EtusivuTietoturva
Tietoturva ja tietosuoja

Turvallinen lähtökohtaisesti

Lääkinnälliset laitteet käsittelevät arkaluontoista dataa arkaluontoisissa ympäristöissä. Tietoturvamme heijastaa tätä vastuuta.

Sitoumuksemme

Miten suojaamme dataa ja toimintaa

Kuusi konkreettista toimenpidettä, joita sovellamme MoniDose-alustalla ja -verkkosivustolla.

Salaus siirrossa ja levossa

Kaikki liikenne käyttää HTTPS:ää ja nykyaikaista TLS:ää. Alustamme käsittelemä arkaluontoinen data salataan levossa palveluntarjoajiemme toimesta.

Pääsynhallinta ja tunnistautuminen

Roolipohjainen pääsynhallinta neljän roolin alustalle (hoitaja, potilas, omainen, apteekki). Vähimpien oikeuksien periaate sisäisissä työkaluissa.

Syötteiden validointi ja pyyntöjen koventaminen

Jokainen API-pyyntö validoidaan ja puhdistetaan palvelimella. Turvaotsakkeet (CSP, HSTS, X-Content-Type-Options) ovat voimassa kaikille reiteille.

Riippuvuuksien jatkuva seuranta

Kolmannen osapuolen paketteja seurataan ja korjataan säännöllisesti. Haavoittuvat riippuvuudet priorisoidaan päivitettäviksi.

Lokitus ja valvonta

Turvallisuuteen liittyvät tapahtumat kirjataan tutkintaa varten. Poikkeavat pyyntökuviot laukaisevat hälytyksiä kehitystiimille.

Turvallinen ohjelmistokehityksen elinkaari

IEC 62304 -standardin mukainen ohjelmiston elinkaari lääkinnälliselle laitteelle. Vertaisarviointi, automatisoitu testaus ja muutoksenhallinta jokaisessa julkaisussa.

Vaatimustenmukaisuus

Standardit, joihin olemme linjautuneet

Olemme läpinäkyviä siitä, mitä olemme saavuttaneet ja mikä on vielä kesken. Emme koskaan väitä sertifikaatteja, joita emme ole ansainneet.

OWASP Top 10 (2021)

Auditoitu • 18 kontrollia varmennettu

Verkkosivustomme infrastruktuuri on auditoitu OWASP Top 10 (2021) -turvallisuuskehystä vasten. Viimeisin auditointi: maaliskuu 2026.

NIS2-direktiivi

Tietoinen • Laajuuden arviointi käynnissä

Ohjelmistoa sisältävät lääkinnälliset laitteet (mukaan lukien MoniDose) kuuluvat NIS2:n liitteen II "Lääkinnälliset laitteet" piiriin. Arvioimme velvoitteita.

ISO 27001

Linjattu • Ei sertifioitu

Turvallisuuskontrollimme on linjattu ISO 27001 -periaatteisiin. Emme ole vielä hakeneet virallista sertifikaattia.

GDPR

Vaatimustenmukainen

Tietojenkäsittely noudattaa EU:n yleistä tietosuoja-asetusta. Lisätietoja tietosuojakäytännöstämme.

IEC 62304

Kehitteillä

MoniDose-laitteen ohjelmiston elinkaari noudattaa IEC 62304 -standardia lääkinnällisten laitteiden ohjelmistoille.

EU MDR 2017/745

Kehitteillä • I luokka

MoniDosea kehitetään I luokan ohjelmistoa sisältävänä lääkinnällisenä laitteena EU MDR 2017/745 -asetuksen mukaisesti.

Läpinäkyvyys

Alikäsittelijät

Kolmannen osapuolen palveluntarjoajat, joita käytämme MoniDosen toimittamisessa.

Vercel
Verkkosivuston hostaus ja CDN
EU/USTietosuoja
SendGrid / Resend
Transaktiosähköpostit
EU/USTietosuoja

Ilmoitamme asiakkaille olennaisista alikäsittelijämuutoksista. Allekirjoitetun tietojenkäsittelysopimuksen (DPA) saa ottamalla yhteyttä.

Tietoturvaongelman ilmoittaminen

Arvostamme tietoturvatutkijoiden vastuullista ilmoittamista. Jos uskot löytäneesi haavoittuvuuden, ota yhteyttä alla olevien kanavien kautta. Sitoudumme vahvistamaan ilmoitukset kolmen työpäivän kuluessa.

info@monidose.fi
security.txt

Tarvitsetko tietojenkäsittelysopimuksemme?

MoniDosea arvioivat hyvinvointialueet, sairaalat ja apteekit voivat pyytää allekirjoitetun DPA:n ja tietoturvakyselyn vastaukset.

Pyydä DPA