetaan oikeustarkastus uudelleen ja koska vaadittavia oikeuksia ei ole, henkilötietojen näyttäminen evätään.

Lisää tietoa käyttöoikeuksista löydät tästä linkistä.

Salasanojen vanhentaminen ja monimutkaisuusvaatimukset

Salasanojen vanhentaminen ja monimutkaisuusvaatimukset ovat erikseen käyttöönotettavia ominaisuuksia.

Salasanojen turvallisuutta voidaan nostaa asettamalla niille monimutkaisuusvaatimuksia, kuten vaadittavien erikoismerkkien ja numeroiden määrä, sekä salasanan minimipituus. Monimutkaisuusvaatimuksilla vältytään liian yleisten ja yksinkertaisten salasanojen käytöltä. Ominaisuus estää uuden salasanan asettamisen, jos se ei täytä annettuja vaatimuksia.

Epäonnistuneen salasanan vaihdon yhteydessä käyttäjä saa virheviestin puutteellisesta salasanasta ja tiedon siitä, miltä osin salasana ei täytä vaatimuksia.

 

Salasanat voidaan asettaa vanhentumaan, antamalla niille voimassaoloaika. Salasanan vanhennuttua, käyttäjä ohjautuu Salasanan vaihtaminen -näkymään ja salasana tulee vaihtaa, ennen kuin kirjautuminen on mahdollista. Lisäksi voidaan asettaa aikaraja, jonka sisällä käyttäjä saa viestejä siitä, että tunnukset ovat vanhenemassa.

Tampuurin käyttöehdot

Käyttäjiltä edellytetään käyttöehtojen lukemista ja hyväksymistä ja niillä kohdennetaan yksittäisen käyttäjän vastuuta ja tietämystä tietojen huolellisesta käsittelystä. Käyttöohjeiden tarkoitus on lisätä käyttäjän tietoisuutta, eikä osittain korvata käyttäjätunnusten ja käyttöoikeuksien laadukasta ylläpitämistä.