fi domain registrar documentation incoming

docs/domain-fi/index.md

@@ -0,0 +1,17 @@
+# .fi valitus
+
+!!! TODO
+	Nama dokumentaatiot lienevat keskeneraisia, jarjestelemattomia,
+	puutteellisia ja siirtyvaisia.
+	
+	Niin ja heikosti aeaekkoesiae/skandeja ko ei tas paskeessa
+	oo niit ku taa o tammoi amuriikkalaane lippatietokone.
+
+Kuka tahansa suomalainen voi ryhtya .fi-verkkotunnuksenvalittajaksi.
+Nailla sivuilla koottua tietoa aiheesta. Tiedot eivat valttamatta ole
+ajantasalla, enka takaa niiden oikeellisuutta.
+
+Lahteina on ainakin kaytetty
+[verkkotunnusmaaraysta](verkkotunnusmaarays68_2016M.pdf)(pdf)
+ja
+[verkkotunnusvalittajan opasta](verkkotunnusvalittajan_opas_151223.pdf)(pdf)

docs/domain-fi/tietosuoja-ja-henkilotietorekisteri.md

@@ -0,0 +1,204 @@
+# Tietosuoja ja Henkilotietorekisteri
+
+!!! TODO
+	Otsikossa aeoekkonen
+
+Fi-verkkotunnusvälittäjät keräävät ja käsittelevät fi-verkkotunnusten
+käyttäjien henkilötietoja fi-verkkotunnusten rekisteröimiseksi. Välittäjät
+merkitsevät tiedot Liikenne- ja viestintävirasto Traficomin (Traficom)
+fi-verkkotunnusrekisteriin ja ylläpitävät tietoja mm. tunnuksen käyttäjän
+yhteystietoja päivittäessään.
+
+Henkilötietojen käsittelystä säädetään EU:n yleisessä tietosuoja-asetuksessa
+(679/2016) ja tietosuojalaissa (1050/2018). Välittäjät sitoutuvat noudattamaan
+EU:n tietosuoja-asetuksessa, tietosuojalaissa, sähköisen viestinnän palveluista
+annetussa laissa (917/2014) ja verkkotunnusmääräyksessä (68/2016 M) välittäjälle
+säädettyjä velvoitteita ilmoittautuessaan Traficomille
+fi-verkkotunnusvälittäjäksi. Verkkotunnusmääräyksen perustelut ja soveltaminen
+-dokumentti tarkentaa konkreettisemmin, miten verkkotunnusmääräystä tulee
+soveltaa käytännössä.
+
+Laki sähköisen viestinnän palveluista sekä verkkotunnusmääräys 68 ovat
+välittäjän EU:n yleisen tietosuoja-asetuksen mukainen oikeudellinen peruste
+käsitellä fi-verkkotunnusten käyttäjien henkilötietoja fi-verkkotunnusten
+rekisteröimiseksi ja hallinnoimiseksi eli välitystoiminnan harjoittamiseksi.
+
+Fi-verkkotunnusvälittäjät tallettavat tiedot fi-verkkotunnusrekisteriin
+sähköisen viestinnän palveluista annetun lain 164 §:n 2 momentin, 165 §:n,
+167 §:n, 168 §:n ja 170 §:n mukaisesti.
+
+Fi-verkkotunnusvälittäjä toimii tietosuoja-asetuksen mukaisena itsenäisenä
+rekisterinpitäjänä niiden fi-verkkotunnusten käyttäjien henkilötietojen osalta,
+joita käsittelee välitystoiminnassaan. Näin ollen, fi-verkkotunnusvälittäjä on
+rekisterinpitäjänä vastuussa fi-verkkotunnusten käyttäjien eli rekisteröityjen
+henkilötietojen käsittelystä EU:n yleisen tietosuoja-asetuksen velvoitteiden
+mukaisesti.
+
+Fi-verkkotunnusvälittäjän on itsenäisenä rekisterinpitäjänä pystyttävä
+osoittamaan noudattavansa tietosuojalainsäädäntöä. Fi-verkkotunnusvälittäjä on
+velvollinen laatimaan ja julkaisemaan selosteen siitä, kuinka välittäjä
+käsittelee fi-verkkotunnusten käyttäjien henkilötietoja.
+
+Fi-verkkotunnusvälittäjän on annettava fi-verkkotunnuksen käyttäjälle kaikki
+henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti
+ymmärrettävässä ja selkeässä muodossa. Fi-verkkotunnusten käyttäjille on
+kerrottava muun muassa kuka rekisterinpitäjä on, mitä tarkoitusta varten
+rekisteröidyn henkilötietoja tarvitaan, kuinka kauan henkilötietoja tarvitaan,
+luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden
+ulkopuolelle, miten fi-verkkotunnuksen käyttäjä voi käyttää henkilötietoihin
+liittyviä oikeuksiaan ja rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista
+riskeistä.
+
+Fi-verkkotunnusvälittäjän on itsenäisenä rekisterinpitäjänä toteutettava myös
+asianmukaiset toimenpiteet fi-verkkotunnusten käyttäjien eli rekisteröityjen
+tietosuojaoikeuksien toteuttamiseksi. Välittäjän on myös helpotettava
+rekisteröidyn oikeuksien käyttämistä.
+
+Fi-verkkotunnusvälittäjän on arvioitava yleisesti fi-verkkotunnusten käyttäjien
+henkilötietojen käsittelyn aiheuttamat riskit ja toimenpiteet ja nimettävä
+tietosuojavastaava. Fi-verkkotunnusvälittäjän on käsiteltävä henkilötietojen
+tietoturvaloukkaukset ja ilmoitettava niistä tietosuojavaltuutetulle ja
+tapauksesta riippuen rekisteröidyille EU:n yleisen tietosuoja-asetuksen mukaisesti.
+
+Huom! EU/ETA-alueen ulkopuolella sijaitsevat fi-verkkotunnusvälittäjät eivät voi
+rekisteröidä fi-verkkotunnuksia yksityishenkilöille. Rajaus koskee niitä
+välittäjiä, joiden sijaintivaltiolla ei ole EU:n kanssa erikseen solmittua
+voimassa olevaa tiedonsiirtojärjestelyä. Rajaus koskee myös niitä Yhdysvalloissa
+sijaitsevia välittäjiä, jotka eivät ole erikseen sertifioituneet noudattamaan
+tietosuojajärjestelyä.
+
+Fi-verkkotunnusvälittäjän tulee huolehtia asianmukaisista ja riittävistä
+tiedonsiirtomekanismeista, jos se siirtää henkilötietoja ETA-alueen
+ulkopuolelle.
+
+Mikäli fi-verkkotunnusvälittäjä käyttää toiminnassaan jälleenmyyjiä tai muita
+palveluntarjoajia, sen on merkittävä jälleenmyyjää koskevat tiedot
+fi-verkkotunnusrekisteriin ja pidettävä ne ajantasaisina. Jälleenmyyjät toimivat
+henkilötietojen käsittelijöinä välittäjän puolesta ja lukuun. Välittäjä vastaa
+siitä, että sen jälleenmyyjät sitoutuvat ja vastaavat EU:n yleisen
+tietosuoja-asetuksen artiklan 28 mukaisista käsittelijän velvollisuuksista
+henkilötietojen käsittelijöinä. Fi-verkkotunnusvälittäjän tulee tehdä
+jälleenmyyjiensä kanssa asianmukaiset sopimukset ja antaa jälleenmyyjille
+yksityiskohtaiset ohjeet henkilötietojen käsittelystä. Välittäjä vastaa
+täysimääräisesti alihankkijoidensa, käyttämiensä muiden palveluntarjoajien tai
+jälleenmyyjien, velvoitteiden suorittamisesta Traficomiin nähden.
+
+Traficomin lakisääteisenä tehtävänä on hallinnoida fi-maatunnusta ja ylläpitää
+fi-verkkotunnusrekisteriä. Traficom toimii itsenäisenä rekisterinpitäjänä koko
+fi-verkkotunnusrekisterin tietosisällön osalta ja vastaa
+fi-verkkotunnusrekisterin tietovarantokokonaisuudesta.
+
+Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo
+tietosuojalainsäädännön noudattamista Suomessa (tietosuoja.fi).
+
+## Fi-verkkotunnusrekisteriin ilmoitettavat ja välitystoiminnassa käsiteltävät henkilötiedot
+
+Välittäjän tulee lain perusteella ilmoittaa fi-verkkotunnuksen käyttäjästä
+fi-verkkotunnusrekisteriin seuraavat henkilötiedot, joiden ajantasaisina
+pitäminen on välittäjän vastuulla:
+
+- Nimi
+- Henkilötunnus / muu yksilöivä tunnus
+- Postiosoite
+- Puhelinnumero
+- Yhteyshenkilö ja yhteyshenkilön puhelinnumero (oikeushenkilöiltä)
+- Sähköpostiosoite (prosessiosoite)
+
+Myös yhteisöille rekisteröityjen verkkotunnusten rekisteriin ilmoitettavat
+käyttäjätiedot voivat sisältää henkilötietoja.
+
+## Henkilötietojen käsittelyn tarkoitus ja kesto
+
+Fi-verkkotunnusten välittäminen on toimintaa, jolla tarkoitetaan
+fi-verkkotunnusten rekisteröintimerkintöjen tekemistä fi-verkkotunnusrekisteriin
+ja näiden tietojen hallinnointia, kuten päivittämistä. Merkintöjä
+fi-verkkotunnusrekisteriin voi tehdä vain verkkotunnusvälitysilmoituksen
+Traficomille tehnyt toiminnan harjoittaja eli fi-verkkotunnusvälittäjä.
+
+Fi-verkkotunnus on merkittävä käyttäjän nimiin ja verkkotunnusvälittäjän on
+merkittävä fi-verkkotunnusrekisteriin verkkotunnuksen käyttäjää koskevat oikeat,
+ajantasaiset ja yksilöivät tiedot sekä kuulemisiin ja tiedoksiantoihin
+käytettävä sähköpostiosoite.
+
+Välittäjän velvollisuutena on pitää tiedot oikeina ja ajan tasalla.
+
+Verkkotunnusvälitystoimintaan kuuluvat kaikki ne toimenpiteet, joita
+verkkotunnusvälittäjä tekee ylläpitääkseen verkkotunnusrekisteriin merkityn
+verkkotunnuksen tietoja. Hallinnointia on mm. verkkotunnuksen yhteystietojen
+päivittäminen, verkkotunnuksen voimassaolon uusiminen, verkkotunnuksen
+siirtäminen käyttäjältä toiselle ja verkkotunnusvälittäjän vaihtaminen.
+
+Välitystoimintaan kuuluu myös ilmoitus- ja neuvontavelvollisuuden hoitaminen.
+
+Mikäli verkkotunnusvälittäjä liittää verkkotunnukselle nimipalvelimet, on
+välittäjä vastuussa siitä, että nimipalvelimet toimivat verkkotunnusmääräyksen
+mukaisesti.
+
+Verkkotunnuksen hallinnointi tarkoittaa myös kykyä merkitä tietoja
+verkkotunnusrekisteriin Traficomin määrittelemällä teknisellä järjestelyllä sekä
+kykyä huolehtia toimintansa tietoturvasta.
+
+Mikäli välittäjä tarjoaa fi-verkkotunnuksen käyttäjälle muita kuin
+fi-verkkotunnusvälitystoiminnalle lain perustella säädettyjä palveluita (esim.
+kotisivu- tai sähköpostipalveluita, palvelintilaa, tms.) ja välittäjät
+käsittelevät fi-verkkotunnuksen käyttäjän henkilötietoja muiden palvelujen
+tarjoamista varten, on välittäjällä oltava henkilötietojen käsittelylle jokin
+muu EU:n tietosuoja-asetuksen mukainen käsittelyperuste.
+
+Fi-verkkotunnusvälittäjä saa käsitellä fi-verkkotunnusrekisteriin merkitsemiään
+ja rekisterissä ylläpitämiään henkilötietoja vain sen ajan, kun fi-verkkotunnus
+on kyseisen välittäjän ylläpidossa ja/tai verkkotunnus on voimassa
+suoja-aikoineen. Fi-verkkotunnusvälittäjä on vastuussa siitä, että se poistaa
+fi-verkkotunnusten käyttäjien henkilötiedot omista järjestelmistään sen jälkeen,
+kun tietojen käsittelyperuste eli tunnuksen välitystoiminta päättyy.
+
+## Fi-verkkotunnuksen käyttäjän eli rekisteröidyn oikeudet
+
+Fi-verkkotunnusvälittäjä on vastuussa siitä, että fi-verkkotunnuksen käyttäjän
+EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet toteutuvat.
+
+Fi-verkkotunnuksen käyttäjän oikeutena on:
+
+1. tietää, mitkä tahot käyttävät hänen henkilötietojaan
+
+Fi-verkkotunnuksen käyttäjän henkilötietoja käsittelee fi-verkkotunnusvälittäjät
+ja Traficom.
+
+Verkkotunnusvälittäjät saattavat käyttää toiminnassaan alihankkijoita
+(jälleenmyyjiä), joiden toiminnasta välittäjät vastaavat itse täysimääräisesti.
+
+2. tietää, mihin tarkoitukseen hänen tietojaan käytetään
+
+Fi-verkkotunnuksen käyttäjän henkilötietoja käytetään verkkotunnuksen
+rekisteröimiseen ja ylläpitoon sekä fi-verkkotunnusriitojen ratkaisuun.
+
+Fi-verkkotunnusvälittäjät rekisteröivät ja ylläpitävät verkkotunnuksia. Traficom
+ylläpitää fi-verkkotunnusrekisteriä ja ratkaisee fi-verkkotunnusriidat
+oikeudenhaltijoiden vaatimuksesta.
+
+3. saada pääsy omiin tietoihin
+
+Fi-verkkotunnusvälittäjän ja Traficomin tulee antaa fi-verkkotunnuksen
+käyttäjälle vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai
+niitä ei käsitellä. Jos tietoja käsitellään, fi-verkkotunnuksen käyttäjällä on
+oikeus saada pääsy omiin henkilötietoihinsa.
+
+4. tarkastaa ja oikaista virheelliset tietonsa
+
+Fi-verkkotunnuksen käyttäjällä on oikeus tehdä omien tietojen tarkastuspyyntö
+sekä fi-verkkotunnusvälittäjälle että Liikenne- ja viestintävirastolle.
+Fi-verkkotunnusvälittäjän tulee oikaista fi-verkkotunnuksen käyttäjää koskevat
+epätarkat ja virheelliset henkilötiedot.
+
+5. rajoittaa henkilötietojen käsittelyä
+
+Fi-verkkotunnuksen käyttäjä voi osoittaa pyynnön fi-verkkotunnusvälittäjälle ja
+Traficomille henkilötietojensa käsittelyn rajoittamiseksi yleisen
+tietosuoja-asetuksen 18 artiklan mukaisissa tilanteissa.
+
+6. tehdä valitus valvontaviranomaiselle
+
+Fi-verkkotunnuksen käyttäjällä on oikeus saattaa asia tietosuojavaltuutetun
+käsiteltäväksi katsoessaan, että häntä koskevien henkilötietojen käsittelyssä
+rikotaan sitä koskevaa lainsäädäntöä. Oikeus ei rajoita muita hallinnollisia
+muutoksenhakukeinoja tai oikeussuojakeinoja.

docs/domain-fi/tietoturva.md

@@ -0,0 +1,157 @@
+# Tietoturva
+
+Verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta.
+
+Tietoturvasta huolehtiminen on välittäjän lakisääteinen velvollisuus, josta
+säädetään sähköisen viestinnän palveluista annetun lain 170.1 §:n kohdassa 6
+sekä GDPR artiklassa 32.
+
+Tietoturvalla tarkoitetaan sähköisen viestinnän palveluista annetun lain 3.1
+§:n 28 kohdan mukaan hallinnollisia ja teknisiä toimia tietojen
+luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi.
+
+Verkkotunnusmääräyksen 68 luvussa neljä kuvataan vähimmäisvaatimukset
+tietoturvan hallinnoinnille, jotka verkkotunnusvälittäjän tulee toteuttaa
+toiminnassaan.
+
+Verkkotunnusmääräyksen perustelut ja soveltaminen tarkentaa konkreettisemmin,
+miten tietoturvavaatimuksia tulee soveltaa käytännössä.
+
+## Välittäjän ilmoitusvelvollisuus tietoturvahäiriöistä
+
+Verkkotunnusvälittäjän on ilmoitettava välitystoimintaan kohdistuvista
+tietoturvauhkista ja -loukkauksista.
+
+Tietoturvaloukkauksista ilmoitetaan Traficomin asiointilomakkeella, joka löytyy
+sisäänkirjautuneen välittäjän www-käyttöliittymässä vasemmasta navigaatiosta.
+
+Välittäjän on ilmoitettava viipymättä Traficomille, jos sen verkkotunnusten
+välitystoimintaan kohdistuu
+
+- merkittävä tietoturvaloukkaus
+- uhka merkittävästä tietoturvaloukkauksesta tai tapahtumasta, joka estää tai
+  häiritsee toimintaa olennaisesti.
+
+Samalla on myös ilmoitettava häiriön tai sen uhan
+
+- arvioitu kesto
+- vaikutukset
+- korjaustoimenpiteet
+- toimenpiteet, joilla häiriön toistuminen pyritään estämään.
+
+Traficomille annettavassa merkittävää tietoturvahäiriötä koskevassa
+ilmoituksessa tulee mahdollisuuksien mukaan selvittää häiriön tai uhan syy ja
+kuvata, miten häiriö on aiheutunut.
+
+**Tietoturvahäiriöstä on ilmoitettava välittömästi**
+
+Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun häiriötilanne on tullut
+välittäjän tietoon.
+
+Esimerkiksi tilanteessa, jossa verkkotunnusvälittäjän järjestelmään on
+tunkeuduttu, on välttämätöntä, että valvova viranomainen saa asiasta viipymättä
+tiedon. Vaarana on, että tunkeutuja voi päästä vapaasti muuttamaan kyseisen
+välittäjän hallinnoimien verkkotunnusten tietoja, kuten esimerkiksi
+nimipalvelimia. Uhka voi koskea laajaakin asiakasmäärää riippuen välittäjän
+asiakaskunnasta.
+
+Jos kaikkia ilmoituksessa esitettyjä tietoja ei ole saatavilla ja tilannetta on
+tutkittava tarkemmin, tehdään viimeistään 24 tunnin kuluessa ns. alustava
+ilmoitus, jota täydennetään mahdollisimman pian, viimeistään kuitenkin kolmen
+(3) päivän kuluttua alustavasta ilmoituksesta.
+
+Jos tutkimuksista huolimatta verkkotunnusvälittäjä ei pysty antamaan kaikkia
+tietoja kolmen päivän kuluessa alustavasta ilmoituksesta, on ilmoitettava
+kyseisessä määräajassa käyttöön saadut tiedot ja perusteltava, miksi loput
+tiedot ilmoitetaan määräajan jälkeen.
+
+## Merkittävät tietoturvaloukkaukset
+
+Merkittävistä välittäjätoimintaan kohdistuvista tietoturvaloukkauksista on
+ilmoitettava Traficomille.
+
+Tietoturvaloukkausten vaikutukset voivat kohdistua tietojen tai
+tietojärjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen.
+
+Luottamuksellisuus: Tiedot ja käyttäjätunnuksiin liittyvät todentamistiedot
+ovat vain niihin oikeutettujen tahojen tiedossa.
+
+Eheys: Tietoja ei ole mahdollista muuttaa oikeudettomasti. Sivullisten ei ole
+mahdollista vaikuttaa tietojärjestelmien toimintaan.
+
+Saatavuus: Palvelu ja sen sisältämät tiedot ovat siihen oikeutettujen tahojen
+saatavissa.
+
+## Tietoturvaloukkausten merkittävyyden arviointi
+
+Tietoturvaloukkauksen tai muun tapahtuman merkittävyyttä arvioitaessa on
+kiinnitettävä huomiota tapauksen haitallisiin vaikutuksiin tai tietoturvauhan
+vakavuuteen. Merkittävänä voidaan pitää aina sitä, että tietoturvahäiriö
+kohdistuu johonkin seuraavista suojattavista kohteista:
+
+- verkkotunnusvälittäjän omiin palveluihin ja palvelujen tuotantoon käytettäviin
+  tieto- ja viestintäjärjestelmiin
+- verkkotunnusvälittäjän asiakkaiden tietoturvaan, henkilötietojen suojaan tai
+  yrityssalaisuuksien suojaan
+- Traficomin hallinnoimaan Suomen fi-juureen (joko suoraan tai välillisesti
+  verkkotunnusvälittäjään kohdistuneen tietoturvaloukkauksen seurauksena).
+
+Merkittävänä voidaan myös pitää usein toistuvaa, poikkeuksellisen pitkäkestoista
+tai tahalliselta vaikuttavaa toimintaa, jolla on negatiivisia vaikutuksia
+verkkotunnusvälittäjän kykyyn huolehtia välitystoimintansa tietoturvasta.
+Lisäksi merkittävänä voidaan pitää sitä, että häiriötä ei ole mahdollista
+poistaa pelkillä verkkotunnusvälittäjän omilla toimenpiteillä.
+
+## Ilmoitusvelvollisuuteen kuuluvia tietoturvaloukkaustyyppejä
+
+Alla oleva luettelo ilmoitettavista tietoturvaloukkaustyypeistä ei ole
+tyhjentävä, vaan sen on tarkoitus kuvata ilmoituskynnyksen vakavuustasoa.
+Harkinnan mukaan myös vähäisemmistä tietoturvaloukkauksista ja niiden uhkista
+kannattaa ilmoittaa Traficomille.
+
+Traficomille ilmoitettavia merkittäviä tietoturvahäiriöitä ovat esimerkiksi:
+
+- tietomurrot verkkotunnusvälittäjän tietojärjestelmiin
+- oikeudeton pääsy verkkotunnusvälittäjän järjestelmään
+- verkkotunnusvälittäjän järjestelmässä oleva tietoturvaa vaarantava
+  haavoittuvuus tai konfiguraatiovirhe.
+- sisäänkirjautumistunnusten päätyminen kolmannen osapuolen tietoon
+- Traficomin järjestelmiin käytettävien sisäänkirjautumistunnusten päätyminen
+  ulkopuolisille.
+
+Oikeudettomat muutokset
+
+- mahdollisuus oikeudettomasti muuttaa verkkotunnusvälittäjän hallinnoimien
+  verkkotunnusten tietoja
+- verkkotunnusvälittäjän oman henkilöstön oikeudettomasti suorittamat muutokset
+  Traficomin verkkotunnusrekisteriin
+- oikeudeton pääsy verkkotunnusvälittäjän asiakkailleen tarjoamaan
+  itsepalveluportaaliin, jonka avulla asiakkaat voivat itse ylläpitää
+  verkkotunnustensa tietoja.
+
+Palvelunestohyökkäykset
+
+- jos verkkotunnusvälittäjän järjestelmä lamaantuu ja/tai asiakkaiden pääsy
+  järjestelmään estyy tai
+- järjestelmän häiriö vaikuttaa Traficomin järjestelmän toimintaan.
+
+## Suositus vapaaehtoisista ilmoituksista
+
+Traficom suosittelee, että verkkotunnusvälittäjät ilmoittavat harkintansa mukaan
+Traficomille myös merkittävää vähäisemmistä tietoturvaloukkauksista ja niiden
+uhkista. Näillä tiedoilla voi olla merkitystä Traficomin muiden
+tietoturvatehtävien hoitamisen kannalta.
+
+Traficomilla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia
+hyödyntämällä toteutettavien yleisiin viestintäverkkoihin tai -palveluihin
+taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten
+havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.
+Traficom voi ryhtyä näihin toimiin verkkotunnuksen käyttäjää kuulematta.
+
+Traficomin suorittamat välttämättömät toimet voidaan kohdistaa fi-juuren
+nimipalvelintietoihin ja ne voivat käsittää:
+
+- verkkotunnukseen suuntautuvan liikenteen estämisen tai rajoittamisen
+- verkkotunnukseen suuntautuvan liikenteen ohjaamisen toiseen
+  verkko-osoitteeseen
+- muut näihin rinnastettavat tekniset toimenpiteet.

docs/domain-fi/vastuut-ja-velvollisuudet.md

@@ -0,0 +1,118 @@
+# Vastuut ja Velvollisuudet
+
+Laki sähköisen viestinnän palveluista (917/2014) edellyttää verkkotunnusten
+välittäjiksi ryhtyviä toiminnanharjoittajia ilmoittautumaan Liikenne- ja
+viestintävirastolle ja huolehtimaan kaikkien ilmoittamiensa tietojen
+ajantasaisuudesta.
+[Laissa](https://finlex.fi/fi/laki/ajantasa/2014/20140917 "Palvelun ulkopuolinen linkki")
+on säädetty vaatimuksia välittäjien toiminnalle ja niitä on osin tarkennettu
+Liikenne- ja viestintäviraston
+[määräyksellä](https://www.traficom.fi/sites/default/files/media/regulation/Verkkotunnusm%C3%A4%C3%A4r%C3%A4ys68_2016M.pdf "Palvelun ulkopuolinen linkki")
+(68/2016 M).
+
+Vaatimukset verkkotunnusvälittäjille koskevat:
+
+- asiakkaille tarjottavan palvelun sisältöä ja laatua
+- sallittuja teknisiä rajapintoja
+- tietoturvasta huolehtimista
+- ilmoitusvelvollisuutta tietoturvahäiriöistä.
+
+Kaikkien verkkotunnusvälittäjäksi aikovien tulee tutustua huolellisesti
+kaikkiin verkkotunnusvälittäjän velvollisuuksiin, jotka löytyvät
+verkkotunnusvälittäjän
+[oppaasta.](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusvalittajan-opas.pdf "Palvelun ulkopuolinen linkki")
+
+## Palvelua koskevat velvoitteet
+
+Välittäjän on neuvottava (SVPL 170.1,1 §) asiakkaitaan verkkotunnusten
+lainmukaisuudesta. Fi-verkkotunnus ei saa loukata toiselle rekisteröityä nimeä
+tai tavaramerkkiä.
+
+- Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja
+  merkit niitä koskevista rekistereistä (Määräys 7§).
+- Verkkotunnus on aina merkittävä sen todellisen käyttäjän nimiin (SVPL 167.1 §).
+- Välittäjän on merkittävä teknisen rajapinnan kautta Liikenne- ja
+  viestintäviraston verkkotunnusrekisteriin käyttäjää koskevat oikeat,
+  ajantasaiset ja yksilöivät tiedot sekä kuulemisiin että tiedoksiantoihin
+  käytettävä sähköpostiosoite (ns. prosessiosoite).
+- Verkkotunnuksen käyttäjille on tiedotettava riittävän ajoissa tunnuksen
+  voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi
+  uusia (SVPL 170.1,4 §).
+
+## Käyttäjän pyyntöjä koskevat velvollisuudet
+
+- verkkotunnuksen voimassaolon uusiminen (SVPL 167.3 §)
+- verkkotunnuksen siirto toiselle käyttäjälle (SVPL 168.1 §)
+- välittäjän vaihtaminen (SVPL 168.3 §)
+- verkkotunnuksen irtisanominen (SVPL 170.1,5 §).
+
+Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee
+oikealta taholta. Verkkotunnuksen siirto tai välittäjän vaihto on tehtävä viiden
+arkipäivän kuluessa (Määräys 10-11 §).
+
+Välittäjän on tiedotettava asiakkailleen toimintansa lopettamisesta ja Liikenne-
+ja viestintäviraston kieltopäätöksestä (SVPL 165.2 § ja Määräys 6§).
+
+## Teknisiä rajapintoja koskevat vaatimukset
+
+- Verkkotunnusvälittäjän on kyettävä merkitsemään tietoja
+  verkkotunnusrekisteriin Liikenne- ja viestintäviraston määrittelemällä
+  teknisellä järjestelyllä (SVPL 170.1,3 § ja 167.4 §).
+- Teknisenä rajapintana on käytettävä selainkäyttöliittymää tai Liikenne- ja
+  viestintäviraston määrittelemää EPP-rajapintaa (Extensible Provisioning
+  Protocol) (Määräys 9§).
+- EPP-rajapintaa käytettäessä on välittäjän asiakasohjelmiston oltava
+  yhteensopiva Liikenne- ja viestintäviraston
+  [EPP-rajapintakuvauksen](https://registry.domain.fi/s/docs/EPP_Rajapintakuvaus.pdf "Palvelun ulkopuolinen linkki")
+  kanssa ja sen tulee läpäistä Liikenne- ja viestintäviraston vaatimat testit
+  EPP-testiympäristössä (Määräys 9§).
+- EPP-rajapintaa käyttävän verkkotunnusvälittäjän on täytettävä kulloinkin
+  voimassaolevan
+  [Katakrin](https://um.fi/documents/35732/0/Katakri+-+2020_1218.pdf/ab9c2d4a-5031-3670-6743-3f8921dce8c9?t=1608302599246 "Palvelun ulkopuolinen linkki")
+  (Tietoturvallisuuden auditointityökalu) teknisen tietoturvallisuuden
+  I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut arvioitavat
+  kohdat tietoliikenne- ja tietojärjestelmäturvallisuuden osalta (Määräys 20§).
+
+## Tietoturvavaatimukset
+
+Verkkotunnusvälittäjän on huolehdittava välitystoimintansa tietoturvasta
+(SVPL 170.1,6 §). Määräyksen (68/2016 M) luvussa 4 on annettu tarkempia
+määräyksiä toiminnan tietoturvallisuudesta. Jokaisen verkkotunnusvälittäjän
+velvollisuutena on määritellä yksityiskohtaiset ja riittävät ohjeet
+tietoturvauhkien varalle.
+
+**Välittäjän on dokumentoitava ja ylläpidettävä ajantasainen kuvaus siitä,
+miten se huomioi toiminnassaan tietoturvan eri osa-alueet:**
+
+- hallinnollinen tietoturva
+- henkilöstöturvallisuus
+- laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
+- tietoaineisto- ja käyttöturvallisuus
+- fyysinen turvallisuus.
+
+**Lisäksi verkkotunnusvälittäjällä on oltava ajantasaiset dokumentoidut:**
+
+- riskienhallinnan prosessit ja säännöllisesti toteutettujen riskikartoitusten
+  tulokset
+- välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja
+  luokitteluun liittyvä tietoaineistojen käsittelymenettely
+- välitystoiminnan tietoturvauhkien valvontamekanismit
+- menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien
+  tilanteiden varalle
+- verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja
+  laitetilamuutoksia ohjaavat prosessit.
+
+Liikenne- ja viestintävirastolle ei ilman erillistä pyyntöä tarvitse lähettää
+dokumentteja.
+
+## Toimintaa koskevat häiriöilmoitukset
+
+Verkkotunnusvälittäjän on tehtävä ilmoitus Liikenne- ja viestintävirastolle
+välitystoimintaan kohdistuvasta tai sitä uhkaavasta merkittävästä
+tietoturvaloukkauksesta tai muusta tapahtumasta, joka estää tai häiritsee sitä
+olennaisesti (SVPL 170.1,7 §). Häiriöilmoitus on tehtävä 24 tunnin kuluessa
+siitä, kun merkittävä häiriötilanne on tullut verkkotunnusvälittäjän tietoon
+(Määräys 21.2 §). Liikenne- ja viestintäviraston laatimassa
+[Määräyksen 68 perustelut ja soveltaminen](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusm%C3%A4%C3%A4r%C3%A4yksen_perustelut_ja_soveltaminen68_2016.pdf "Palvelun ulkopuolinen linkki")
+(MPS) -dokumentissa käsitellään kriteerejä, jotka on huomioitava arvioitaessa
+häiriötilanteen merkittävyyttä.