Ohjelmistohankinnassa tietoturva on liiketoiminnan jatkuvuuden perusedellytys. Kyberturvallisuuskeskus nosti esiin kymmenen tärkeää kysymystä ohjelmistojen ostajille 27.5.2025 pitämässään webinaarissa. Kysymykset löydät myös Kyberturvallisuuskeskuksen sivulta >>
Me Lemonsoftilla haluamme vastata näihin kysymyksiin avoimesti ja läpinäkyvästi. Tässä omat vastauksemme sekä vinkkejä siitä, mitä sinun kannattaa hankinnan yhteydessä kysyä miltä tahansa ohjelmistotoimittajalta.
Miksi tietoturvaan liittyvät kysymykset ovat tärkeitä?
Toiminnanohjausjärjestelmä sisältää yrityksen kaikki keskeiset tiedot – taloushallinnon, asiakas- ja tuotetiedot, henkilöstötiedot ja liiketoiminnan prosessit. Jos järjestelmän tietoturva pettää, seuraukset voivat olla katastrofaaliset. Tietoturva on siis liiketoiminnan jatkuvuuden perusedellytys.
Tutustu Lemonsoftin toiminnanohjausjärjestelmään >>
Toimittajan tietoturvan perusteet
1. Millainen on toimittajan oma tietoturvan hallintamalli?
Lemonsoftilla on ISO/IEC 27001:2022 -standardin mukainen tietoturvallisuuden hallintajärjestelmä, jonka on sertifioinut KPMG. Hallintajärjestelmä kattaa ohjelmistokehityksen, asiakasdatan käsittelyn, ylläpidon ja palveluiden hallinnan. Tietoturvaa kehitetään jatkuvasti osana toimintakulttuuria ja sen tilaa seurataan tietoturvan vuosikellon mukaisesti.
Tutustu tarkemmin tietoturvaamme ja lataa julkinen tietoturvaoppaamme >>
Vinkki ostajalle: Kysy aina konkreettisia todisteita tietoturvan hallinnasta. Virallinen sertifikaatti (kuten ISO 27001) tarkoittaa, että ulkopuolinen auditoija on tarkistanut toimittajan prosessit. Pelkkä väite hyvästä tietoturvasta ei riitä.
Turvallinen ohjelmistokehitys
2. Millaiset turvallisen ohjelmistokehityksen käytännöt toimittajalla on?
Lemonsoftin kehitysprosessit perustuvat turvallisen kehittämisen periaatteisiin. Käytämme uhkamallinnusta, koodikatselmointia, tietoturvatestausta (SAST/DAST) ja erillisiä kehitys-, testaus- ja tuotantoympäristöjä. Lisäksi kehittäjämme saavat säännöllisesti tietoturvakoulutuksia ja suorittavat tietoturvakokeen vuosittain.
Vinkki ostajalle: Tiedustele, onko toimittajalla erilliset ympäristöt kehitykselle, testaukselle ja tuotannolle. Jos kaikki tapahtuu samassa ympäristössä, asiakkaiden tuotantodata voi joutua vaaraan.
3. Miten ohjelmiston tietoturvapäivityksiä ja elinkaarta hallitaan?
Lemonsoftin ohjelmiston elinkaari kattaa jatkuvan päivitys- ja muutoshallinnan. Tietoturvapäivitykset integroidaan jatkuvan julkaisun prosessiin, ja kriittiset haavoittuvuudet korjataan priorisoidusti. Asiakkaita tiedotetaan tarvittaessa status-sivuston kautta.
Vinkki ostajalle: Kysy, kuinka nopeasti toimittaja korjaa kriittiset tietoturvahaavoittuvuudet ja miten sinua asiakkaana tiedotetaan päivityksistä. Hyvä toimittaja hoitaa kriittiset korjaukset päivissä, ei viikoissa.
4. Miten ohjelmiston turvallisuutta ja laatua testataan koko sen elinkaaren ajan?
Tietoturvatestaukset jatkuvat myös Lemonsoftin käyttöönoton jälkeen. Käytämme hyödyksi mm. koodikatselmointia, sisäistä bug bounty -ohjelmaa sekä uhkamallinnusta. Lisäksi kehitämme ja parannamme testausautomaatiotamme.
Vinkki ostajalle: Tiedustele, onko toimittajalla jatkuva testausohjelma. Bug bounty -ohjelmat ovat hyvä merkki siitä, että turvallisuus otetaan vakavasti.
Toimitusketju ja haavoittuvuudet
5. Miten kolmansien osapuolten komponenttien ja alihankinnan turvallisuus varmistetaan?
Toimitusketjun hallinta on olennainen osa Lemonsoftin tietoturvallisuuden hallintajärjestelmää. Kolmannen osapuolen komponentit hyväksytetään ennen käyttöönottoa.
Vinkki ostajalle: Nykyään ohjelmistot koostuvat pitkälti kolmannen osapuolen komponenteista. Kysy, miten toimittaja varmistaa näiden komponenttien turvallisuuden ja miten nopeasti he reagoivat ulkopuolisten komponenttien haavoittuvuuksiin.
6. Miten haavoittuvuuksia hallitaan?
Lemonsoftin haavoittuvuushallinta kattaa tunnistamisen, arvioinnin, korjaamisen ja dokumentoinnin. Se perustuu CVSS 3.1 -luokitukseen ja integroituu osaksi ohjelmistokehitystä ja tarvittaessa CSIRT-toimintaa. Sisäinen Bug Bounty -ohjelma toimii haavoittuvuushallinnan jatkuvana testausmekanismina.
Vinkki ostajalle: Tiedustele, käyttääkö toimittaja standardoitua haavoittuvuusluokitusta (kuten CVSS) ja onko heillä selkeä prosessi haavoittuvuuksien käsittelyyn. Tämä kertoo ammattimaisen lähestymisen tietoturvaan.
Käyttöoikeudet ja seuranta
7. Miten pääsy- ja käyttöoikeuksien hallinta on toteutettu?
Pääsynhallinta perustuu Lemonsoftissa roolipohjaiseen malliin ja Microsoft Entra ID -teknologiaan. MFA on käytössä, ja käyttöoikeudet tarkistetaan säännöllisesti.
Vinkki ostajalle: Varmista, että toimittaja tukee monivaiheista tunnistautumista (MFA) ja että käyttöoikeudet perustuvat rooleihin. Näin jokainen käyttäjä näkee vain ne tiedot, joita työ edellyttää.
8. Miten ohjelmiston lokitus ja monitorointi on toteutettu?
Lokitiedot kerätään ja suojataan keskitetysti. Me Lemonsoftilla kehitämme parhaillaan lokienhallintaamme lokipolitiikkamme mukaisesti. Lokit sisältävät vain tarpeellisia tietoja ja niitä säilytetään määritellyn ajan. Lokit ovat olennainen osa poikkeamienhallintaa ja kybersuojan havainnointikykyä.
Vinkki ostajalle: Kysy, mitä toimintoja järjestelmässä lokitetaan ja kuinka kauan lokitietoja säilytetään. Hyvä lokitus auttaa sekä ongelmien selvittämisessä että tietoturvatapahtumien tutkinnassa.
Tietosuoja ja säännösten noudattaminen
9. Miten ohjelmisto suojaa dataa?
Tiedot salataan levossa ja siirrossa ajantasaisilla menetelmillä. Lemonsoft käyttää Microsoftin ratkaisuja kuten Azure Key Vault, BitLocker ja Sensitivity Labels tietojen suojaamiseen. GDPR:n mukainen tietosuoja on sisäänrakennettu osa toimintaamme. Suoritamme vuosittain tietosuojan osoitusvelvollisuuden sisäisen katselmoinnin.
Vinkki ostajalle: Varmista, että tiedot salataan sekä tallennuksen että siirron aikana. Kysy myös, miten toimittaja varmistaa GDPR-vaatimusten täyttymisen käytännössä.
10. Täyttääkö ohjelmisto sääntelyvaatimukset?
Kyllä. Lemonsoftin hallintajärjestelmä on rakennettu ISO 27001 -standardin mukaisesti ja tukee NIS2- ja GDPR-vaatimuksia. Meillä on osoitusvelvollisuuden mukainen tietosuojakäytäntö, ja sisäiset auditoinnit varmistavat säännösten täyttymisen myös jatkossa.
Vinkki ostajalle: Tiedustele erityisesti NIS2-direktiivin vaikutuksia, jos yrityksesi kuuluu sen piiriin. Säännösten noudattaminen ei ole kertaluonteista, vaan vaatii jatkuvaa työtä.
Yhteenveto
Tietoturva on meille Lemonsoftilla strateginen kyvykkyys, ei pelkkä pakollinen prosessi. Haluamme, että asiakkaamme voivat keskittyä liiketoiminnan kasvattamiseen, kun me huolehdimme järjestelmien turvallisuudesta – alusta loppuun.
Näitä asioita kannattaa kysyä jokaiselta ohjelmistotoimittajalta:
- Onko ohjelmistotoimittajalla virallinen tietoturvasertifikaatti (esim. ISO 27001)?
- Miten ohjelmiston turvallisuutta testataan jatkuvasti?
- Kuinka nopeasti kriittiset haavoittuvuudet korjataan?
- Tukeeko ohjelmisto monivaiheista tunnistautumista (MFA)?
- Miten dataa suojataan sekä tallennuksen että siirron aikana?
- Täyttääkö ohjelmistotoimittaja toimialasi sääntelyvaatimukset?
- Miten kolmannen osapuolen komponentteja hallinnoidaan?
- Millainen on ohjelmistotoimittajan lokitus ja seuranta?
Haluatko tietää tarkemmin, miten Lemonsoft vastaa näihin tietoturvahaasteisiin?
Tutustu tarkemmin tietoturvaamme ja lataa julkinen tietoturvaoppaamme >>
Tutustu Lemonsoftin toiminnanohjausjärjestelmään >>
Ota yhteyttä asiantuntijoihimme >>
