Vaatimukset

Tietoturvamerkin saamisen edellytykset

Kun yritys hakee Tietoturvamerkkiä tuotteelleen tai palvelulleen, tulee sen toimittaa tiedot seuraavista tuotteen tai palvelun ominaisuuksista käyttäen vaatimustenmukaisuuslomaketta. Kyberturvallisuuskeskus arvioi lomakkeen tiedot ja testaa tuotteen tai palvelun tietoturvaominaisuudet. Kun toimitetut tiedot ja ominaisuudet katsotaan riittäviksi, Kyberturvallisuuskeskus myöntää Tietoturvamerkin.

Tuotekuvaus

Tuotekuvaukseen sisältyy kuvaus tuotteen tai palvelun ja siihen liittyvän ekosysteemin keskeisistä tietoturvapiirteistä. Lisäksi annetaan tietoa turvallisesta käytöstä ja tarjottavan tietoturvatuen kestosta.

Pääsynhallinta

Kuvaus menetelmistä, joilla hallitaan pääsyä laitteeseen tai palveluun, esimerkiksi salasanat, varmenteet tai kolmannen osapuolen tunnistusmenetelmät.

Ohjelmistoturvallisuus

Kuvaus käytettävistä ohjelmistoista, ja siitä miten niiden turvallisuus ja ajantasaisuus on varmistettu.

Tietosuoja

Kuvaus siitä, miten ja mihin tarkoituksiin henkilötietoja kerätään ja kuka niitä käsittelee.

Tiedon turvallinen siirto ja säilytys

Kuvaus tiedon suojaustavoista siirtämisen ja säilytyksen aikana, esimerkiksi tiedonsiirto-, tunnistautumis- ja salausmenetelmät sekä avaintenhallintakäytännöt.

Verkkopalveluiden ja ekosysteemirajapintojen turvallisuus

Tuotteessa tai palvelussa tulee minimoida tarpeettomat verkkopalvelut, ja noudattaa niiden toteutuksessa vähimpien oikeuksien periaatteita. Ekosysteemin tarjoamat rajapinnat tulee kuvata. Kaikissa rajapinnoissa tulee tarkastaa niihin tarjotut syötteet.

Turvalliset oletusasetukset

Tuotteen tai palvelun oletusasetukset tulee määrittää siten, että ne on lähtökohtaisesti suunniteltu suojaamaan käyttäjää.