Lyyli.ai - Viestinnän hallintajärjestelmäLyyli
Takaisin listaan
Liitteet

LIITE 4 – Tietoturvatoimenpiteet (TOMs)

Versio v1.2Päivitetty 9. kesäkuuta 2026

LIITE 4 – Tietoturvatoimenpiteet (TOMs)

Yleistä

Riskiperusteinen hallinta, vähimmän oikeuden periaate; tietojen ensisijainen sijoitus EU/ETA-alueelle kun teknisesti mahdollista; kansainvälisissä siirroissa ja alikäsittelijöissä GDPR:n V luvun suojatoimet (esim. SCC:t, EU–US DPF soveltuvin osin).

Organisatoriset toimet

• Turvallisuuden hallintamalli ja vuosikatselmointi; DPO-prosessit; DPIA tarvittaessa.

• Henkilöstön NDA, perehdytys, roolipohjainen pääsy; koulutus.

• Toimittaja- ja alihankkijahallinta (DPA:t, auditointioikeudet).

Tekniset toimet

Salaus

TLS 1.3 siirrossa; AES-256 levossa.

Pääsynhallinta

SSO/IdP (Clerk), MFA, vähimmän oikeuden periaate; katselmoinnit.

Organisaatiokohtainen eristys

Työtilat ja asiakasdata eristetään organisaatiotasolla.

Lokitus & valvonta

Sovellus- ja audit-lokit; kaikki sisältötoimenpiteet ovat jäljitettävissä; hälytykset; säilytys ≥ 180 pv.

Haavoittuvuudet

Säännölliset skannaukset; riskipohjainen korjaus; riippuvuusskannaukset.

Varmuuskopiot

Päivittäin salattuna; palautustestit.

DR/BCP

RPO ≤ 24 h, RTO ≤ 24 h.

Verkko

WAF/DDoS, palomuurit, segmentointi.

Kehitys

Koodikatselmukset, CI/CD-tarkistukset, dev/test/prod-erottelu.

Tietojen sijainti ja siirrot

Sovellusdata tallennetaan EU-alueelle ja tietoliikenne tapahtuu Euroopan rajojen sisällä GDPR:n mukaisesti. Mahdolliset kansainväliset siirrot (esim. tekoäly- tai pilvipalveluiden osalta) toteutetaan GDPR:n V luvun suojatoimin, kuten SCC ja/tai EU–US DPF soveltuvin osin.

Tekoälyn tietojenkäsittely (Zero Data Retention)

Lyyli käyttää yksinomaan Zero Data Retention -periaatteella toimivia tekoälymallien tarjoajia. Asiakkaan sisältöä ei tallenneta tekoälyntarjoajien toimesta eikä käytetä mallien koulutukseen; tiedot käsitellään muistissa reaaliaikaisesti ja hävitetään välittömästi API-vastauksen palauttamisen jälkeen. Tekoälypyynnöt anonymisoidaan, eikä yksittäisiä käyttäjiä voida yhdistää tiettyihin tekoälypyyntöihin.

Ylläpito ja testaus

Vuotuinen penetraatiotestaus tai vastaava kolmannen osapuolen arvio.

Huoltokatkot

Ilmoitus vähintään 3 arkipäivää etukäteen.