saitti/docs/domain-fi/vastuut-ja-velvollisuudet.md

# Vastuut ja Velvollisuudet

Laki sähköisen viestinnän palveluista (917/2014) edellyttää verkkotunnusten
välittäjiksi ryhtyviä toiminnanharjoittajia ilmoittautumaan Liikenne- ja
viestintävirastolle ja huolehtimaan kaikkien ilmoittamiensa tietojen
ajantasaisuudesta.
[Laissa](https://finlex.fi/fi/laki/ajantasa/2014/20140917 "Palvelun ulkopuolinen linkki")
on säädetty vaatimuksia välittäjien toiminnalle ja niitä on osin tarkennettu
Liikenne- ja viestintäviraston
[määräyksellä](https://www.traficom.fi/sites/default/files/media/regulation/Verkkotunnusm%C3%A4%C3%A4r%C3%A4ys68_2016M.pdf "Palvelun ulkopuolinen linkki")
(68/2016 M).

Vaatimukset verkkotunnusvälittäjille koskevat:

- asiakkaille tarjottavan palvelun sisältöä ja laatua
- sallittuja teknisiä rajapintoja
- tietoturvasta huolehtimista
- ilmoitusvelvollisuutta tietoturvahäiriöistä.

Kaikkien verkkotunnusvälittäjäksi aikovien tulee tutustua huolellisesti
kaikkiin verkkotunnusvälittäjän velvollisuuksiin, jotka löytyvät
verkkotunnusvälittäjän
[oppaasta.](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusvalittajan-opas.pdf "Palvelun ulkopuolinen linkki")

## Palvelua koskevat velvoitteet

Välittäjän on neuvottava (SVPL 170.1,1 §) asiakkaitaan verkkotunnusten
lainmukaisuudesta. Fi-verkkotunnus ei saa loukata toiselle rekisteröityä nimeä
tai tavaramerkkiä.

- Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja
  merkit niitä koskevista rekistereistä (Määräys 7§).
- Verkkotunnus on aina merkittävä sen todellisen käyttäjän nimiin (SVPL 167.1 §).
- Välittäjän on merkittävä teknisen rajapinnan kautta Liikenne- ja
  viestintäviraston verkkotunnusrekisteriin käyttäjää koskevat oikeat,
  ajantasaiset ja yksilöivät tiedot sekä kuulemisiin että tiedoksiantoihin
  käytettävä sähköpostiosoite (ns. prosessiosoite).
- Verkkotunnuksen käyttäjille on tiedotettava riittävän ajoissa tunnuksen
  voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi
  uusia (SVPL 170.1,4 §).

## Käyttäjän pyyntöjä koskevat velvollisuudet

- verkkotunnuksen voimassaolon uusiminen (SVPL 167.3 §)
- verkkotunnuksen siirto toiselle käyttäjälle (SVPL 168.1 §)
- välittäjän vaihtaminen (SVPL 168.3 §)
- verkkotunnuksen irtisanominen (SVPL 170.1,5 §).

Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee
oikealta taholta. Verkkotunnuksen siirto tai välittäjän vaihto on tehtävä viiden
arkipäivän kuluessa (Määräys 10-11 §).

Välittäjän on tiedotettava asiakkailleen toimintansa lopettamisesta ja Liikenne-
ja viestintäviraston kieltopäätöksestä (SVPL 165.2 § ja Määräys 6§).

## Teknisiä rajapintoja koskevat vaatimukset

- Verkkotunnusvälittäjän on kyettävä merkitsemään tietoja
  verkkotunnusrekisteriin Liikenne- ja viestintäviraston määrittelemällä
  teknisellä järjestelyllä (SVPL 170.1,3 § ja 167.4 §).
- Teknisenä rajapintana on käytettävä selainkäyttöliittymää tai Liikenne- ja
  viestintäviraston määrittelemää EPP-rajapintaa (Extensible Provisioning
  Protocol) (Määräys 9§).
- EPP-rajapintaa käytettäessä on välittäjän asiakasohjelmiston oltava
  yhteensopiva Liikenne- ja viestintäviraston
  [EPP-rajapintakuvauksen](https://registry.domain.fi/s/docs/EPP_Rajapintakuvaus.pdf "Palvelun ulkopuolinen linkki")
  kanssa ja sen tulee läpäistä Liikenne- ja viestintäviraston vaatimat testit
  EPP-testiympäristössä (Määräys 9§).
- EPP-rajapintaa käyttävän verkkotunnusvälittäjän on täytettävä kulloinkin
  voimassaolevan
  [Katakrin](https://um.fi/documents/35732/0/Katakri+-+2020_1218.pdf/ab9c2d4a-5031-3670-6743-3f8921dce8c9?t=1608302599246 "Palvelun ulkopuolinen linkki")
  (Tietoturvallisuuden auditointityökalu) teknisen tietoturvallisuuden
  I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut arvioitavat
  kohdat tietoliikenne- ja tietojärjestelmäturvallisuuden osalta (Määräys 20§).

## Tietoturvavaatimukset

Verkkotunnusvälittäjän on huolehdittava välitystoimintansa tietoturvasta
(SVPL 170.1,6 §). Määräyksen (68/2016 M) luvussa 4 on annettu tarkempia
määräyksiä toiminnan tietoturvallisuudesta. Jokaisen verkkotunnusvälittäjän
velvollisuutena on määritellä yksityiskohtaiset ja riittävät ohjeet
tietoturvauhkien varalle.

**Välittäjän on dokumentoitava ja ylläpidettävä ajantasainen kuvaus siitä,
miten se huomioi toiminnassaan tietoturvan eri osa-alueet:**

- hallinnollinen tietoturva
- henkilöstöturvallisuus
- laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
- tietoaineisto- ja käyttöturvallisuus
- fyysinen turvallisuus.

**Lisäksi verkkotunnusvälittäjällä on oltava ajantasaiset dokumentoidut:**

- riskienhallinnan prosessit ja säännöllisesti toteutettujen riskikartoitusten
  tulokset
- välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja
  luokitteluun liittyvä tietoaineistojen käsittelymenettely
- välitystoiminnan tietoturvauhkien valvontamekanismit
- menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien
  tilanteiden varalle
- verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja
  laitetilamuutoksia ohjaavat prosessit.

Liikenne- ja viestintävirastolle ei ilman erillistä pyyntöä tarvitse lähettää
dokumentteja.

## Toimintaa koskevat häiriöilmoitukset

Verkkotunnusvälittäjän on tehtävä ilmoitus Liikenne- ja viestintävirastolle
välitystoimintaan kohdistuvasta tai sitä uhkaavasta merkittävästä
tietoturvaloukkauksesta tai muusta tapahtumasta, joka estää tai häiritsee sitä
olennaisesti (SVPL 170.1,7 §). Häiriöilmoitus on tehtävä 24 tunnin kuluessa
siitä, kun merkittävä häiriötilanne on tullut verkkotunnusvälittäjän tietoon
(Määräys 21.2 §). Liikenne- ja viestintäviraston laatimassa
[Määräyksen 68 perustelut ja soveltaminen](https://www.traficom.fi/sites/default/files/media/file/Verkkotunnusm%C3%A4%C3%A4r%C3%A4yksen_perustelut_ja_soveltaminen68_2016.pdf "Palvelun ulkopuolinen linkki")
(MPS) -dokumentissa käsitellään kriteerejä, jotka on huomioitava arvioitaessa
häiriötilanteen merkittävyyttä.