Tuote: Emill

GEN-1-3.1 Onko palvelussa ikäraja käyttäjille?

GEN-1-5.1 Valmistusmaa/palveluntarjoajan kotimaa

GEN-1-6.1 ISO-sertifioinnit

GEN-1-7.1 Onko palvelusta asennettavissa mobiilisovellus?

GEN-1-8.1 Lisenssityyppi

GEN-1-9.1 Onko virtualisointi mahdollista?

GEN-2-1.1 Palvelukohtainen tietosuojaseloste (jos on)

GEN-2-2.1 Palvelun tietoturvakuvaus (jos on)

GEN-2-3.1 Tietosuojavastaavan yhteystiedot

GEN-2-4.1 Onko palvelussa mainoksia tai linkkejä kaupalliseen palveluihin?

GEN-2-5.1 Käytetäänkö palvelussa evästeitä, joihin kysytään suostumus käyttäjiltä?

UMA-1-1.1 Käytetäänkö palvelua henkilökohtaisilla käyttäjätunnuksilla?

UMA-1-2.1 Onko palvelun käyttäjähallinnassa vähintään kaksi käyttäjätasoa: ylläpitäjä ja peruskäyttäjä?

UMA-1-3.1 Voidaanko käyttöoikeudet rajata työntekijöiden työtehtävien mukaisesti eri käyttäjäryhmiin kohdistuvat oikeudet huomioiden?

UMA-1-4.1 Mitä vaihtoehtoja palvelussa on integroida käyttäjähallinta organisaation keskitettyyn käyttäjärekisteriin ja kertakirjautumiseen (SSO)?

UMA-1-5.1 Onko kirjautuminen muiden palveluntarjoajien tunnuksilla mahdollista?

UMA-1-6.1 Voidaanko kirjautumisessa käyttää monivaiheista todentamista (MFA)?

UMA-1-7.1 Onko käyttäjien vahva tunnistautuminen mahdollista?

UMA-2-1.1 Tallentuuko kaikkien kirjautuneiden käyttäjien toiminnasta kattavat lokitiedot?

UMA-2-2.1 Tallentuuko lokiin kaikki henkilötietojen katselut?

TDP-1-1.1 Millaisia integraatioita (rajapintoja) järjestelmään liittyy ja miten ne on suojattu ulkopuolisilta?

TDP-2-1.1 Tapahtuuko kaikki palvelussa tehtävä henkilötietojen käsittely niin, että verkkoyhteys on salattu ja käyttäjä tai tiedonsiirron osapuolet varmistettu?

TDP-2-2.1 Onko palvelua mahdollista käyttää niin, että kaikki henkilötiedot tallentuvat ainoastaan salatussa muodossa?

TDP-3-1.1 Onko palvelun tietosisältö varmuuskopioitu vähintään kerran päivässä ja onko varmuuskopioinnin palauttaminen mahdollista tehdä tarvittaessa nopeasti?

TDP-4-2.1 Voidaanko monivaiheinen todennus (MFA) pakottaa päälle kaikille käyttäjille kirjautumisessa?

TDP-5-1.1 Asennetaanko palveluun liittyvien ohjelmistokomponenttien tietoturvapäivitykset säännöllisesti ilman viivytystä?

TDP-5-2.1 Onko tietoturvaa auditoitu ulkopuolisen tahon toimesta? Jos on, kenen toimesta?

TDP-5-3.1 Tehdäänkö palveluun säännöllisiä tietoturva- ja haavoittuvuustestauksia?

DPR-1-2.1 Mihin rooliin palveluntarjoaja asemoi itsensä tietosuojan osalta?

DPR-1-4.1 Onko palveluun mahdollista asettaa käyttäjille näkyville asiakasorganisaation nimi sekä linkki sen oman tietosuojaselosteeseen?

DPR-1-5.1 Onko palveluntarjoajalla pääsy asiakasorganisaation tallentamiin henkilötietoihin?

DPR-1-6.1 Syntyykö palvelun käytössä rekisteriä, jossa palveluntarjoaja on asiakasorganisaation kanssa yhteisrekisterinpitäjä?

DPR-1-7.1 Syntyykö palveluntarjoajalle henkilötietorekisteriä käyttäjistä, jossa se on rekisterinpitäjä?

DPR-1-8.1 Onko palveluntarjoajalla ajantasainen lista henkilötietojen alikäsittelijöistä, josta ilmenee kunkin alikäsittelijän nimi, sijainti, käsittelytarkoitus ja mahdollinen siirtoperuste EU/ETA-alueen ulkopuolelle?

DPR-1-9.1 Linkki alikäsittelijöiden listaan (jos on)

DPR-1-10.1 Käsitteleekö palveluntarjoaja tai jokin sen alikäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

DPR-1-11.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

DPR-1-12.1 Voiko henkilötietoja siirtyä kolmansiin ei-turvallisiin maihin kuten Yhdysvaltoihin?

DPR-2-1.1 Mitä henkilötietoja palveluntarjoaja käsittelee?

DPR-2-2.1 Onko palvelu tarkoitettu myös erityisten henkilötietojen (esim. terveystiedot) käsittelyyn?

DPR-2-3.1 Ovatko käyttäjiin liittyvät pakolliset ja vapaaehtoiset kentät määriteltävissä ylläpitäjän toimesta?

DPR-2-4.1 Tarjoaako palveluntarjoaja käyttäjille kattavat tiedot henkilötietojen käsittelystä palvelussa?

DPR-2-5.1 Käsitteleekö palveluntarjoaja henkilötietoja tietosuojalainsäädännön mukaisesti?

DPR-2-6.1 Mitä menetelmiä on käytössä, joilla varmistetaan, ettei tietoja käytetä muihin tarkoituksiin?

DPR-2-7.1 Onko palvelussa toiminto henkilötietojen pseudonymisointiin?

DPR-2-10.1 Tehdäänkö palvelun toiminnoissa profilointia, pisteytystä tai henkilöiden arviointia?

DPR-2-11.1 Käsitelläänkö käyttäjien sijaintitietoja?

DPR-2-12.1 Voiko palvelussa määritellä henkilötietojen säilytysajat tai sen kriteerit?

DPR-2-13.1 Voiko käyttäjien henkilötiedot anonymisoida poistamisen sijasta?

DPR-3-1.1 Onko palveluntarjoaja tunnistanut tietosuojamäärittelyissään kaikki palvelun käyttöön selvästi liittyvät henkilötiedot?

DPR-4-1.1 Vakuuttaako palveluntarjoaja, että rekisteröityjen oikeudet toteutuvat EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti?

DPR-4-4.1 Miten ja milloin henkilötiedot poistetaan?

DPA-1-1.1 Onko palveluntarjoajan kanssa mahdollista tehdä sopimus henkilötietojen käsittelystä (DPA)?

DPA-1-2.1 Linkki DPA-sopimuksen vakiomalliin (jos on)

DPA-1-3.1 Onko DPA:ssa määritelty käsiteltävät henkilötiedot?

DPA-1-4.1 Onko DPA:ssa määritelty henkilötietojen käsittelytarkoitukset?

DPA-1-5.1 Voidaanko DPA:n yhteydessä antaa ohjeita, jotka palveluntarjoajan tulee huomioida henkilötietojen käsittelyssä?

DPA-1-6.1 Onko DPA:ssa sovittu, että palveluntarjoaja huolehtii salassapitovelvollisuudesta työntekijöilleen?

DPA-1-7.1 Onko DPA:ssa sovittu, että palveluntarjoaja sallii rekisterinpitäjän tekemän valvonnan ja auditoinnin?

DPA-1-8.1 Onko palveluntarjoajalla nimetty yhteyshenkilö tietosuoja-asioihin liittyen?

DPA-1-9.1 Onko DPA:ssa määritelty tietojen poisto?

DPA-2-1.1 Jos henkilötietojen käsittelyssä käytetään alikäsittelijöitä, onko EU:n yleisen tietosuoja-asetuksen (GDPR) noudattaminen ja riittävien suojatoimien toteuttaminen varmistettu sopimuksessa?

DPA-2-2.1 DPA-sopimuksen mukaiset alikäsittelijät tai linkki alikäsittelijöiden listaan (jos on)

DPA-3-1.1. Palveluntarjoaja sitoutuu ilmoittamaan viipymättä kaikista tietoturvaloukkauksista

DPA-4-1.1 Käsitteleekö käsittelijä tai jokin sen alikäsittelijöistä henkilötietoja ETA-alueen ulkopuolella?

DPA-4-2.1 Jos henkilötietoja käsitellään ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

DPA-4-3.1 Jos henkilötietojen siirtoperusteena käytetään EU-komission vakiosopimuslausekkeita (SCC), mistä vakiolausekkeista on kyse?

DPA-4-4.1 Voidaanko henkilötietoja luovuttaa kolmannen maan viranomaisille?

DPA-4-5.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, onko palveluntarjoajalla dokumentaatiota, joka auttaa tietojensiirron vaikutusten arvioinnissa (transfer impact assessment, TIA)?

DPA-4-6.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, mitä täydentäviä suojatoimia käytetään?