119 lines
6.1 KiB
Markdown
119 lines
6.1 KiB
Markdown
|
# Vastuut ja Velvollisuudet
|
|||
|
|
|
|||
|
|
Laki sähköisen viestinnän palveluista (917/2014) edellyttää verkkotunnusten
|
|||
|
|
välittäjiksi ryhtyviä toiminnanharjoittajia ilmoittautumaan Liikenne- ja
|
|||
|
|
viestintävirastolle ja huolehtimaan kaikkien ilmoittamiensa tietojen
|
|||
|
|
ajantasaisuudesta.
|
|||
|
|
[Laissa](https://finlex.fi/fi/laki/ajantasa/2014/20140917 "Palvelun ulkopuolinen linkki")
|
|||
|
|
on säädetty vaatimuksia välittäjien toiminnalle ja niitä on osin tarkennettu
|
|||
|
|
Liikenne- ja viestintäviraston
|
|||
|
|
[määräyksellä](https://www.traficom.fi/sites/default/files/media/regulation/Verkkotunnusm%C3%A4%C3%A4r%C3%A4ys68_2016M.pdf "Palvelun ulkopuolinen linkki")
|
|||
|
|
(68/2016 M).
|
|||
|
|
|
|||
|
|
Vaatimukset verkkotunnusvälittäjille koskevat:
|
|||
|
|
|
|||
|
|
- asiakkaille tarjottavan palvelun sisältöä ja laatua
|
|||
|
|
- sallittuja teknisiä rajapintoja
|
|||
|
|
- tietoturvasta huolehtimista
|
|||
|
|
- ilmoitusvelvollisuutta tietoturvahäiriöistä.
|
|||
|
|
|
|||
|
|
Kaikkien verkkotunnusvälittäjäksi aikovien tulee tutustua huolellisesti
|
|||
|
|
kaikkiin verkkotunnusvälittäjän velvollisuuksiin, jotka löytyvät
|
|||
|
|
verkkotunnusvälittäjän
|
|||
|
|
[oppaasta.](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusvalittajan-opas.pdf "Palvelun ulkopuolinen linkki")
|
|||
|
|
|
|||
|
|
## Palvelua koskevat velvoitteet
|
|||
|
|
|
|||
|
|
Välittäjän on neuvottava (SVPL 170.1,1 §) asiakkaitaan verkkotunnusten
|
|||
|
|
lainmukaisuudesta. Fi-verkkotunnus ei saa loukata toiselle rekisteröityä nimeä
|
|||
|
|
tai tavaramerkkiä.
|
|||
|
|
|
|||
|
|
- Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja
|
|||
|
|
merkit niitä koskevista rekistereistä (Määräys 7§).
|
|||
|
|
- Verkkotunnus on aina merkittävä sen todellisen käyttäjän nimiin (SVPL 167.1 §).
|
|||
|
|
- Välittäjän on merkittävä teknisen rajapinnan kautta Liikenne- ja
|
|||
|
|
viestintäviraston verkkotunnusrekisteriin käyttäjää koskevat oikeat,
|
|||
|
|
ajantasaiset ja yksilöivät tiedot sekä kuulemisiin että tiedoksiantoihin
|
|||
|
|
käytettävä sähköpostiosoite (ns. prosessiosoite).
|
|||
|
|
- Verkkotunnuksen käyttäjille on tiedotettava riittävän ajoissa tunnuksen
|
|||
|
|
voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi
|
|||
|
|
uusia (SVPL 170.1,4 §).
|
|||
|
|
|
|||
|
|
## Käyttäjän pyyntöjä koskevat velvollisuudet
|
|||
|
|
|
|||
|
|
- verkkotunnuksen voimassaolon uusiminen (SVPL 167.3 §)
|
|||
|
|
- verkkotunnuksen siirto toiselle käyttäjälle (SVPL 168.1 §)
|
|||
|
|
- välittäjän vaihtaminen (SVPL 168.3 §)
|
|||
|
|
- verkkotunnuksen irtisanominen (SVPL 170.1,5 §).
|
|||
|
|
|
|||
|
|
Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee
|
|||
|
|
oikealta taholta. Verkkotunnuksen siirto tai välittäjän vaihto on tehtävä viiden
|
|||
|
|
arkipäivän kuluessa (Määräys 10-11 §).
|
|||
|
|
|
|||
|
|
Välittäjän on tiedotettava asiakkailleen toimintansa lopettamisesta ja Liikenne-
|
|||
|
|
ja viestintäviraston kieltopäätöksestä (SVPL 165.2 § ja Määräys 6§).
|
|||
|
|
|
|||
|
|
## Teknisiä rajapintoja koskevat vaatimukset
|
|||
|
|
|
|||
|
|
- Verkkotunnusvälittäjän on kyettävä merkitsemään tietoja
|
|||
|
|
verkkotunnusrekisteriin Liikenne- ja viestintäviraston määrittelemällä
|
|||
|
|
teknisellä järjestelyllä (SVPL 170.1,3 § ja 167.4 §).
|
|||
|
|
- Teknisenä rajapintana on käytettävä selainkäyttöliittymää tai Liikenne- ja
|
|||
|
|
viestintäviraston määrittelemää EPP-rajapintaa (Extensible Provisioning
|
|||
|
|
Protocol) (Määräys 9§).
|
|||
|
|
- EPP-rajapintaa käytettäessä on välittäjän asiakasohjelmiston oltava
|
|||
|
|
yhteensopiva Liikenne- ja viestintäviraston
|
|||
|
|
[EPP-rajapintakuvauksen](https://registry.domain.fi/s/docs/EPP_Rajapintakuvaus.pdf "Palvelun ulkopuolinen linkki")
|
|||
|
|
kanssa ja sen tulee läpäistä Liikenne- ja viestintäviraston vaatimat testit
|
|||
|
|
EPP-testiympäristössä (Määräys 9§).
|
|||
|
|
- EPP-rajapintaa käyttävän verkkotunnusvälittäjän on täytettävä kulloinkin
|
|||
|
|
voimassaolevan
|
|||
|
|
[Katakrin](https://um.fi/documents/35732/0/Katakri+-+2020_1218.pdf/ab9c2d4a-5031-3670-6743-3f8921dce8c9?t=1608302599246 "Palvelun ulkopuolinen linkki")
|
|||
|
|
(Tietoturvallisuuden auditointityökalu) teknisen tietoturvallisuuden
|
|||
|
|
I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut arvioitavat
|
|||
|
|
kohdat tietoliikenne- ja tietojärjestelmäturvallisuuden osalta (Määräys 20§).
|
|||
|
|
|
|||
|
|
## Tietoturvavaatimukset
|
|||
|
|
|
|||
|
|
Verkkotunnusvälittäjän on huolehdittava välitystoimintansa tietoturvasta
|
|||
|
|
(SVPL 170.1,6 §). Määräyksen (68/2016 M) luvussa 4 on annettu tarkempia
|
|||
|
|
määräyksiä toiminnan tietoturvallisuudesta. Jokaisen verkkotunnusvälittäjän
|
|||
|
|
velvollisuutena on määritellä yksityiskohtaiset ja riittävät ohjeet
|
|||
|
|
tietoturvauhkien varalle.
|
|||
|
|
|
|||
|
|
**Välittäjän on dokumentoitava ja ylläpidettävä ajantasainen kuvaus siitä,
|
|||
|
|
miten se huomioi toiminnassaan tietoturvan eri osa-alueet:**
|
|||
|
|
|
|||
|
|
- hallinnollinen tietoturva
|
|||
|
|
- henkilöstöturvallisuus
|
|||
|
|
- laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
|
|||
|
|
- tietoaineisto- ja käyttöturvallisuus
|
|||
|
|
- fyysinen turvallisuus.
|
|||
|
|
|
|||
|
|
**Lisäksi verkkotunnusvälittäjällä on oltava ajantasaiset dokumentoidut:**
|
|||
|
|
|
|||
|
|
- riskienhallinnan prosessit ja säännöllisesti toteutettujen riskikartoitusten
|
|||
|
|
tulokset
|
|||
|
|
- välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja
|
|||
|
|
luokitteluun liittyvä tietoaineistojen käsittelymenettely
|
|||
|
|
- välitystoiminnan tietoturvauhkien valvontamekanismit
|
|||
|
|
- menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien
|
|||
|
|
tilanteiden varalle
|
|||
|
|
- verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja
|
|||
|
|
laitetilamuutoksia ohjaavat prosessit.
|
|||
|
|
|
|||
|
|
Liikenne- ja viestintävirastolle ei ilman erillistä pyyntöä tarvitse lähettää
|
|||
|
|
dokumentteja.
|
|||
|
|
|
|||
|
|
## Toimintaa koskevat häiriöilmoitukset
|
|||
|
|
|
|||
|
|
Verkkotunnusvälittäjän on tehtävä ilmoitus Liikenne- ja viestintävirastolle
|
|||
|
|
välitystoimintaan kohdistuvasta tai sitä uhkaavasta merkittävästä
|
|||
|
|
tietoturvaloukkauksesta tai muusta tapahtumasta, joka estää tai häiritsee sitä
|
|||
|
|
olennaisesti (SVPL 170.1,7 §). Häiriöilmoitus on tehtävä 24 tunnin kuluessa
|
|||
|
|
siitä, kun merkittävä häiriötilanne on tullut verkkotunnusvälittäjän tietoon
|
|||
|
|
(Määräys 21.2 §). Liikenne- ja viestintäviraston laatimassa
|
|||
|
|
[Määräyksen 68 perustelut ja soveltaminen](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusm%C3%A4%C3%A4r%C3%A4yksen_perustelut_ja_soveltaminen68_2016.pdf "Palvelun ulkopuolinen linkki")
|
|||
|
|
(MPS) -dokumentissa käsitellään kriteerejä, jotka on huomioitava arvioitaessa
|
|||
|
|
häiriötilanteen merkittävyyttä.
|