Suojattua palkitsemista

Evenpay käsittelee yhtä organisaatioiden sensitiivisimmistä tietokokonaisuuksista — palkkatietoja, suorituskykytietoja ja työntekijöiden henkilötietoja. Tämä vastuu ohjaa jokaista arkkitehtuuripäätöstämme.

Olemme ISO 27001 -sertifioitu, mikä tarkoittaa, että tietoturvan hallintajärjestelmämme on riippumattomasti auditoitu kansainvälistä standardia vasten. Sertifiointi kattaa koko toimitusketjumme: kehityksen, infrastruktuurin, operoinnin sekä tuen.

Kaikki asiakasdata käsitellään ja säilytetään yksinomaan Euroopan unionin sisällä. Infrastruktuurimme toimii Google Cloudissa Suomessa, salausavaimia hallitaan samassa pohjoismaisessa alueessa, eikä henkilötietoja siirretä EU:n ulkopuolelle. Tämä poistaa rajat ylittävien tietosiirtojen arviointien tarpeen kokonaan.

Arkaluontoiset työntekijäkentät — nimet, sähköpostit, palkkatiedot ja suoritusarvioinnit — salataan AES-256-GCM-menetelmällä Google Cloud KMS:n envelope encryption -ratkaisulla. Jokaisella organisaatiolla on oma erillinen salausavain, joten yhden asiakkaan dataa ei voi koskaan purkaa toisen avaimella.

Pääsy järjestelmään hallitaan Single Sign-On -tunnistautumisella, pakotettavalla monivaiheisella tunnistautumisella sekä kuusitasoisella roolipohjaisella käyttöoikeusmallilla.

Jokainen merkityksellinen toimenpide tallennetaan kattavaan audit trail -lokiin — kuka muutti mitä, milloin, sekä arvot ennen ja jälkeen muutoksen. Audit-lokit ovat haettavissa, vietävissä ulos ja käyttöoikeuksien hallinnan piirissä.

Henkilötietokentät on luokiteltu skeematasolla, jolloin järjestelmä tunnistaa aina, mikä data on henkilötietoa (PII).

Tietoturva ei ole ominaisuus, joka toimitetaan kerran. Se on jatkuva käytäntö — auditoitu, testattu ja parannettu jokaisen julkaisun yhteydessä.