carVertical

Tietoturvapolitiikka

1. Tietoturvapolitiikka (jäljempänä ”politiikka”) on osakeyhtiön "cV Group" (jäljempänä ”cV Group” tai ”yhtiö”) tietoturvahallinnan järjestelmän (jäljempänä ”TTHJ”) pääasiakirja. Tietoturvahallinnan järjestelmän asiakirjoihin ja/tai niiden osiin voivat tutustua cV Groupin tietoihin liittyvät osapuolet.

2. Tämän politiikan tarkoituksena on määritellä cV Groupin johdon kanta tietoturvakysymyksiin ja suojata kaikki cV Groupin vastaanottamat, lähettämät, luomat, käsittelemät ja käyttämät suulliset, kirjalliset ja sähköiset tiedot kaikilta mahdollisilta uhilta: ulkoisilta, sisäisiltä, tahallisilta tai tahattomilta, jotka voivat vaikuttaa cV Groupin toimintaan ja maineeseen.

3. Tietoturvahallinnan järjestelmän tehtävien saavuttamiseksi on asetettu seuraavat tietoturvatavoitteet:

  • varmistaa ja hallinnoida tietoturvaa cV Groupin strategisten tavoitteiden mukaisesti yhtiön palvelujen tarjoamiseksi;
  • varmistaa ja hallinnoida ulkoisten ja sisäisten tietoturvavaatimusten noudattamista suorittamalla säännöllisiä vaatimustenmukaisuuden arviointeja ja poistamalla havaitut vaatimustenvastaisuudet;
  • varmistaa, että tietoturvaloukkaukset korjataan ja niiden syyt poistetaan, sekä toteuttaa tietoturvaloukkauksien hallintaa;
  • varmistaa tietoturva- ja hallintatoimenpiteiden asianmukainen valinta ja toteutus suorittamalla vuosittainen riskinarviointi ja toteuttamalla tarvittavat tietoturvatoimenpiteet;
  • varmistaa sovellettujen tietoturvatoimenpiteiden tehokkuuden;
  • varmistaa, että asianmukainen liiketoiminnan jatkuvuuden hallintasuunnitelma on käytössä ja että sitä tarkistetaan ja testataan säännöllisesti.

4. Tiedot ovat cV Groupin strategisesti tärkeä omaisuus, ja niiden menetys, laiton muuttaminen, luottamuksellisuuden, eheyden tai saatavuuden rikkominen, paljastaminen tai käsittelyn lopettaminen voivat häiritä cV Groupin toimintaa. Sen takia tämä tietoturvan hallintapolitiikka sisältää perusohjeet, joita kaikkien cV Groupin työntekijöiden, alihankkijoiden ja muiden cV Groupin toimintaan osallistuvien osapuolten on noudatettava.

5. Tietoturvan hallintapolitiikka koskee kaikkia CV-konsernin liiketoimintaprosesseja, jotka liittyvät tarjottaviin palveluihin, ja siihen sisältyvät suulliset ja kirjalliset tiedot, tietojärjestelmät, tietokoneverkot, fyysinen ympäristö, virtuaaliympäristö, työntekijät, osapuolet, kumppanit, alihankkijat tai muut cV Groupin palveluksessa olevat henkilöt, mukaan lukien kolmansien osapuolten palveluksessa olevat työntekijät ja henkilöt, jotka käsittelevät cV Groupin tietoja laillisesti.

6. Tietoturva käsittää kolme tärkeintä osa-aluetta:

  • tietojen luottamuksellisuus – tietojen suojaaminen luvattomalta paljastamiselta;
  • tietojen eheys – tietojen suojaaminen luvattomilta tai vahingossa tapahtuvilta muutoksilta;
  • tietojen saatavuus – tietojen saatavuuden varmistaminen, kun niitä tarvitaan cV Groupin liiketoiminnan asianmukaiseen hoitamiseen.

7. Sääntöjen ja vaatimusten tavoitteena on:

  • suojata tieto-omaisuutta, mukaan lukien eri lähteistä ja kolmansilta osapuolilta saadut asiakastiedot, jotka kattavat luottamuksellisuuden, eheyden, saatavuuden sekä aineelliset (esim. tietokoneet ja viestintälaitteet, tilat jne.) ja aineettomat (esim. maine, imago) näkökohdat;
  • määritellä tietoturvallisuuteen liittyvät vastuut;
  • viitata tietoturvallisuuden hallintajärjestelmän muodostaviin tietoturva-asiakirjoihin.

8. Tietoturvahallinnan järjestelmän asiakirjat on tarkistettava vähintään kerran vuodessa.

9. cV Groupin tietoturvavaatimusten täytäntöönpano varmistetaan ja hallitaan johdonmukaisella tietoturvahallinnan järjestelmän suunnittelulla, toteutuksella, arvioinnilla ja parantamisella ISO/IEC 27001 -standardin (ja sen uusimpien versioiden) vaatimusten mukaisesti.

10. cV Groupin tietoturvahallinnan järjestelmän sertifiointi kattaa kaikki tietotekniikkatuotteet ja niihin liittyvät hankkeet, jotka toteutetaan tämän yritysryhmän sisällä.

11. cV Groupin tietoturvan hallinta perustuu riskienhallintaan. Tietoturvariskien arviointi auttaa varmistamaan, että cV Groupin toiminnassa sovellettavilla tietoturvan hallintatoimenpiteillä saavutetaan cV Groupin toiminnan ja tietoturvan päätavoitteet.

12. cV Groupin tietoturvariskit arvioidaan jokaisena kalenterivuonna hyväksytyn riskienarviointipolitiikan mukaisesti. Tietoturvariskien arviointia suoritettaessa yhtiön tilanne on tarkasteltava. 

13. Tämä politiikka koskee myös carVertical OÜ:ta, joka soveltaa tässä politiikassa kuvattuja kolmansiin osapuoliin kohdistuvia vaatimuksia.