Tietoturvayhteys ja vastuullinen ilmoittaminen
Versio: v1.0
Viimeksi päivitetty: 13.07.2026
Seuraava tarkistus: 01.10.2026
Tämä sivu sisältää ohjeet ja yhteystiedot tietoturvapoikkeamien, haavoittuvuuksien ja tietosuojahuolien ilmoittamiseen Lyyli.ai-alustalla. Dokumentti määrittelee vastuullisen ilmoittamisen pelisäännöt tietoturvatutkijoille ja IT-asiantuntijoille sekä rajaa selkeästi käytännön ulkopuolelle jäävät hyökkäystyypit ja testausmenetelmät.
Otamme järjestelmiemme turvallisuuden ja asiakkaidemme yksityisyyden erittäin vakavasti. Mikäli havaitset suorittamissasi testeissä tai järjestelmän jokapäiväisessä käytössä mahdollisen tietoturva-aukon, tietosuojahuolen tai haluat kysyä sopimus- ja käsittelyasioista, pyydämme ottamaan yhteyttä suoraan asiantuntijoihimme.
- Tietoturvahavainnot ja haavoittuvuudet: security@lyyli.ai
- Tietosuoja, sopimukset ja GDPR-kysymykset: privacy@lyyli.ai
- Yleiset tukipyynnöt: hello@lyyli.ai
Vastuullisen ilmoittamisen periaatteet
Mikäli olet tietoturvatutkija tai IT-asiantuntija ja olet löytänyt järjestelmästämme mahdollisen haavoittuvuuden, pyydämme noudattamaan seuraavia yhteistyökäytäntöjä:
- Älä vaaranna asiakasdataa: Älä yritä päästä käsiksi sellaiseen dataan, muokata sitä tai poistaa sitä, johon sinulla ei ole nimenomaista käyttöoikeutta.
- Dokumentoi havaintosi selkeästi: Kuvaile löytämäsi ongelma, sen toistovaiheet ja todentamisesimerkki sekä havainnon vaikutuksen alaiset järjestelmäkomponentit yksityiskohtaisesti.
- Anna tutkimus- ja korjausaikaa: Anna meille kohtuullinen aika tutkia havaintosi ja korjata se suojatusti ennen tietojen tuomista julkisuuteen.
- Vastausaikamme: Pyrimme reagoimaan ja lähettämään kuittauksen kelvollisiksi havaituille ilmoituksille 5 arkipäivän kuluessa niiden vastaanottamisesta.
Rajaukset ja kielletyt menetelmät
Seuraavat menetelmät ja hyökkäystyypit jäävät vastuullisen ilmoittamisen käytäntömme ulkopuolelle, ja niiden suorittaminen on järjestelmissämme ehdottomasti kielletty:
- Sosiaalinen manipulointi, kalastelu tai muut ihmisiin kohdistuvat hyökkäykset Lyylin henkilöstöä, kumppaneita tai asiakkaita vastaan.
- Palvelunestohyökkäykset (DoS/DDoS) tai muut toimenpiteet, jotka voivat hidastaa tai estää alustan normaalia toimintaa.
- Kolmannen osapuolen tarjoamien palveluiden ja alikäsittelijöiden sisäiset ongelmat, joilla ei ole suoraan osoitettavissa olevaa vaikutusta Lyyli-alustalla.