Kirjoitettu järjestöille, jotka oikeasti lukevat DPA:n.
Tiivistelmä siitä missä data on, kuka sitä koskee ja miten saat sen takaisin. Julkinen operatiivinen yhteenveto on tällä sivulla; hankinta- ja onboarding-materiaalit jaetaan kokonaisina arvioinnin aikana.
Rehellinen huomio
Nordbrief ei väitä sellaista, mitä en voi vielä näyttää todeksi. Kontrolit rakennetaan oikeasti, sertifikaatteja ei badge-maalata etukäteen.
Tietoturva ja GDPR
Kirjoitettu järjestöille, jotka oikeasti lukevat DPA:n.
KontrollialueTilaKuvaus
Data-residenssiKäytössäNordbrief julkaistaan Vercelissä, jossa sovelluksen ajoalueeksi on asetettu Tukholma. Tuotannon tallennus, varmuuskopiot ja integraatiokohtaiset tietovirrat tarkistetaan pääsyn ja DPA:n yhteydessä ennen oikean organisaatiodatan lisäämistä.
DPA pääsyn arvioinnin yhteydessäKäytössäDPA:n yksityiskohdat käydään läpi pääsyn arvioinnissa ja käyttöönotossa. Versiot ja allekirjoittajan tiedot pidetään näkyvissä ennen tuotantokäyttöä.
TunnistautuminenPilotissaSähköposti ja salasana (bcrypt), Google Workspace -kirjautuminen ja Suomi.fi (OIDC + PKCE). Microsoft-kirjautuminen ja kaksivaiheinen tunnistautuminen ovat suunnitteilla ennen julkaisua — eivät vielä käytössä.
Vienti ja poistoKäytössäHankedata voidaan viedä seurannasta CSV-muodossa jo nyt. Koko työtilan vienti ja tilin poisto hoidetaan Asetukset-paneelin ja pääsyn arvioinnin kautta; poistopyyntö käsitellään 30 päivän kuluessa ja vahvistetaan sähköpostitse.
KontrolliohjelmaTavoitteenaTyöskentelemme kohti ISO 27001:n mukaista kontrollijoukkoa. Nykytila kerrotaan suoraan tietoturvaliitteessä — ei merkkejä joihin emme voi osoittaa todistetta.
AlihankkijatKäytössäVercel sovelluksen hostingiin, Stripe silloin kun maksullinen laskutus on käytössä ja Resend silloin kun transaktiosähköposti on konfiguroitu. Ajantasainen lista pidetään /sub-processors-sivulla ja tarkistetaan ennen tuotantopääsyä.
Usein kysyttyä
Voinko allekirjoittaa oman DPA:n?Kyllä. Institution- ja Consortium-paketeissa voi pyytää omaa DPA:ta. Lähetä sähköpostia osoitteeseen hei@nordbrief.fi, lakitiimi kopiona.
Tallennatteko henkilötunnuksia?Emme koskaan selkokielisenä. Suomi.fi:n PIC:t tiivistetään palvelimella ja niitä käytetään vain istuntotunnisteina; emme näytä niitä missään käyttöliittymässä.
Missä varmuuskopiot säilytetään?Varmuuskopioiden sijainti ja säilytys vahvistetaan tuotantopääsyn arvioinnissa. Julkinen sitoumus on, että organisaatiodata pidetään EU-hostatussa infrastruktuurissa, ellei yksittäistä integraatiota ole erikseen hyväksytty.