Vaatimukset

Tietoturvamerkki kertoo ostajalle suoraan, että kyseisessä tuotteessa seuraavat osa-alueet on toteutettu tietoturvallisesti.

Salasanat

Tuotteen pääsynhallinnalla varmistetaan, että vain tuotteen omistaja voi hallita tuotteen toimintaa. Tuotteen, laitteen tai palvelun pääsynhallinta, kuten salasanat, varmenteet tai kolmannen osapuolen tunnistusmenetelmät, noudattavat parhaita käytänteitä.

Ohjelmistopäivitykset

Tuotteen ohjelmiston turvallisuus ja ajantasaisuus on varmistettu. Tuotteen ohjelmistot päivitetään tuotteen elinkaaren ajan.

Tietosuoja

Tuotteen omistajalle kerrotaan, miten ja mihin tarkoituksiin henkilötietoja kerätään ja kuka niitä käsittelee.

Tiedon turvallinen siirto ja säilytys

Tieto on suojattu siirtämisen ja säilytyksen aikana. Tuotteessa on asianmukaiset tiedonsiirto-, tunnistautumis- ja salausmenetelmät sekä avaintenhallintakäytännöt.

Verkkopalveluiden ja ekosysteemirajapintojen turvallisuus

Tuotteen verkkopalvelut tulee toteuttaa turvallisia käytäntöjä noudattaen. Tarpeettomat palvelut tulee poistaa käytöstä. Tuotteen verkkopalveluista ja ekosysteemin rajapinnoista on kuvaus.

Turvalliset oletusasetukset

Tuotteen tai palvelun oletusasetukset tulee määrittää siten, että ne on lähtökohtaisesti suunniteltu suojaamaan käyttäjää.

Tietoturvamerkki perustuu ETSI EN 303 645 standardiin

Tietoturvamerkin vaatimukset perustuvat standardiin ETSI EN 303 645. Se on verkkoon kytketyn kuluttajalaitteen tietoturvavaatimusten kokoelma. Tietoturvamerkin vaatimukset on valittu ja priorisoitu OWASP IoT TOP 10 -uhkalistaa käyttäen. Perimmäisenä tavoitteena on siis vastata yleisimpiin internetin kautta avautuviin ja kuluttajakäyttöön kohdistuviin tietoturvauhkiin.

Tietoturvamerkkituotteessa huomioidaan laitteen koko ekosysteemi. Muita sovellettavia standardeja ovat OWASP Mobile Application Security Verification Standard (MASVS), EUCS, ISO 27k ja Cloud Security Alliance (CSA).

Tietoturvamerkin saamisen edellytykset

Hakemusta varten yritys täyttää vaatimustenmukaisuuslomakkeen, joka sisältää tiedot tuotteen tai palvelun ominaisuuksista. Kyberturvallisuuskeskus arvioi lomakkeen tiedot. Riippumaton kolmas osapuoli tekee Tietoturvamerkkiä hakeneelle tuotteelle tietoturvatarkastuksen, jonka tuloksia vertaillaan Tietoturvamerkin vaatimuksien kanssa. Kun toimitetut tiedot ja ominaisuudet katsotaan riittäviksi, Kyberturvallisuuskeskus myöntää Tietoturvamerkin.

Päivitetty