Yritysliiketoiminnan yksityisyys­käytäntö

Elements Endpoint Protection

Withsecure™ Elements Endpoint Protection

Toukokuu 2021

Tiivistelmä

Elements Endpoint Protection sisältää VPN:n, mobiililaitehallinnan, ohjelmistopäivitysten hallinnan sekä työasemien ja palvelinten tietoturvan, joita kaikkia hallitaan hallintaportaalista. Tämän palvelun ydinominaisuuksia ovat seuraavat:

  • palvelumme tiedonkeruu kohdistuu laitteeseesi ja palveluumme, ei sinuun
  • suurin osa kerätyistä tiedoista on työnantajasi IT-järjestelmänvalvojan saatavilla, jotta hän voi hallinnoida yrityksen laitteita ja sovelluksia
  • keräämme yksilöimätöntä tietoa laitteesi suojaamiseksi.

Tämä palvelu ei anna WithSecure™:lle tai yrityksesi IT-järjestelmänvalvojalle oikeuksia seurata liikkeitäsi, tarkastella kuviasi tai tunnistaa keskustelukumppaneitasi, emmekä voi myöskään seurata sivustoja, joita käytät palvelun kautta.

Täysimittainen lauseke

Tämä palvelukohtainen käytäntö keskittyy asioihin, joiden uskomme olevan tärkeimpiä sinulle. Tällaisia ovat erityisesti 1) palvelun keräämien henkilökohtaisten ja yksityisten tietojen tyyppi, 2) tietojen käyttötarkoitus, 3) meidän oikeutuksemme, 4) tyypilliset ilmoitukset ja 5) tietojen säilytysaika. Lisätietoja tällaisista aiheista sekä muista henkilötietojesi käsittelyyn liittyvistä asioista (rekisteröidyn oikeudet, yhteystiedot jne.) on myös saatavilla upotetuista linkeistä.

Käyttäjätiedot

Järjestelmätason käyttäjien tiedot hallintaportaalissa

Palvelu kerää järjestelmänvalvojakäyttäjistä seuraavia tietoja. Tiedot ovat saatavilla hallintaportaalista:

  • Käyttäjänimi
  • Käyttäjän sähköpostiosoite
  • Käyttäjän puhelinnumero (valinnainen)
  • Loki käyttäjän toiminnoista

Hallintaportaalin muiden käyttäjien tiedot

Riippuen ohjelmistoista, joiden tilaus sinulla on, palvelu voi kerätä seuraavia tietoja sinusta, laitteestasi ja palvelun käytöstä. Tiedot ovat saatavilla hallintaportaalissa:

  • Käyttäjän nimi, käyttäjän sähköpostiosoite, laitteen nimi, laitteen tunnistetiedot (esim. IMEI, WINS-nimi, IP-osoite) ja puhelinnumero, joilla käyttäjä tunnistetaan järjestelmässä.
  • Järjestelmän version numero, tilausavain, asennus- ja päivityspäivämäärä ja ‑kellonaika, estetyt haittaohjelmat (voivat sisältää tiedostonimen ja polun), estetyt sovellukset, estetyt USB-laitteet, laitteen käyttöjärjestelmä ja versio, ominaisuuksien tila.
  • Asennetut sovellukset osana palvelutarjontaa.
  • Yhdistetyt USB-laitteet osana laitehallintatoimintoa.
  • Erilaiset tiedot (esim. salauksen tila, käyttöoikeudet, salasanakäytännöt), jotka kuvaavat tietoturvan tilaa ja yrityksen laitteiden käyttöä ja parantavat hallittavuutta.
  • Mobiililaitteen malli ja sen mahdollinen jailbreak- tai root-tila, laitekohtaiset palvelutilastot, kuten virtuaalinen sijainti, VPN-tunnelissa olevan liikenteen koottu määrä, tarkistetun liikenteen määrä, haitalliset sivustot, estettyjen seurantayritysten määrä ja estettyjen sivustojen laskurit.
  • Muut periaatteessa samanlaiset tiedot.

Kerättävät tiedot vaihtelevat käytettyjen laitteiden ja palvelujen mukaan.

Tietoja tarvitaan palvelujen toimittamiseen, hallintaan (valtuutettujen käyttäjien tunnistaminen, käyttöoikeuksien hallinta ja push-ilmoitusten lähettäminen mukaan lukien), suorituskyvyn mittaamiseen ja palvelun kehittämiseen ja parantamiseen. Tietoja voidaan käyttää tuki- ja ongelmanratkaisupalvelujen toimittamiseen.

Nämä tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa samoista syistä. Tiedot ovat myös WithSecure™:n käytettävissä portaalin kautta. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecure™:n "jakelijakumppani") käytettävissä, jotta yrityksellesi voidaan tarjota tukea ja vastaavia IT-palveluja.

WithSecure™-järjestelmien käyttäjätiedot

Portaalista saatavilla olevien tietojen lisäksi WithSecure™ kerää myös seuraavia tietoja suoraan palvelun kautta. Näitä tietoja ei jaeta asiakasyritykselle tai jakelijakumppanille.

  • Laitteesi kieli, jotta palvelun kieli on sen mukainen, ja
  • Mobiililaitteissa akun varaustaso, sisäisen muistin ja SD-muistikortin koko sekä asennettujen sovellusten luettelo.
  • Password Protection ‑tuotteen salasanat tallennetaan salatussa muodossa. Pääsalasana on vain sinun tiedossasi. WithSecure™ ei tallenna sitä mihinkään.

Näitä tietoja käytetään palvelun toimittamiseen, vianmääritykseen, suorituskyvyn mittaamiseen, tilastotietojen keräämiseen ja palvelun kehittämiseen.

Joillakin lainkäyttöalueilla meitä edellytetään keräämään laitteiden julkiset ja yksityiset IP-osoitteet sekä VPN-tunnelin alkamis- ja päättymisaika. Jos saamme laillisesti kelvollisen pyynnön, näitä tietoja voidaan käyttää sen selvittämiseen, mistä IP-osoitteesta yhteys on muodostettu IP-kohdeosoitteeseen minäkin ajankohtana. Tämä ei paljasta palvelun kautta kulkevaa selausliikennettäsi WithSecure™:lle tai IT-järjestelmänvalvojalle, sillä IP-osoitetta ei yhdistetä sinuun. Emme myy emmekä paljasta VPN-tietojasi kolmansille osapuolille, ellei laki edellytä meitä toimimaan niin.

WithSecure™ ja jälleenmyyntikumppani voivat myös molemmat aloittaa lisädiagnostiikkatietojen keruun suojausta laitteesta, kun tukitapauksen ratkaiseminen on tarpeen. Saat ilmoituksen, ennen kuin diagnostiikkatiedot lähetetään WithSecure™:lle. Lisätietoja tietojen keräämisestä on WithSecure™:n tukityökalun yksityisyyskäytännössä.

Tietojen siirtäminen ja paljastaminen

Hallintaportaalissa olevat tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa, olipa hän sisäinen tai ulkoinen. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecure™:n "jakelijakumppani") käytettävissä, jotta yrityksellesi voidaan tarjota palvelujemme tukea ja vastaavia IT-palveluja.

WithSecure™ käyttää palvelujen maailmanlaajuiseen toimittamiseen apuna omia tytäryhtiöitään ja alihankkijoita.

 

Lue lisää

Siirrot ja muut ilmoitukset

Teemme paljon itse, mutta meillä on myös kumppaneita, jotka auttavat meitä palvelujemme toteutuksessa. Tämä tarkoittaa, että meidän on vaihdettava tietoja kumppaneidemme kanssa. Pidämme huolen siitä, että jaamme vain tarvittavia henkilötietoja.

Merkittävimmät myyntikumppaniemme ja yritysasiakkaidemme tiedonvaihdot on kuvattu ensisijaisesti palvelukohtaisessa yksityisyyskäytännössä. Alla olevissa tiedoissa on tarkennuksia näihin tietoihin ja myös luettelo muista ilmoituksista ja tiedonsiirroista, joita WithSecure™:n kaikessa — tai lähes kaikessa — henkilötietojen käsittelyssä ilmenee.

Myynti ja toimitus

Vaihdamme (ilmoitamme ja vastaanotamme) joitakin henkilötietojasi sellaisten jakelukumppaneidemme (kuten IT-yrityspalvelujen jälleenmyyjien, operaattoreiden ja Web-kauppojen) kanssa, jotka ovat markkinoineet, jaelleet, hallinnoineet ja tukeneet palvelujamme. Annamme näiden yritysten käyttää tällaisia henkilötietoja sovittujen toimien toteuttamiseksi. Tietojen jakamisen tarkoituksena on saumattoman asiakaskokemuksen takaaminen. Tällaisia toimia ovat esimerkiksi asiakashallinta, palvelutuki ja ongelmanratkaisu, suoramarkkinointi ja laskutus.

Jakelukumppaneillamme on todennäköisesti jo asiakassuhde sinuun tai yrityspalvelutapauksissa työnantajaasi. Tällaiset kumppanit ja yritysasiakkaat käsittelevät henkilötietojasi itsenäisesti omien sovellettavien yksityisyyskäytäntöjensä mukaan. Jakelukumppaneidemme ja yritysasiakkaidemme on tästä huolimatta noudatettava myös erillisiä sopimuksia ja lainsäädäntöä henkilötietoja käsiteltäessä. Kukin taho on oletusarvoisesti itse vastuussa omasta henkilötietojen käsittelystään omissa käyttötarkoituksissaan.

Alihankinta

Henkilökohtaisia tietoja saatetaan siirtää tai ilmoittaa WithSecure™-konsernin yrityksille ja palvelujen luontiin osallistuville alihankkijoille.

Jos asiakkaidemme henkilökohtaiset tiedot on siirrettävä tai ilmoitettava alihankkijoillemme, edellytämme heidän kanssaan tekemissämme sopimuksissa, että he käyttävät tällaisia tietoja ainoastaan palvelujen toimittamiseen (esimerkiksi tukitapauksen ratkaisemiseksi tai sen lähettämiseksi logistiikkakumppaneille tuotteen toimittamista varten tai markkinointiviestien lähettämiseksi). Edellytämme, että alihankkijamme käsittelevät tietojasi tässä kuvattujen lausuntojen mukaisesti.

Kansainväliset siirrot

WithSecure™ toimii maailmanlaajuisesti. Näin ollen osa tytäryhtiöistämme, alihankkijoistamme, jakelijoistamme ja kumppaneistamme sijaitsee Euroopan talousalueen ulkopuolella, mikä varmistaa palvelujemme maailmanlaajuisen saatavuuden. WithSecure™:n tytäryhtiöiden toimipaikat voi tarkistaa WithSecure™:n julkisilta verkkosivuilta

Kun siirrämme henkilökohtaisia tietoja Euroopan talousalueen ulkopuolelle, suojaamme henkilökohtaiset tiedot lain edellyttämällä tavalla. Toteutamme tämän määräämällä asianmukaiset tekniset ja sopimukselliset turvaohjeet asiaankuuluville alihankkijoille ja WithSecure™-konsernin yrityksille esimerkiksi Euroopan unionin hyväksymiä tiedonsiirtoa koskevia lauseita käyttämällä. Näiden lauseiden sisältö on saatavilla täältä.

Maailmanlaajuisia tai rajoja ylittäviä tiedonsiirtoja tehdään vain hyvästä syystä ja tietosuojariskin arvioinnin jälkeen.

Säilytämme arkaluonteisia asiakastietoja Suomessa tai Euroopan talousalueella ja pidämme niitä hallinnassamme.

Tietojen muu käyttö ja ilmoittaminen

Tämä yksityisyyskäytäntö ei kata kaikkia tilanteita, joissa henkilötietojen käyttö tai ilmoittaminen ilman lupaasi tai palvelun toteutuksesta erillään on oikeutettua tai sallittua tai joissa niiden ilmoittamista edellytetään meiltä sovellettavan lain mukaan.

Yksi esimerkki on tuomioistuimen tai viranomaisten antaman määräyksen noudattaminen asiaankuuluvalla lainkäyttöalueella tietojen tuottamiseksi.

Samaan tapaan voi ilmetä muita tilanteita, joissa meillä on perusteltavissa oleva oikeutettu etu ilmoittaa tietoja rajatusti kolmannelle osapuolelle. Tällaisia ovat esimerkiksi tilanteet, joissa meidän on suojattava itseämme vastuulta tai estettävä petollista toimintaa, joissa analysoimme sinun toimestasi tapahtuvaa tuotteidemme käyttöä, jotta tuotteemme varmasti toimivat odottamallasi tavalla ja jotta voimme reagoida epäsuotuisiin kokemuksiin, joissa jatkuva ongelma on ratkaistava tai pidettävä kurissa tai joissa meidän on vastattava vakuutuksenantajiemme tai valtion viranomaisten tietopyyntöihin. Tällaisissa tilanteissa toimimme sovellettavien lakien mukaisesti.

Meidän on ehkä myös siirrettävä henkilökohtaisia tietoja osana yritystapahtumaa, kuten myyntiä, yrityskauppaa, yhtiöittämistä tai muuta WithSecure™:n yrityssaneerausta, jossa tiedot toimitetaan uudelle hallinnoivalle taholle osana normaalia liiketoimintaa. WithSecure™-konserni ilmoittaa ja siirtää tietoja sisäisesti kulloisenkin toimintamallin edellyttämällä tavalla. Nämä ilmoitukset rajataan kuitenkin sisäisesti vain kyseiseen konserniin kuuluville yrityksille, yksiköille, tiimeille ja henkilöille, jotka tarvitsevat kyseisiä tietoja niiden käsittelyyn.

Harkitsemme kutakin ilmoitustarvetta huolellisesti ja otamme tällaiset ilmoituspyynnöt huomioon, kun päätämme missä ja miten säilytämme henkilötietojasi.

Lähteet

Keräämme suurimman osan edellä kuvatuista tiedoista suoraan sinulta tai laitteestasi, mutta voimme saada tietoja myös tytäryhtiöiltämme, jakelukumppaneiltamme (kuten operaattoreilta) ja yrityksiltä, joilta olet ostanut palveluja. Nämä toimijat voivat olla jälleenmyyjiämme tai ulkoisia verkkokauppakumppaneitamme. Lisäksi saamme joitakin henkilökohtaisia tietoja (ostoksiin liittyviä tilaustietoja) ja koostettuja analyysitietoja sovelluskaupoilta, joissa tuotteitamme myydään. Lähteinämme voivat toimia myös alihankkijamme, jotka tarjoavat sinulle tukipalveluja, ja mainoskumppanimme, jotka auttavat meitä markkinointimme toteuttamisessa.

Toimimme näin, jotta voisimme tarjota saumattoman asiakaskokemuksen ja jotta käytettävissämme olisi aina tiedot, joita tarvitsemme tukipalvelujen antamisessa sinulle.

Tyypillisiä esimerkkejä kolmansien osapuolten lähteistä:

  • tiedot ulkoisessa verkkokaupassamme tehdystä ostoksesta,
  • saamme tunnistetietosi palvelumme sinulle tarjoavalta operaattorikumppaniltamme aiemmin antamistasi kirjautumistiedoista, jotta voimme toimittaa palvelumme sinulle suoraan
  • yrityspäätösrekisteristä markkinointitarkoituksessa saadut yhteystiedot ja
  • kun käytät sosiaalisen median tiliä palveluihimme rekisteröitymiseen, saamme tilitiedoistasi sähköpostiosoitteen, jotta voimme todentaa rekisteröintisi ja olla yhteydessä sinuun.

Kolmannet osapuolet

Palvelumme toimitetaan yhdessä kumppaneidemme kanssa, ja palveluihimme ja sivustoihimme saatetaan upottaa kolmansien osapuolten palveluja tai ne saattavat toimia yhdessä palvelujemme ja sivustojemme kanssa. Tämä tietosuoja-asiakirja koskee henkilötietoja vain, kun kyseiset tiedot ovat WithSecure™n vaikutusalueella. Jos jokin muu taho käsittelee henkilötietojasi omissa tarkoituksissaan, tämä toinen osapuoli on vastuussa henkilötietojesi käsittelystä käytäntöjensä mukaan asianmukaisella tavalla sekä tietosuojalakien alaisten oikeuksiesi täyttymisestä.

Tällaisia tilanteita ovat yleensä seuraavat:

  • Web-kauppa. Web-kauppamme toteutus on osittain kolmannen osapuolen jälleenmyyjän vastuulla. Rekisteröintivaiheessa antamiasi tietoja käsitellään WithSecure™n käytäntöjen mukaisesti, mutta itse ostotoimenpiteeseen ja siihen liittyviin toimiin sovelletaan Web-kauppamme toimittajien käytäntöjä.
  • Laitteen sijaintikyselyt. Jos pyydät laitteen sijaintia palvelujemme kautta, karttapalvelun tarjoajan on käsiteltävä maantieteellisiä tietoja. Tämän käytännön julkaisuhetkellä WithSecure™ käyttää Googlen karttapalveluja laitteen sijainti- ja hakupalveluissa. Näitä ominaisuuksia käytettäessä sovelletaan Googlen yksityisyyskäytäntöjä.

Laissa annetut edellytykset

Jos WithSecure™:n käsittelemät tiedot ovat yhdistettävissä henkilöön, palvelut käsittelevät tietoja seuraavien oikeutettujen etujen suojaamiseksi,

  • WithSecure™:n palvelujen toimittaminen, jotta asiakkaidemme verkot ja laitteet sekä niiden sisältämien tietojen luottamuksellisuus ja saatavuus voidaan turvata
  • sellaisten tietojen antaminen WithSecure™:lle, joiden avulla se voi havaita kaikkia asiakkaitaan uhkaavat uudet uhat ja tietoturvaan liittyvät suuntaukset, jotta palvelumme pysyvät kehittyvien uhkien tasolla
  • jotta WithSecure™ voi toimittaa keskitetyn tietoturvakehyksen useisiin maanosiin suurelle määrälle asiakkaita ja kumppaneita.

Verkkoportaalianalytiikka on tarkoitettu myös WithSecure™:n tuotteiden parantamiseen.

Jos tietoja ei tarvita ehdottomasti palvelujen tarjoamiseen — mutta niistä voisi olla apua palvelujen tarjoamiseen jatkossa — keräämme tällaisia tietoja vain luvallasi.

Työnantajayritys määrittelee erikseen omat lailliset perusteensa tunnistetietojen käsittelyyn edellä kuvatuissa tarkoituksissa.

Tietojen säilytys

Tietoja säilytetään palvelun asiakasyrityksen kanssa tehdyn palvelusopimuksen keston mukaan. Tiedot ovat tarkasteltavissa Elements Endpoint Protection ‑portaalissa tänä aikana. Kun palveluntarjoajan kanssa tehty palvelusopimus tai lisenssi päättyy, näitä tietoja säilytetään WithSecure™:n tallennustilassa joitakin kuukausia ennen lopullista poistoa tai anonymisointia.

Edellä kuvattujen lisäksi säilytämme portaalin käyttäjät kirjaavia tarkastuslokeja kolme vuotta jatkuvalla syötöllä. Palvelulokeja, jotka ilmaisevat, mitä portaalissa on tapahtunut, säilytetään vuosi jatkuvalla syötöllä. Näitä toimintoja ovat mukaan lukien rajoituksetta tilauksien uusinnat, käyttäjien luonti, profiilimuutokset ja uusien laitteiden rekisteröinnit.

 

Lue lisää

Tämä teksti täydentää palvelukohtaisia säilytysaikoja. Lainmukainen oletussääntö on, että henkilötiedot poistetaan ja muutetaan yksilöimättömiksi, kun niitä ei enää tarvita alkuperäisessä käyttötarkoituksessa.

Joitakin henkilötietoja on kuitenkin säilytettävä vaihtelevasti pidempään erinäisistä syistä.

Ensisijaisista säilytysajoista poiketaan tyypillisesti esimerkiksi seuraavista syistä:

  • siirtymäkaudet ja varmuuskopiot (esim. henkilötietojen säilyttäminen määrätyn ajan tilauksen päättymisen jälkeen, jotta tiedot voidaan suojata vahingossa tapahtuvalta poistolta)
  • tietojen säilyttäminen sovellettavien lakien edellyttämällä tavalla (esim. ostoksen ja palveluistamme tehtyjen maksujen seuraamiseksi)
  • oikaisuvaihtoehtojen tutkiminen tai meille mahdollisesti aiheutuvien vahinkojen rajoittaminen (esim. keskeneräisestä kiistasta tai tutkimustyöstä johtuen)
  • toistuvan ongelman ratkaiseminen tai kurissa pitäminen tai riittävän tiedon kerääminen tulevien ongelmien käsittelemiseksi (esim. tekemäsi tukipyyntö, joka liittyy asiakkuutesi aikana ratkaisematta jääneeseen ongelmaan)
  • petosten estäminen (esim. yhteisömme käyttökiellon valvominen)
  • henkilötietojen lisääminen muihin tietoihin jostakin toissijaisesta syystä (esim. lokien säilytys)
  • muut vastaavat tilanteet, joissa on tarvetta henkilötietojen jatkuvalle säilyttämiselle.

Tilisi lopullinen poistaminen saattaa viivästyä, jotta muut vuorovaikutustapahtumat eivät häiriinny. Tämä koskee WithSecure™-tilin luoneita (esim. kuluttajapalveluja sähköpostiosoitteella tilanneita), joilla on myös i) tili WithSecure™:n yhteisössä tai jotka ii) jatkavat markkinointiviestiemme tilaamista. WithSecure™:n yhteisön tilin poistokäytäntö on määritetty sen palveluehdoissa. Voit peruuttaa markkinointiviestiemme tilauksen milloin tahansa.

Jos olet ostanut palvelun operaattorikumppaniltamme, kumppani vastaa tilin poistamisesta. Kun kumppani ilmoittaa meille, että tilauksesi on päättynyt, WithSecure™ poistaa tilin. Tämä poisto poistaa kaikki tiliin liittyvät tiedot tai muuttaa ne yksilöimättömään muotoon.

Jos olemme saaneet tietosi teknisen tuen toimittamisen yhteydessä, tietoja säilytetään niin kauan kuin kyseinen tukitapaus on selvittämättä. Kun tapaus on ratkaistu, tiedot poistetaan vähitellen tai muutetaan yksilöimättömiksi viimeistään kahden vuoden kuluttua tapauksen sulkemisesta.

Käyttäjän luvalla kerättyjä analytiikkatietoja säilytetään tilastointimielessä, eikä niitä poisteta henkilökohtaisten tietojen ja käyttäjätilin poiston yhteydessä. Analytiikkatiedot muutetaan yksilöimättömiksi siten, että niitä ei voida yhdistää tilin lopettamisen jälkeen mihinkään käyttäjään eikä tiliin.

Tietoja, jotka eivät sisällä henkilökohtaisia tietoja (esim. kootut analyysitiedot), säilytetään niin kauan kuin niitä tarvitaan ja niiden katsotaan olevan hyödyllisiä käyttötarkoituksessaan.

Tietoturvatiedot

Palvelu lähettää kyselyjä mahdollisesti haitallisista toiminnoista tai suojatuista laitteista ja verkoista WithSecure™ Security Cloudille. WithSecure™ Security Cloud on WithSecure™:n tarjoama pilvipohjainen kyberuhka-analyysiin käytettävä järjestelmä. Security Cloudin avulla WithSecure™ voi ylläpitää ajantasaista yleiskuvaa maailmanlaajuisesta uhkakirjosta ja suojata asiakkaitaan uusilta uhilta heti, kun ne havaitaan ensimmäisen kerran. Rajoitamme kaikkien arkaluonteisten käyttäjätietojen käsittelyä, mutta keräämme kuitenkin sen verran käyttäjä- ja organisaatiotietoja, mitä korkealaatuinen suojaus edellyttää. Kerättyjä tietoja ovat esimerkiksi:

  • Tiedostot, jotka WithSecure™ on estänyt tietoturvasyistä, ja niihin liittyvät metatiedot. Metatietoja ovat esimerkiksi hajautusarvo, tiedostonimi ja tiedostopolku. Tiedostot ja sähköpostit on analysoitava haitallisten sisällön ja toiminnan varalta, jotta sinut voidaan suojata. Tiedostot käsitellään turvallisessa ympäristössä, jotta haitallinen toiminta saadaan estettyä. Näiden tietojen kerääminen auttaa WithSecure™:a ylläpitämään maailmanlaajuista uhkatilannekarttaa, jonka avulla voidaan reagoida nopeasti uusiin uhkiin.
  • Verkko-osoitteet, jotka olet yrittänyt avata mutta jotka WithSecure™ on estänyt tietoturvasyistä tai joissa on mahdollisesti haitallista toimintaa, ja niihin liittyvät metatiedot. Metatietoja ovat esimerkiksi vastausylätunnisteet. Sivusto saatetaan estää valittujen suojausasetusten ja käytönvalvonnan vuoksi. Kerätyt tiedot auttavat myös suojautumaan tietojenkalastelulta ja kiristyshaittaohjelmilta.

Portaalin järjestelmänvalvojat näkevät vain yhteenvedon tuloksesta, kuten sen, onko tiedosto saanut tartunnan vai ei. Jos palvelu kuitenkin havaitsee haittaohjelman, tunnistuksen yhteenveto tulee näkyviin portaaliin, ja portaalin käyttöoikeudet saaneet voivat yhdistää yhteenvedon yksittäiseen laitteeseen.

VPN-komponentin tietojen keräys

Ohjeistuksemme mukaan emme pyri selvittämään yksityisten viestiesi sisältöä. Analysoimme viestiliikennettäsi, jotta palvelu voidaan toimittaa ja tiedonsiirtosi voidaan pitää puhtaana. Tarkkaan ottaen:

  • käsittelemme joitakin liikennettä koskevia metatietoja (kuten liikenteen määrän, aikaleimat, IP-osoitteet), kun toimitamme palvelun
  • VPN:n läpi välitetyn liikenteen IP-kohdeosoitteita, portteja tai URL-osoitteita ei tallenneta tavalla, jolla ne voidaan yhdistää sinuun
  • analysoimme liikennettä myös epäilyttävien tai haitallisten tiedostojen ja kohteiden (eli URL-osoitteiden) varalta ja
  • seulomme liikennettä automaattisesti ja estämme käytön, joka rikkoo hyväksyttävän käytön käytäntöämme.

 

Muut palvelut

Elements Endpoint Protectionin hallintaominaisuuksia voi käyttää myös joidenkin muiden WithSecure™-palveluiden hallintaan. Tietojenkäsittely, joka liittyy näihin muihin palveluihin on kyseisten palveluiden tietosuojakäytäntöjen alaista.

Analytiikka

Portaalissa visualisoitujen tietojen lisäksi palvelu käyttää myös palveluanalytiikkaa varten kerättyjen tietojen alijoukkoa. Tämä tehdään siksi, että voimme luoda sinulle ja muille asiakkaillemme aidosti arvokkaita palveluja. WithSecure™ kerää palveluportaalissa myös analytiikkatietoja, joista saadaan tietoja siitä, miten järjestelmänvalvojakäyttäjät käyttävät palveluportaalia. Tällä tavalla voimme parantaa portaalin käyttökokemusta.

Lue lisää

Tässä osiossa on erittely analyysitarkoituksiin kerättävien tietojen keräämiseen ja käsittelyyn liittyvistä yleisistä käytännöistä.

WithSecure™:n data-analytiikka tarkoittaa sekä uudelleenkäytettyjä palvelun tietoja, uudelleenkäytettyjä tietoturvatietoja ja yleensäkin analyysitarkoituksiin kerättyjä tietoja.

Haluamme tarjota sinulle henkilökohtaisen asiakaskokemuksen ja entistä parempia tuotteita tulevaisuudessa. Jotta onnistuisimme siinä, meidän on seurattava palvelujemme käyttöä ja asiakassegmenttiemme luontia. Seuraamme esimerkiksi sitä, mitä toimintoja asiakkaamme käyttävät eniten, milloin palveluissa ilmenee vikatilanteita, mitä korjattavaa palveluista löytyy ja miten asiakkaamme löytävät palvelumme.

Kerättävät tiedot. Data-analytiikkatarkoituksissa käsittelemiimme tietoihin sisältyvät esimerkiksi laitetunnisteet ja laitteiden/käyttäjien/käyttäjäryhmien väliset suhteet, käyttöympäristöt, palvelujen käyttöajat, käyttöoikeustyypit (kokeiluversiot ja maksulliset versiot), laitetiedot (esimerkiksi puhelimen malli, käyttöjärjestelmä ja kieli), osittaiset IP-osoitteet, palveluvirheet, ongelmalliset tiedostot ja URL-osoitteet ja palvelun suorituskykytiedot, käyttäjän vuorovaikutus palvelujemme kanssa (esimerkiksi se, mitä toimintoja käytetään ja kuinka usein), sen toimialueen nimi, josta yhteys palveluun muodostetaan, elementit, joita napsautetaan, aikaleimat, alueellinen sijainti, palvelunsisäisen viestinnän tehokkuus, palvelun aktivointi (kuten asiaan liittyvien viestien vastaanoton ja asennuksen onnistumisen seuranta), asennus- ja aktivointipolut, palvelun suorituskyky, yhteydet, tietojen reititys, kiintiöt ja muut samankaltaiset tiedot.

Käytännössä suostumuksesi pyytäminen palvelujemme käyttöliittymässä tarkoittaa seuraavien tietojen lähettämisen kontrollointia: i) lisätiedot, kuten käytetyt toiminnot ja niiden käyttötiheys, ja palvelun mittatiedot sekä ii) yhdessä tietojoukossa lähetettyjen määritteiden määrä.

Yllä oleva koskee kyberturvapalvelujemme käyttöä. Sivustojemme data-analytiikka on kuvattu sivustojemme yksityisyyskäytännössä.

Suostumuksen peruuttaminen. Olemme todella kiitollisia siitä, että auta meitä parantamaan palvelujamme. Jos kuitenkin haluat minimoida kaiken WithSecure™:lta tulevan tietoliikenteen määrän, kunnioitamme päätöstäsi. Lisäanalytiikkaa hyödyntävät palvelumme antavat sinun valita, osallistutko. Voit peruuttaa suostumuksesi milloin tahansa ja estää jatkossa sellaisten analytiikkatietojen keräämisen, jotka eivät ole tärkeitä palvelumme toimittamisen kannalta.

Jos olet kieltänyt kaiken analyysitietojen keräämisen, viestintämme sinulle perustuu vain kerättyihin palvelutietoihin (tietoihin, joita keräämme tarjotessamme palveluja sinulle) ja osa viesteistämme on todennäköisesti epätarkempia kuin analyysitietojen perustella annetut vinkit.

Jos kaiken online-toimintaasi (sivustomme mukaan lukien) koskevan tiedon kerääminen ei ole mieleesi, voit estää online-mainostajia profiloimasta mobiililaitteesi käyttöä kattavasti nollaamalla mainostunnisteen säännöllisin väliajoin ja ottamalla seurannankieltoasetuksen käyttöön laiteasetuksista tai käyttämällä yksityisyystuotettamme.

Analytiikkatietojen säilyttäminen. Data-analytiikkatoiminnoissamme yhdistämme analytiikkatiedot palvelun tietoihin. Tämä yhdistetty tietojoukko käsitellään sitten "oikeutetun edun" perusteella. Aiemmin kerätyt analytiikkatiedot säilytetään osana palvelun tilastoja, sillä niiden poistaminen jälkeen päin sekoittaisi tilastot. Kun lopetat palvelujemme tilaamisen (eli poistat tilisi), palvelun käyttöön liittyvät analytiikkatiedot palautetaan yksilöimättömiksi tiedoiksi, eikä niitä voida enää yhdistää sinuun.

Tietojen vaihtaminen. Teknisestä ympäristöstä (eli Internetistä, sovelluskaupan ekosysteemistä ja sosiaalisesta mediasta) johtuen emme voi tehdä kaikkea data-analytiikkaan liittyvää keräystä ja muita toimia itse. Meidän on vaihdettava joitakin tietoja (kuten "Android-markkinointitunniste" ja muut samankaltaiset tunnisteet) online-analytiikasta ja markkinoinnista vastaavien kumppaneidemme kanssa, jotta voimme toteuttaa digitaalisen analytiikan ja markkinoinnin toimenpiteet. Huomattavaa enemmistöä sinua koskevista tiedoista ei jaeta muille.

Osa tuotteisiimme analytiikkaominaisuuksia toimittavista alihankkijoistamme saattaa myös luoda ja julkaista koottujen tietojen raportteja, jotka perustuvat kerättyihin tietoihin. Tällaiset tilastotiedot tai yhdistettyjen tietojen raportit eivät sisällä tietoja, jotka voidaan yhdistää yksittäisiin henkilöihin.

Emme vaaranna yksityisyyttäsi. Poikkeamme useimmista muista tietoanalyysia käyttävistä yrityksistä siinä, että ymmärrämme, miten tämä ekosysteemi toimii, valitsemme käyttämämme kumppanit huolellisesti ja poistamme jakamistamme tiedoista kaikki osat, joita kumppanit eivät tarvitse. Voit milloin tahansa kieltää analyysitietojen keräämisen muuttamalla palveluasetuksia.

Kun tietoja käsitellään analytiikka- tai tilastotarkoituksissa, tiedot muutetaan yksilöimättömiksi. Data-analyytikot eivät toisin sanoen tiedä, kehen mikäkin tietojoukko viittaa. Nimettömyys poistetaan vain määrätyissä käyttötapauksissa. Esimerkiksi kun olemme yhteydessä sinuun, yhdistämme data-analyysin tulokset — emme kaikkia tietoja — sähköpostiosoitteeseesi. Toinen esimerkki on tilanne, jossa tietoja saatetaan käyttää tuotteessamme olevien ongelmien ratkaisemiseen teknisiä tukipalveluja toimitettaessa.

Rajoitamme myös tällaisen lisäanalyysin vain palvelujemme pintakerroksiin; emme tee mitään analyyseja palvelujemme yksityisyyteen liittyvistä osista. Esimerkiksi Security Cloudiin ja VPN-palvelumme sisäiseen tietoliikenteeseen liittyviä toimia ei analysoida lainkaan yrityksemme ulkopuolella.

Tietoturva

Tiedot tietoturvakäytännöistä, joilla suojaamme tietosi.

Lue lisää

Noudatamme tiukkoja turvatoimia suojataksemme henkilökohtaisten tietojesi luottamuksellisuuden, eheyden ja saatavuuden, kun siirrämme, tallennamme ja käsittelemme niitä.

Käytämme fyysisiä, hallinnollisia ja teknisiä suojaustoimenpiteitä pienentääksemme henkilökohtaisten tietojesi hävikin riskiä ja vähentääksemme väärinkäytöksiä sekä luvatonta käyttöä, julkaisua tai muokkausta.

Kaikki henkilötiedot tallennetaan WithSecure™:n tai kumppaneidemme hallinnoimille suojatuille palvelimille, joita vain valtuutettu henkilökunta voi käyttää rajatusti.

Oikeutesi

Tiedot lainmukaisista oikeuksistasi ja yhteydenotosta F‑Secureen.

Lue lisää

Sinulla on oikeus päästä sinua koskeviin tietoihin, joita säilytämme. Sinulla on erityisesti seuraavat oikeudet säilyttämiimme henkilötietoihisi:

  • Pääsy ja oikaisu. Sinulla on oikeus kysyä, mitä henkilötietojasi säilytämme, ja pyytää kopiota tiedoista, joiden tiedämme koskevan sinua tässä kontekstissa. Jos havaitset kyseisissä tiedoissa virheitä (esim. vanhentuneita tietoja), kehotamme ottamaan yhteyttä asiakaspalveluun. Voit päivittää asiakastietojasi myös itse joissakin palveluportaaleissamme. Päivitä niihin kaikki henkilötietojesi muutokset, kuten osoitteenmuutos tai sähköpostiosoitteen vaihto. Jos et voi päivittää muutoksia itse, voit ilmoittaa meille tarvittavista muutoksista.
  • Vastalause. Sinulla on oikeus esittää vastalause tietyille henkilötietojen käsittelytoimille, kuten markkinointitarkoituksissa tehtävälle käsittelylle tai muutoin laillisin perustein tehtävälle käsittelylle. Jälkimmäisessä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet vastalauseellesi.
  • Oikeus tulla unohdetuksi. Sinulla on myös oikeus pyytää meitä lopettamaan henkilötietojesi säilyttäminen ja poistamaan ne. Tässä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet pyynnöllesi.
  • Siirrettävyys. Sinulla on myös oikeus pyytää itse antamiasi henkilötietoja, joita käsitellään sopimuksen tai antamasi suostumuksen mukaisesti. Voit pyytää tietoja rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää, että tiedot siirretään jollekin toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.
  • Suostumuksen peruminen. Jos käsittely perustuu antamaasi suostumukseen, sinulla on oikeus perua se milloin tahansa asiaankuuluvien asetusten kautta. Henkilöön yhdistettävissä olevien palveluanalytiikkatietojen asetukset ovat palvelun käyttöliittymässä. Sinulla on myös oikeus peruuttaa markkinointiviestien tilaus oletusasetuskeskuksessa, johon voi siirtyä linkin kautta.
  • Rajoittaminen. Jos havaitset, että sinua koskevat tiedot ovat virheellisiä tai että meillä ei ole laillista oikeutta käyttää niitä, voit pyytää meitä lopettamaan henkilötietojesi käsittelyn ja pelkästään säilyttämään tietoja, kunnes ongelma on ratkaistu.

Voit pyytää oikeuksiasi asiakaspalvelutoimintomme kautta. Yhteydenottolinkit löytyvät "Yhteystiedot"-osiosta.

Huomaa, että joissakin tilanteissa luottamuksellisuuteen liittyvät velvoitteemme, oikeutemme pitää ammattisalaisuuksia ja/tai velvoitteemme toimittaa palvelujamme (esim. työnantajallesi) saattavat estää meitä julkaisemasta tai poistamasta henkilötietojasi tai muutoin estää sinua käyttämästä oikeuksiasi. Yllä kuvatut oikeutesi riippuvat myös laillisista perusteista, joiden mukaan käsittelemme henkilötietojasi.

Jos haluat valittaa henkilötietojesi käsittelystä tai tarvitset lisätietoja, voit ottaa yhteyttä meihin milloin tahansa. Jos uskot, että lainmukaiset oikeutesi eivät toteudu, voit tehdä valituksen asiaa valvovalle viranomaiselle. Tämä viranomainen on useimmissa tapauksissa tietosuojavaltuutettu (www.tietosuoja.fi).

 

Yhteystiedot

Jos sinulla on kysyttävää yksityisyydensuojakäytännöistämme, ota yhteyttä:

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Suomi

Yhteyden ottaminen:

Yleistä

Tiedot määritelmistä ja muutostenhallinnasta.

Lue lisää

Määritelmät

Tässä ovat määritelmät tässä käytännössä käyttämistämme termeistä.

"Asiakas" tai "sinä" viittaa yksityiseen käyttäjään tai yrityskäyttäjään tai johonkin muuhun tietoja välittävään tahoon, joka ostaa palvelujamme, rekisteröi niitä käytettäväksi tai käyttää niitä, jonka laitteita ja tietoliikennettä palvelumme suojaavat tai joka on saattanut lähettää henkilökohtaisesti tunnistettavissa olevia tietoja meille. Nämä tiedot on saatettu lähettää käyttämällä palvelujamme, Web-sivustojamme, puhelinta, sähköpostia, rekisteröintilomakkeita tai muita vastaavia kanavia.

"Henkilökohtaiset tiedot" tai "henkilötiedot" viittaa yksityisiä henkilöitä koskeviin tietoihin, jotka ovat yhdistettävissä heihin tai heidän perheensä tai taloutensa jäseniin. Näitä tietoja voivat olla nimet, sähköposti- ja postiosoitteet, puhelinnumerot, laskutus- ja tilitiedot sekä muut palveluiden tarjoamisen yhteydessä käsitellyt tekniset tiedot, jotka voidaan yhdistää käyttäjään tai hänen käytökseensä, laitteeseensa tai laitteensa käytökseen.

"Palvelut" viittaa WithSecure™:n valmistamaan tai jakelemaan palveluun tai tuotteeseen, ohjelmistot, Web-ratkaisut, työkalut ja niihin liittyvät tukipalvelut mukaan lukien.

"Web-sivusto" viittaa sivustoon withsecure.com tai mihin tahansa muuhun Web-sivustoon, jota WithSecure™ isännöi tai hallinnoi, niiden alasivustot ja selainpohjaiset palveluportaalit mukaan lukien.

Muutokset

Tämä käytännön versio selkeyttää, päivittää ja korvaa edellisen version. Haluamme pitää tämän asiakirjan ajan tasolla jatkossakin, ja siksi teemme siihen muutoksia ja lisäyksiä silloin tällöin myös tulevaisuudessa.

Julkaisemme muutetun käytäntöasiakirjan Web-sivustollamme tai muussa vuorovaikutuspisteessä, jossa se on aiemmin ollut saatavilla. Jos muutokset ovat merkittäviä, saatamme ilmoittaa niistä myös muilla keinoin. Kaikki muutokset otetaan käyttöön sinä päivänä, jolloin julkaisemme uusitun käytäntöasiakirjan.

Elements Vulnerability Management

WithSecure™ Elements Vulnerability Management

Toukokuu 2021

Tiivistelmä

WithSecure Elements Vulnerability Management on haavoittuvaisuuksien tarkistus- ja hallinta-alusta, jonka avulla voit tunnistaa ja hallita uhkia, raportoida riskeistä ja nähdä IT-järjestelmiesi turvallisuustilanteen. Tämän palvelun tietosuojaan liittyvät tärkeimmät ominaisuudet ovat seuraavat:

  • tietojen keruu keskittyy haavoittuvaisuuksien havaitsemiseen työnantajan yritysverkossa, ei yksittäisten henkilöiden toimintojen seuraamiseen
  • ainoa suoraan yksilöivä tieto, joka tarvitaan, on nimi, sähköpostiosoite ja valinnaisesti puhelinnumero
  • valvomme palvelun käyttöä sen suorituskyvyn ylläpitämiseksi ja väärinkäytön ehkäisemiseksi.

 

Täysimittainen lauseke

Tämä palvelukohtainen käytäntö keskittyy asioihin, joiden uskomme olevan tärkeimpiä sinulle. Tällaisia ovat erityisesti 1) palvelun keräämien henkilökohtaisten ja yksityisten tietojen tyyppi, 2) tietojen käyttötarkoitus, 3) meidän oikeutuksemme, 4) tyypilliset ilmoitukset ja 5) tietojen säilytysaika. Lisätietoja tällaisista aiheista sekä muista henkilötietojesi käsittelyyn liittyvistä asioista (rekisteröidyn oikeudet, yhteystiedot jne.) on myös saatavilla upotetuista linkeistä.

Mitä keräämme ja miten käsittelemme keräämäämme?

 

Tiedot hallintaportaalissa

Pyydämme että sinulta (portaalikäyttäjältä) tilaajatietoina koko nimesi, sähköpostiosoitteesi, salasanasi (salatussa muodossa) ja puhelinnumerosi. Näitä käytetään käyttäjän henkilökohtaisen tilin tunnistamiseen järjestelmässä sekä kieli- ja aikavyöhykeasetusten määrittämiseen.

Palvelu kerää automaattisesti seuraavia käyttöympäristöön ja palvelun käyttöön liittyviä tietoja ja tarjoaa niitä saataville hallintaportaalissa:

  • Varmenne tai tunnistetiedot, jotka toimivat käyttöoikeustunnisteina tarkassa tarkistuksessa
  • Kohdejärjestelmiin asennettu ohjelmisto ja sen versio

Portaalin tietojen näyttämistä on rajoitettu, jos useat käyttäjät jakavat saman tilauksen.

WithSecure-järjestelmien tiedot

Portaalista saatavilla olevien haavoittuvaisuustarkistuksen tietojen lisäksi WithSecure kerää myös seuraavia organisaatiotason tietoja suoraan palvelun kautta. Näitä tietoja ei jaeta asiakasyritykselle tai jakelijakumppanille.

  • Sellaisten ainutkertaisten IP-osoitteiden määrä ja arvo, joista on haettu haavoittuvaisuuksia organisaation sisällä, sekä
  • jos kyseessä on toimipaikassa tapahtuvien tarkistussolmujen käyttöönotot, tarkistussolmujen määritystiedot, kuten asennushakemisto ja sen laitteen laitteistotunnisteet, johon tarkistussolmuagentti on asennettu.

Näitä tietoja käytetään palvelun toimittamiseen, vianmääritykseen, suorituskyvyn mittaamiseen, tilastotietoihin, haitallista käyttöä koskevan tiedon kirjaamiseen ja ratkaisemiseen sekä palvelun kehittämiseen.

Laillinen käyttö

Palvelu on muodostettu etsimään haavoittuvaisuuksia työnantajan yritysverkon laitteistosta ja ohjelmistosta. Sen avulla voi hakea ja korjata näitä haavoittuvaisuuksia ja näin ehkäistä haitallisten osapuolten tekemiä tietomurtoja.

Laissa annetut edellytykset

Palvelun haavoittuvaisuustarkistuksen tulosten muodossa keräämät tiedot käsitellään seuraavista syistä: i) WithSecuren asiakkaiden verkon ja laitteiston suojauksen parantaminen sekä niiden sisältämien tietojen luottamuksellisuuden ja käytettävyyden parantaminen, ja ii) sen salliminen, että WithSecure voi tunnistaa tulevia uhkia ja suojauksen kannalta oleellisia trendejä kaikkien asiakkaidensa toiminnassa, jotta WithSecuren palvelut voidaan pitää kehittyvien uhkien tasalla. Haavoittuvaisuustarkistukset eivät oletusarvoisesti sisällä henkilökohtaisesti tunnistettavissa olevia tietoja.

Tietojen siirtäminen ja paljastaminen

Tilausten ja asetusten hallintaa ja ongelmatilanteita varten kaikki seuraavat tiedot näkyvät saman tilauksen jakaville: sähköpostiosoite, etunimi, sukunimi. Puhelinnumeron näkyvyys (jos numero on annettu) on rajoitettu käyttäjiin, joilla on yrityksen järjestelmänvalvojan rooli.

Hallintaportaalissa olevat tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa, olipa hän sisäinen tai ulkoinen. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecuren ”jakelijakumppani”) käytettävissä, jotta yrityksellesi voidaan tarjota palvelujemme tukea ja vastaavia IT-palveluja.

WithSecure käyttää palvelujen maailmanlaajuiseen toimittamiseen apuna omia tytäryhtiöitään ja alihankkijoita.

Lue lisää

Myynti ja toimitus

Vaihdamme (ilmoitamme ja vastaanotamme) joitakin henkilötietojasi sellaisten jakelukumppaneidemme (kuten IT-yrityspalvelujen jälleenmyyjien, operaattoreiden ja Web-kauppojen) kanssa, jotka ovat markkinoineet, jaelleet, hallinnoineet ja tukeneet palvelujamme. Annamme näiden yritysten käyttää tällaisia henkilötietoja sovittujen toimien toteuttamiseksi. Tietojen jakamisen tarkoituksena on saumattoman asiakaskokemuksen takaaminen. Tällaisia toimia ovat esimerkiksi asiakashallinta, palvelutuki ja ongelmanratkaisu, suoramarkkinointi ja laskutus.

Jakelukumppaneillamme on todennäköisesti jo asiakassuhde sinuun tai yrityspalvelutapauksissa työnantajaasi. Tällaiset kumppanit ja yritysasiakkaat käsittelevät henkilötietojasi itsenäisesti omien sovellettavien yksityisyyskäytäntöjensä mukaan. Jakelukumppaneidemme ja yritysasiakkaidemme on tästä huolimatta noudatettava myös erillisiä sopimuksia ja lainsäädäntöä henkilötietoja käsiteltäessä. Kukin taho on oletusarvoisesti itse vastuussa omasta henkilötietojen käsittelystään omissa käyttötarkoituksissaan.

Alihankinta

Henkilökohtaisia tietoja saatetaan siirtää tai ilmoittaa WithSecure-konsernin yrityksille ja palvelujen luontiin osallistuville alihankkijoille.

Jos asiakkaidemme henkilökohtaiset tiedot on siirrettävä tai ilmoitettava alihankkijoillemme, edellytämme heidän kanssaan tekemissämme sopimuksissa, että he käyttävät tällaisia tietoja ainoastaan palvelujen toimittamiseen (esimerkiksi tukitapauksen ratkaisemiseksi tai sen lähettämiseksi logistiikkakumppaneille tuotteen toimittamista varten tai markkinointiviestien lähettämiseksi). Edellytämme, että alihankkijamme käsittelevät tietojasi tässä kuvattujen lausuntojen mukaisesti.

Kansainväliset siirrot

WithSecure toimii maailmanlaajuisesti. Näin ollen osa tytäryhtiöistämme, alihankkijoistamme, jakelijoistamme ja kumppaneistamme sijaitsee Euroopan talousalueen ulkopuolella, mikä varmistaa palvelujemme maailmanlaajuisen saatavuuden. WithSecuren tytäryhtiöiden toimipaikat voi tarkistaa WithSecuren julkisilta verkkosivuilta

Kun siirrämme henkilökohtaisia tietoja Euroopan talousalueen ulkopuolelle, suojaamme henkilökohtaiset tiedot lain edellyttämällä tavalla. Toteutamme tämän määräämällä asianmukaiset tekniset ja sopimukselliset turvaohjeet asiaankuuluville alihankkijoille ja WithSecure-konsernin yrityksille esimerkiksi Euroopan unionin hyväksymiä tiedonsiirtoa koskevia lauseita käyttämällä. Näiden lauseiden sisältö on saatavilla täältä.

Maailmanlaajuisia tai rajoja ylittäviä tiedonsiirtoja tehdään vain hyvästä syystä ja tietosuojariskin arvioinnin jälkeen.

Säilytämme arkaluonteisia asiakastietoja Suomessa tai Euroopan talousalueella ja pidämme niitä hallinnassamme.

Tietojen muu käyttö ja ilmoittaminen

Tämä yksityisyyskäytäntö ei kata kaikkia tilanteita, joissa henkilötietojen käyttö tai ilmoittaminen ilman lupaasi tai palvelun toteutuksesta erillään on oikeutettua tai sallittua tai joissa niiden ilmoittamista edellytetään meiltä sovellettavan lain mukaan.

Yksi esimerkki on tuomioistuimen tai viranomaisten antaman määräyksen noudattaminen asiaankuuluvalla lainkäyttöalueella tietojen tuottamiseksi.

Samaan tapaan voi ilmetä muita tilanteita, joissa meillä on perusteltavissa oleva oikeutettu etu ilmoittaa tietoja rajatusti kolmannelle osapuolelle. Tällaisia ovat esimerkiksi tilanteet, joissa meidän on suojattava itseämme vastuulta tai estettävä petollista toimintaa, joissa analysoimme sinun toimestasi tapahtuvaa tuotteidemme käyttöä, jotta tuotteemme varmasti toimivat odottamallasi tavalla ja jotta voimme reagoida epäsuotuisiin kokemuksiin, joissa jatkuva ongelma on ratkaistava tai pidettävä kurissa tai joissa meidän on vastattava vakuutuksenantajiemme tai valtion viranomaisten tietopyyntöihin. Tällaisissa tilanteissa toimimme sovellettavien lakien mukaisesti.

Meidän on ehkä myös siirrettävä henkilökohtaisia tietoja osana yritystapahtumaa, kuten myyntiä, yrityskauppaa, yhtiöittämistä tai muuta WithSecuren yrityssaneerausta, jossa tiedot toimitetaan uudelle hallinnoivalle taholle osana normaalia liiketoimintaa. WithSecure-konserni ilmoittaa ja siirtää tietoja sisäisesti kulloisenkin toimintamallin edellyttämällä tavalla. Nämä ilmoitukset rajataan kuitenkin sisäisesti vain kyseiseen konserniin kuuluville yrityksille, yksiköille, tiimeille ja henkilöille, jotka tarvitsevat kyseisiä tietoja niiden käsittelyyn.

Harkitsemme kutakin ilmoitustarvetta huolellisesti ja otamme tällaiset ilmoituspyynnöt huomioon, kun päätämme missä ja miten säilytämme henkilötietojasi.

Lähteet

Keräämme suurimman osan edellä kuvatuista tiedoista suoraan sinulta tai laitteestasi, mutta voimme saada tietoja myös tytäryhtiöiltämme, jakelukumppaneiltamme (kuten operaattoreilta) ja yrityksiltä, joilta olet ostanut palveluja. Nämä toimijat voivat olla jälleenmyyjiämme tai ulkoisia verkkokauppakumppaneitamme. Lisäksi saamme joitakin henkilökohtaisia tietoja (ostoksiin liittyviä tilaustietoja) ja koostettuja analyysitietoja sovelluskaupoilta, joissa tuotteitamme myydään. Lähteinämme voivat toimia myös alihankkijamme, jotka tarjoavat sinulle tukipalveluja, ja mainoskumppanimme, jotka auttavat meitä markkinointimme toteuttamisessa.

Toimimme näin, jotta voisimme tarjota saumattoman asiakaskokemuksen ja jotta käytettävissämme olisi aina tiedot, joita tarvitsemme tukipalvelujen antamisessa sinulle.

Tyypillisiä esimerkkejä kolmansien osapuolten lähteistä:

  • tiedot ulkoisessa verkkokaupassamme tehdystä ostoksesta,
  • saamme tunnistetietosi palvelumme sinulle tarjoavalta operaattorikumppaniltamme aiemmin antamistasi kirjautumistiedoista, jotta voimme toimittaa palvelumme sinulle suoraan
  • yrityspäätösrekisteristä markkinointitarkoituksessa saadut yhteystiedot ja
  • kun käytät sosiaalisen median tiliä palveluihimme rekisteröitymiseen, saamme tilitiedoistasi sähköpostiosoitteen, jotta voimme todentaa rekisteröintisi ja olla yhteydessä sinuun.

Kolmannet osapuolet

Palvelumme toimitetaan yhdessä kumppaneidemme kanssa, ja palveluihimme ja sivustoihimme saatetaan upottaa kolmansien osapuolten palveluja tai ne saattavat toimia yhdessä palvelujemme ja sivustojemme kanssa. Tämä tietosuoja-asiakirja koskee henkilötietoja vain, kun kyseiset tiedot ovat WithSecuren vaikutusalueella. Jos jokin muu taho käsittelee henkilötietojasi omissa tarkoituksissaan, tämä toinen osapuoli on vastuussa henkilötietojesi käsittelystä käytäntöjensä mukaan asianmukaisella tavalla sekä tietosuojalakien alaisten oikeuksiesi täyttymisestä.

Tällaisia tilanteita ovat yleensä seuraavat:

  • Web-kauppa. Web-kauppamme toteutus on osittain kolmannen osapuolen jälleenmyyjän vastuulla. Rekisteröintivaiheessa antamiasi tietoja käsitellään WithSecuren käytäntöjen mukaisesti, mutta itse ostotoimenpiteeseen ja siihen liittyviin toimiin sovelletaan Web-kauppamme toimittajien käytäntöjä.
  • Laitteen sijaintikyselyt. Jos pyydät laitteen sijaintia palvelujemme kautta, karttapalvelun tarjoajan on käsiteltävä maantieteellisiä tietoja. Tämän käytännön julkaisuhetkellä WithSecure käyttää Googlen karttapalveluja laitteen sijainti- ja hakupalveluissa. Näitä ominaisuuksia käytettäessä sovelletaan Googlen yksityisyyskäytäntöjä.

Tietojen säilytys

Haavoittuvaisuustarkistusten tuloksiin liittyvät tiedot tallennetaan palvelun asetusten mukaan, ja ne ovat asiakkaan säädettävissä.

Muussa tapauksessa tunnistettavissa olevia henkilötietoja tallennetaan asiakasyrityksen määrittämän ajan verran, ja ne näkyvät portaalissa tämän saman ajan. Kun tilaus on keskeytetty, tietoja säilytetään kahdeksan kuukauden ajan niiden edellisestä poistosta.

Yllä olevasta poistosta huolimatta WithSecure jatkaa tiettyjen sovelluslokien (jotka sisältävät joitakin yllä ilmoitetuista tiedoista) säilyttämistä, jotta niiden avulla voidaan ratkaista ilmeneviä palveluiden väärinkäyttöön liittyviä tilanteita.

Lue lisää

Tämä teksti täydentää palvelukohtaisia säilytysaikoja. Lainmukainen oletussääntö on, että henkilötiedot poistetaan ja muutetaan yksilöimättömiksi, kun niitä ei enää tarvita alkuperäisessä käyttötarkoituksessa.

Joitakin henkilötietoja on kuitenkin säilytettävä vaihtelevasti pidempään erinäisistä syistä.

Ensisijaisista säilytysajoista poiketaan tyypillisesti esimerkiksi seuraavista syistä:

  • siirtymäkaudet ja varmuuskopiot (esim. henkilötietojen säilyttäminen määrätyn ajan tilauksen päättymisen jälkeen, jotta tiedot voidaan suojata vahingossa tapahtuvalta poistolta)
  • tietojen säilyttäminen sovellettavien lakien edellyttämällä tavalla (esim. ostoksen ja palveluistamme tehtyjen maksujen seuraamiseksi)
  • oikaisuvaihtoehtojen tutkiminen tai meille mahdollisesti aiheutuvien vahinkojen rajoittaminen (esim. keskeneräisestä kiistasta tai tutkimustyöstä johtuen)
  • toistuvan ongelman ratkaiseminen tai kurissa pitäminen tai riittävän tiedon kerääminen tulevien ongelmien käsittelemiseksi (esim. tekemäsi tukipyyntö, joka liittyy asiakkuutesi aikana ratkaisematta jääneeseen ongelmaan)
  • petosten estäminen (esim. yhteisömme käyttökiellon valvominen)
  • henkilötietojen lisääminen muihin tietoihin jostakin toissijaisesta syystä (esim. lokien säilytys)
  • muut vastaavat tilanteet, joissa on tarvetta henkilötietojen jatkuvalle säilyttämiselle.

Tilisi lopullinen poistaminen saattaa viivästyä, jotta muut vuorovaikutustapahtumat eivät häiriinny. Tämä koskee WithSecure-tilin luoneita (esim. kuluttajapalveluja sähköpostiosoitteella tilanneita), joilla on myös i) tili WithSecuren yhteisössä tai jotka ii) jatkavat markkinointiviestiemme tilaamista. WithSecuren yhteisön tilin poistokäytäntö on määritetty sen palveluehdoissa. Voit peruuttaa markkinointiviestiemme tilauksen milloin tahansa.

Jos olet ostanut palvelun operaattorikumppaniltamme, kumppani vastaa tilin poistamisesta. Kun kumppani ilmoittaa meille, että tilauksesi on päättynyt, WithSecure poistaa tilin. Tämä poisto poistaa kaikki tiliin liittyvät tiedot tai muuttaa ne yksilöimättömään muotoon.

Jos olemme saaneet tietosi teknisen tuen toimittamisen yhteydessä, tietoja säilytetään niin kauan kuin kyseinen tukitapaus on selvittämättä. Kun tapaus on ratkaistu, tiedot poistetaan vähitellen tai muutetaan yksilöimättömiksi viimeistään kahden vuoden kuluttua tapauksen sulkemisesta.

Käyttäjän luvalla kerättyjä analytiikkatietoja säilytetään tilastointimielessä, eikä niitä poisteta henkilökohtaisten tietojen ja käyttäjätilin poiston yhteydessä. Analytiikkatiedot muutetaan yksilöimättömiksi siten, että niitä ei voida yhdistää tilin lopettamisen jälkeen mihinkään käyttäjään eikä tiliin.

Tietoja, jotka eivät sisällä henkilökohtaisia tietoja (esim. kootut analyysitiedot), säilytetään niin kauan kuin niitä tarvitaan ja niiden katsotaan olevan hyödyllisiä käyttötarkoituksessaan.

Tietoturva

Tiedot tietoturvakäytännöistä, joilla suojaamme tietosi.

Lue lisää

Noudatamme tiukkoja turvatoimia suojataksemme henkilökohtaisten tietojesi luottamuksellisuuden, eheyden ja saatavuuden, kun siirrämme, tallennamme ja käsittelemme niitä.

Käytämme fyysisiä, hallinnollisia ja teknisiä suojaustoimenpiteitä pienentääksemme henkilökohtaisten tietojesi hävikin riskiä ja vähentääksemme väärinkäytöksiä sekä luvatonta käyttöä, julkaisua tai muokkausta.

Kaikki henkilötiedot tallennetaan WithSecuren tai kumppaneidemme hallinnoimille suojatuille palvelimille, joita vain valtuutettu henkilökunta voi käyttää rajatusti.

Oikeutesi

Tiedot lainmukaisista oikeuksistasi ja yhteydenotosta WithSecureen.

Lue lisää

Sinulla on oikeus päästä sinua koskeviin tietoihin, joita säilytämme. Sinulla on erityisesti seuraavat oikeudet säilyttämiimme henkilötietoihisi:

  • Pääsy ja oikaisu. Sinulla on oikeus kysyä, mitä henkilötietojasi säilytämme, ja pyytää kopiota tiedoista, joiden tiedämme koskevan sinua tässä kontekstissa. Jos havaitset kyseisissä tiedoissa virheitä (esim. vanhentuneita tietoja), kehotamme ottamaan yhteyttä asiakaspalveluun. Voit päivittää asiakastietojasi myös itse joissakin palveluportaaleissamme. Päivitä niihin kaikki henkilötietojesi muutokset, kuten osoitteenmuutos tai sähköpostiosoitteen vaihto. Jos et voi päivittää muutoksia itse, voit ilmoittaa meille tarvittavista muutoksista.
  • Vastalause. Sinulla on oikeus esittää vastalause tietyille henkilötietojen käsittelytoimille, kuten markkinointitarkoituksissa tehtävälle käsittelylle tai muutoin laillisin perustein tehtävälle käsittelylle. Jälkimmäisessä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet vastalauseellesi.
  • Oikeus tulla unohdetuksi. Sinulla on myös oikeus pyytää meitä lopettamaan henkilötietojesi säilyttäminen ja poistamaan ne. Tässä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet pyynnöllesi.
  • Siirrettävyys. Sinulla on myös oikeus pyytää itse antamiasi henkilötietoja, joita käsitellään sopimuksen tai antamasi suostumuksen mukaisesti. Voit pyytää tietoja rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää, että tiedot siirretään jollekin toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.
  • Suostumuksen peruminen. Jos käsittely perustuu antamaasi suostumukseen, sinulla on oikeus perua se milloin tahansa asiaankuuluvien asetusten kautta. Henkilöön yhdistettävissä olevien palveluanalytiikkatietojen asetukset ovat palvelun käyttöliittymässä. Sinulla on myös oikeus peruuttaa markkinointiviestien tilaus oletusasetuskeskuksessa, johon voi siirtyä linkin kautta.
  • Rajoittaminen. Jos havaitset, että sinua koskevat tiedot ovat virheellisiä tai että meillä ei ole laillista oikeutta käyttää niitä, voit pyytää meitä lopettamaan henkilötietojesi käsittelyn ja pelkästään säilyttämään tietoja, kunnes ongelma on ratkaistu.

Voit pyytää oikeuksiasi asiakaspalvelutoimintomme kautta. Yhteydenottolinkit löytyvät "Yhteystiedot"-osiosta.

Huomaa, että joissakin tilanteissa luottamuksellisuuteen liittyvät velvoitteemme, oikeutemme pitää ammattisalaisuuksia ja/tai velvoitteemme toimittaa palvelujamme (esim. työnantajallesi) saattavat estää meitä julkaisemasta tai poistamasta henkilötietojasi tai muutoin estää sinua käyttämästä oikeuksiasi. Yllä kuvatut oikeutesi riippuvat myös laillisista perusteista, joiden mukaan käsittelemme henkilötietojasi.

Jos haluat valittaa henkilötietojesi käsittelystä tai tarvitset lisätietoja, voit ottaa yhteyttä meihin milloin tahansa. Jos uskot, että lainmukaiset oikeutesi eivät toteudu, voit tehdä valituksen asiaa valvovalle viranomaiselle. Tämä viranomainen on useimmissa tapauksissa tietosuojavaltuutettu (www.tietosuoja.fi).

 

Yhteystiedot

Jos sinulla on kysyttävää yksityisyydensuojakäytännöistämme, ota yhteyttä:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Suomi

Yhteyden ottaminen:

Yleistä

Tiedot määritelmistä ja muutostenhallinnasta.

Lue lisää

Määritelmät

Tässä ovat määritelmät tässä käytännössä käyttämistämme termeistä.

"Asiakas" tai "sinä" viittaa yksityiseen käyttäjään tai yrityskäyttäjään tai johonkin muuhun tietoja välittävään tahoon, joka ostaa palvelujamme, rekisteröi niitä käytettäväksi tai käyttää niitä, jonka laitteita ja tietoliikennettä palvelumme suojaavat tai joka on saattanut lähettää henkilökohtaisesti tunnistettavissa olevia tietoja meille. Nämä tiedot on saatettu lähettää käyttämällä palvelujamme, Web-sivustojamme, puhelinta, sähköpostia, rekisteröintilomakkeita tai muita vastaavia kanavia.

"Henkilökohtaiset tiedot" tai "henkilötiedot" viittaa yksityisiä henkilöitä koskeviin tietoihin, jotka ovat yhdistettävissä heihin tai heidän perheensä tai taloutensa jäseniin. Näitä tietoja voivat olla nimet, sähköposti- ja postiosoitteet, puhelinnumerot, laskutus- ja tilitiedot sekä muut palveluiden tarjoamisen yhteydessä käsitellyt tekniset tiedot, jotka voidaan yhdistää käyttäjään tai hänen käytökseensä, laitteeseensa tai laitteensa käytökseen.

Muutokset

Tämä käytännön versio selkeyttää, päivittää ja korvaa edellisen version. Haluamme pitää tämän asiakirjan ajan tasolla jatkossakin, ja siksi teemme siihen muutoksia ja lisäyksiä silloin tällöin myös tulevaisuudessa.

Julkaisemme muutetun käytäntöasiakirjan Web-sivustollamme tai muussa vuorovaikutuspisteessä, jossa se on aiemmin ollut saatavilla. Jos muutokset ovat merkittäviä, saatamme ilmoittaa niistä myös muilla keinoin. Kaikki muutokset otetaan käyttöön sinä päivänä, jolloin julkaisemme uusitun käytäntöasiakirjan.

"Palvelut" viittaa WithSecuren valmistamaan tai jakelemaan palveluun tai tuotteeseen, ohjelmistot, Web-ratkaisut, työkalut ja niihin liittyvät tukipalvelut mukaan lukien.

"Web-sivusto" viittaa sivustoon WithSecure.com tai mihin tahansa muuhun Web-sivustoon, jota WithSecure isännöi tai hallinnoi, niiden alasivustot ja selainpohjaiset palveluportaalit mukaan lukien.

Elements Collaboration Protection

WithSecure™ Elements Collaboration Protection

Toukokuu 2021

Tiivistelmä

WithSecure Elements for Microsoft 365 on pilvipohjainen tietoturvapalvelu, joka on suunniteltu lieventämään organisaatioiden yrityssähköpostille aiheutuvia riskejä. Se suojaa Microsoft 365 ‑sähköpostiviestejä tehokkaasti sisäisiltä sähköpostiuhilta, kehittyneiltä tietojenkalasteluhyökkäyksiltä ja haitalliselta sisällöltä ja URL-osoitteilta. Näiden sähköpostiviestien lisäksi myös muut Exchange-kohteet, kuten tehtävät, kalenteritapaamiset, yhteystiedot ja muistilaput tarkastetaan haitallisen sisällön ja URL-osoitteiden varalta.

  • Tiedonkeruu painottuu haitallisen sisällön etsimiseen käyttäjien postilaatikoista, ei henkilötietojen hakemiseen
  • Suurin osa käsitellyistä ja kerätyistä tiedoista pysyy asiakasyrityksen Microsoft 365 ‑vuokraajassa

Täysimittainen lauseke

Tämä palvelukohtainen käytäntö keskittyy asioihin, joiden uskomme olevan tärkeimpiä sinulle. Tällaisia ovat erityisesti 1) palvelun keräämien henkilökohtaisten ja yksityisten tietojen tyyppi, 2) tietojen käyttötarkoitus, 3) meidän oikeutuksemme, 4) tyypilliset ilmoitukset ja 5) tietojen säilytysaika. Lisätietoja tällaisista aiheista sekä muista henkilötietojesi käsittelyyn liittyvistä asioista (rekisteröidyn oikeudet, yhteystiedot jne.) on myös saatavilla upotetuista linkeistä.

Käsiteltävät tiedot ja niiden käyttötarkoitus

Tietoturva

WithSecure Elements for Microsoft 365 käsittelee asiakkaan työntekijöiden Microsoft 365 ‑postilaatikoissa olevaa sisältöä, kuten sähköpostiviestejä, kalenteritapaamisia, tehtäviä, yhteystietoja ja ryhmiä. Postilaatikot on määritetty tietoturvakäytännössä ja niillä on voimassa oleva käyttöoikeus.

Näitä tietoja käsiteltäessä ratkaisu analysoi tiedostoliitteet, viestien tekstiosissa olevat Web-linkit (URL-osoitteet) ja jotkin viestien ylätunnisteiden osat. Tietoturvauhat tunnistetaan lähettämällä tiedostoliitteet ja URL-osoitteet WithSecuren Security Cloud ‑palveluun mainetarkistuksia ja kehittynyttä uhka-analyysia varten.

WithSecuren Security Cloud on pilvipohjainen uhka-analyysi- ja mainejärjestelmä, joka tarkistaa tiedot haitallisen sisällön varalta. Security Cloudiin lähetettävät tiedot muutetaan aina nimettömiksi, eikä niitä voida yhdistää tunnistettavissa olevaan henkilöön mitenkään.

Jos haitallista sisältöä (kuten haitallinen liite tai URL-osoite) havaitaan, ratkaisu siirtää tai kopioi koko objektin tai vaikutuksenalaiset osat piilotettuun karanteenikansioon, joka sijaitsee asiakkaan Microsoft 365 ‑vuokraajassa. Karanteenin asetettujen kohteiden, kuten käyttäjän postilaatikon, lähettäjän ja vastaanottajan osoitteiden, kohteen aiheen, kansion nimen ja haitallisen liitteen nimen ja URL.osoitteen, asiaankuuluvat ominaisuudet tallennetaan karanteenitietokantaan.

Jos käyttäjä hallinnoi ratkaisua WithSecure Elements for Microsoft 365 ‑portaalista, yhteystiedot (sähköpostiosoite) ja tunnistetiedot (käyttäjänimi, salasana) tallennetaan ja niitä käytetään järjestelmänvalvojan portaalikäytön hallintaan.

Tarkistuksen keräämien tietojen tulokset ilmoitetaan ratkaisua hallinnoiville käyttäjille WithSecure Elements for Microsoft 365 ‑portaalin kautta. Tuloksissa saattaa olla seuraavaa:

  • sen käyttäjäpostilaatikon nimi, josta haitallista sisältöä sisältänyt viesti tai kohde löytyi
  • lähettäjän sähköpostiosoite (viestin metatiedot)vastaanottajien sähköpostiosoitteet (viestin metatiedot)
  • viestin tai kohteen aihe (viestin metatiedot)
  • sähköpostiviestin ylätunnisteet (viestin metatiedot)
  • sen kansion nimi, josta haitallista sisältöä löytyi (viestin metatiedot)
  • niiden tiedostojen nimet, joista haitallista sisältöä löytyi haitallisiksi todetut Web-linkit (URL-osoitteet)

WithSecure käsittelee tietoja ja suojaa kohdeverkkoja, laitteita ja niissä olevia tietoja erityisesti:

  • estääkseen varmasti tai mahdollisesti haitallisen sisällön saapuvassa, lähtevässä ja sisäisessä sähköpostiliikenteessä
  • havaitakseen haitallista ja epäilyttävää toimintaa käyttäjien postilaatikoissa
  • tunnistaakseen muita uhkia ja tietoturvahyökkäyksiä, jotka kohdistuvat Microsoft 365 ‑palveluihin tai tulevat niiden kautta
  • analysoidakseen palveluja WithSecuren palvelujen tunnistusominaisuuksien parantamismielessä kerättyjä tietoturvatietoja painottaen kyseisen palvelun toimintojen, käytettävyyden ja tunnistusominaisuuksien parantamista

WithSecure Elements for Microsoft 365 ‑portaali kerää ei-tunnistettavissa olevaa telemetriatietoa sen ominaisuuksien käytöstä palvelun parantamiseksi. Järjestelmänvalvoja voi kieltää tietojen lähettämisen käytäntöasetuksissa.

WithSecure tarkistaa sähköpostiosoitteesi säännöllisesti tietovuotojen varalta. WithSecure pyytää kolmannen osapuolen toimittajaa tunnistamaan ja keräämään tietoja tietovuodoista, jotka liittyvät WithSecuren puolestasi tarkistamaan sähköpostiosoitteeseen.

Yhteydenotto

Asiakasyrityksen yhteyshenkilöiden tietojen käsittely on kuvattu Corporate Business ‑yksityisyyskäytännössä.

Laissa annetut edellytykset

WithSecure ja asiakasyritykset ovat omien, palvelujen puitteissa tarvittavien tietojensa ja niiden käsittelyn hallinnoijia.

Jos WithSecuren käsittelemät tiedot ovat yhdistettävissä henkilöön, palvelut käsittelevät tietoja seuraavien oikeutettujen etujen suojaamiseksi,

  • WithSecuren palvelujen toimittaminen, jotta asiakkaidemme verkot ja laitteet sekä niiden sisältämien tietojen luottamuksellisuus ja saatavuus voidaan turvata
  • sellaisten tietojen antaminen WithSecurelle, joiden avulla se voi havaita kaikkia asiakkaitaan uhkaavat uudet uhat ja tietoturvaan liittyvät suuntaukset, jotta palvelumme pysyvät kehittyvien uhkien tasolla
  • jotta WithSecure voi toimittaa keskitetyn tietoturvakehyksen useisiin maanosiin suurelle määrälle asiakkaita ja kumppaneita.

Palvelussa on käsiteltävä tietoja, jotta asiakasyrityksen Microsoft 365 ‑organisaatiossa olevat tiedot voidaan suojata tehokkaasti. Yksittäisen palvelun asetuksissa voi olla mahdollista määrittää, että Microsoft 365- / IT-järjestelmänvalvoja voi rajoittaa WithSecuren oikeutta käsitellä tietoturvatietoja, mutta tällaisia asetussäätöjä ei suositella, sillä ne vaarantavat edellä kuvatun palvelujen käyttötarkoitusten toteutumisen.

Tietojen siirtäminen ja paljastaminen

Hallintaportaalissa olevat tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa, olipa hän sisäinen tai ulkoinen. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecuren "jakelijakumppani") käytettävissä, jotta yrityksellesi voidaan tarjota palvelujemme tukea ja vastaavia IT-palveluja.

Lue lisää

Myynti ja toimitus

Vaihdamme (ilmoitamme ja vastaanotamme) joitakin henkilötietojasi sellaisten jakelukumppaneidemme (kuten IT-yrityspalvelujen jälleenmyyjien, operaattoreiden ja Web-kauppojen) kanssa, jotka ovat markkinoineet, jaelleet, hallinnoineet ja tukeneet palvelujamme. Annamme näiden yritysten käyttää tällaisia henkilötietoja sovittujen toimien toteuttamiseksi. Tietojen jakamisen tarkoituksena on saumattoman asiakaskokemuksen takaaminen. Tällaisia toimia ovat esimerkiksi asiakashallinta, palvelutuki ja ongelmanratkaisu, suoramarkkinointi ja laskutus.

Jakelukumppaneillamme on todennäköisesti jo asiakassuhde sinuun tai yrityspalvelutapauksissa työnantajaasi. Tällaiset kumppanit ja yritysasiakkaat käsittelevät henkilötietojasi itsenäisesti omien sovellettavien yksityisyyskäytäntöjensä mukaan. Jakelukumppaneidemme ja yritysasiakkaidemme on tästä huolimatta noudatettava myös erillisiä sopimuksia ja lainsäädäntöä henkilötietoja käsiteltäessä. Kukin taho on oletusarvoisesti itse vastuussa omasta henkilötietojen käsittelystään omissa käyttötarkoituksissaan.

Alihankinta

Henkilökohtaisia tietoja saatetaan siirtää tai ilmoittaa WithSecure-konsernin yrityksille ja palvelujen luontiin osallistuville alihankkijoille.

Jos asiakkaidemme henkilökohtaiset tiedot on siirrettävä tai ilmoitettava alihankkijoillemme, edellytämme heidän kanssaan tekemissämme sopimuksissa, että he käyttävät tällaisia tietoja ainoastaan palvelujen toimittamiseen (esimerkiksi tukitapauksen ratkaisemiseksi tai sen lähettämiseksi logistiikkakumppaneille tuotteen toimittamista varten tai markkinointiviestien lähettämiseksi). Edellytämme, että alihankkijamme käsittelevät tietojasi tässä kuvattujen lausuntojen mukaisesti.

Kansainväliset siirrot

WithSecure toimii maailmanlaajuisesti. Näin ollen osa tytäryhtiöistämme, alihankkijoistamme, jakelijoistamme ja kumppaneistamme sijaitsee Euroopan talousalueen ulkopuolella, mikä varmistaa palvelujemme maailmanlaajuisen saatavuuden. WithSecuren tytäryhtiöiden toimipaikat voi tarkistaa WithSecuren julkisilta verkkosivuilta

Kun siirrämme henkilökohtaisia tietoja Euroopan talousalueen ulkopuolelle, suojaamme henkilökohtaiset tiedot lain edellyttämällä tavalla. Toteutamme tämän määräämällä asianmukaiset tekniset ja sopimukselliset turvaohjeet asiaankuuluville alihankkijoille ja WithSecure-konsernin yrityksille esimerkiksi Euroopan unionin hyväksymiä tiedonsiirtoa koskevia lauseita käyttämällä. Näiden lauseiden sisältö on saatavilla täältä.

Maailmanlaajuisia tai rajoja ylittäviä tiedonsiirtoja tehdään vain hyvästä syystä ja tietosuojariskin arvioinnin jälkeen.

Säilytämme arkaluonteisia asiakastietoja Suomessa tai Euroopan talousalueella ja pidämme niitä hallinnassamme.

Tietojen muu käyttö ja ilmoittaminen

Tämä yksityisyyskäytäntö ei kata kaikkia tilanteita, joissa henkilötietojen käyttö tai ilmoittaminen ilman lupaasi tai palvelun toteutuksesta erillään on oikeutettua tai sallittua tai joissa niiden ilmoittamista edellytetään meiltä sovellettavan lain mukaan.

Yksi esimerkki on tuomioistuimen tai viranomaisten antaman määräyksen noudattaminen asiaankuuluvalla lainkäyttöalueella tietojen tuottamiseksi.

Samaan tapaan voi ilmetä muita tilanteita, joissa meillä on perusteltavissa oleva oikeutettu etu ilmoittaa tietoja rajatusti kolmannelle osapuolelle. Tällaisia ovat esimerkiksi tilanteet, joissa meidän on suojattava itseämme vastuulta tai estettävä petollista toimintaa, joissa analysoimme sinun toimestasi tapahtuvaa tuotteidemme käyttöä, jotta tuotteemme varmasti toimivat odottamallasi tavalla ja jotta voimme reagoida epäsuotuisiin kokemuksiin, joissa jatkuva ongelma on ratkaistava tai pidettävä kurissa tai joissa meidän on vastattava vakuutuksenantajiemme tai valtion viranomaisten tietopyyntöihin. Tällaisissa tilanteissa toimimme sovellettavien lakien mukaisesti.

Meidän on ehkä myös siirrettävä henkilökohtaisia tietoja osana yritystapahtumaa, kuten myyntiä, yrityskauppaa, yhtiöittämistä tai muuta WithSecuren yrityssaneerausta, jossa tiedot toimitetaan uudelle hallinnoivalle taholle osana normaalia liiketoimintaa. WithSecure-konserni ilmoittaa ja siirtää tietoja sisäisesti kulloisenkin toimintamallin edellyttämällä tavalla. Nämä ilmoitukset rajataan kuitenkin sisäisesti vain kyseiseen konserniin kuuluville yrityksille, yksiköille, tiimeille ja henkilöille, jotka tarvitsevat kyseisiä tietoja niiden käsittelyyn.

Harkitsemme kutakin ilmoitustarvetta huolellisesti ja otamme tällaiset ilmoituspyynnöt huomioon, kun päätämme missä ja miten säilytämme henkilötietojasi.

Lähteet

Keräämme suurimman osan edellä kuvatuista tiedoista suoraan sinulta tai laitteestasi, mutta voimme saada tietoja myös tytäryhtiöiltämme, jakelukumppaneiltamme (kuten operaattoreilta) ja yrityksiltä, joilta olet ostanut palveluja. Nämä toimijat voivat olla jälleenmyyjiämme tai ulkoisia verkkokauppakumppaneitamme. Lisäksi saamme joitakin henkilökohtaisia tietoja (ostoksiin liittyviä tilaustietoja) ja koostettuja analyysitietoja sovelluskaupoilta, joissa tuotteitamme myydään. Lähteinämme voivat toimia myös alihankkijamme, jotka tarjoavat sinulle tukipalveluja, ja mainoskumppanimme, jotka auttavat meitä markkinointimme toteuttamisessa.

Toimimme näin, jotta voisimme tarjota saumattoman asiakaskokemuksen ja jotta käytettävissämme olisi aina tiedot, joita tarvitsemme tukipalvelujen antamisessa sinulle.

Tyypillisiä esimerkkejä kolmansien osapuolten lähteistä:

  • tiedot ulkoisessa verkkokaupassamme tehdystä ostoksesta,
  • saamme tunnistetietosi palvelumme sinulle tarjoavalta operaattorikumppaniltamme aiemmin antamistasi kirjautumistiedoista, jotta voimme toimittaa palvelumme sinulle suoraan
  • yrityspäätösrekisteristä markkinointitarkoituksessa saadut yhteystiedot ja
  • kun käytät sosiaalisen median tiliä palveluihimme rekisteröitymiseen, saamme tilitiedoistasi sähköpostiosoitteen, jotta voimme todentaa rekisteröintisi ja olla yhteydessä sinuun.

Kolmannet osapuolet

Palvelumme toimitetaan yhdessä kumppaneidemme kanssa, ja palveluihimme ja sivustoihimme saatetaan upottaa kolmansien osapuolten palveluja tai ne saattavat toimia yhdessä palvelujemme ja sivustojemme kanssa. Tämä tietosuoja-asiakirja koskee henkilötietoja vain, kun kyseiset tiedot ovat WithSecuren vaikutusalueella. Jos jokin muu taho käsittelee henkilötietojasi omissa tarkoituksissaan, tämä toinen osapuoli on vastuussa henkilötietojesi käsittelystä käytäntöjensä mukaan asianmukaisella tavalla sekä tietosuojalakien alaisten oikeuksiesi täyttymisestä.

Tällaisia tilanteita ovat yleensä seuraavat:

  • Web-kauppa. Web-kauppamme toteutus on osittain kolmannen osapuolen jälleenmyyjän vastuulla. Rekisteröintivaiheessa antamiasi tietoja käsitellään WithSecuren käytäntöjen mukaisesti, mutta itse ostotoimenpiteeseen ja siihen liittyviin toimiin sovelletaan Web-kauppamme toimittajien käytäntöjä.
  • Laitteen sijaintikyselyt. Jos pyydät laitteen sijaintia palvelujemme kautta, karttapalvelun tarjoajan on käsiteltävä maantieteellisiä tietoja. Tämän käytännön julkaisuhetkellä WithSecure käyttää Googlen karttapalveluja laitteen sijainti- ja hakupalveluissa. Näitä ominaisuuksia käytettäessä sovelletaan Googlen yksityisyyskäytäntöjä.

Tietojen säilytys

Asiakkaan hallinnoimat tiedot

Karanteeniin asetetut kohteet ja niihin liittyvät ominaisuudet poistetaan asiakkaan määrittämän käytännön mukaisesti.

WithSecuren hallinnoimat tiedot

Tietoja säilytetään palvelun asiakkaan kanssa tehdyn palvelusopimuksen keston mukaan. Tiedot ovat tarkasteltavissa WithSecure Elements for Microsoft 365 ‑portaalissa tänä aikana. Kun asiakkaan kanssa tehty palvelusopimus tai käyttöoikeus päättyy, näitä tietoja säilytetään WithSecuren tallennustilassa 4 kuukautta ennen niiden lopullista poistoa tai muuttamista nimettömäksi.

Nimettömiä suojaustietoja ja tilastotietoja säilytetään WithSecuren palvelimilla niin kauan kuin tiedoista on hyötyä niiden alkuperäisessä keräystarkoituksessa.

Muita edellä kuvattuja tietotyyppejä (eli teknisen tuen tiedot, yhteystiedot) säilytetään niiden yksityisyyskäytännöissä eritellyn ajan, minkä jälkeen ne poistetaan tai muutetaan nimettömiksi.

Lue lisää

Tämä teksti täydentää palvelukohtaisia säilytysaikoja. Lainmukainen oletussääntö on, että henkilötiedot poistetaan ja muutetaan yksilöimättömiksi, kun niitä ei enää tarvita alkuperäisessä käyttötarkoituksessa.

Joitakin henkilötietoja on kuitenkin säilytettävä vaihtelevasti pidempään erinäisistä syistä.

Ensisijaisista säilytysajoista poiketaan tyypillisesti esimerkiksi seuraavista syistä:

  • siirtymäkaudet ja varmuuskopiot (esim. henkilötietojen säilyttäminen määrätyn ajan tilauksen päättymisen jälkeen, jotta tiedot voidaan suojata vahingossa tapahtuvalta poistolta)
  • tietojen säilyttäminen sovellettavien lakien edellyttämällä tavalla (esim. ostoksen ja palveluistamme tehtyjen maksujen seuraamiseksi)
  • oikaisuvaihtoehtojen tutkiminen tai meille mahdollisesti aiheutuvien vahinkojen rajoittaminen (esim. keskeneräisestä kiistasta tai tutkimustyöstä johtuen)
  • toistuvan ongelman ratkaiseminen tai kurissa pitäminen tai riittävän tiedon kerääminen tulevien ongelmien käsittelemiseksi (esim. tekemäsi tukipyyntö, joka liittyy asiakkuutesi aikana ratkaisematta jääneeseen ongelmaan)
  • petosten estäminen (esim. yhteisömme käyttökiellon valvominen)
  • henkilötietojen lisääminen muihin tietoihin jostakin toissijaisesta syystä (esim. lokien säilytys)
  • muut vastaavat tilanteet, joissa on tarvetta henkilötietojen jatkuvalle säilyttämiselle.

Tilisi lopullinen poistaminen saattaa viivästyä, jotta muut vuorovaikutustapahtumat eivät häiriinny. Tämä koskee WithSecure-tilin luoneita (esim. kuluttajapalveluja sähköpostiosoitteella tilanneita), joilla on myös i) tili WithSecuren yhteisössä tai jotka ii) jatkavat markkinointiviestiemme tilaamista. WithSecuren yhteisön tilin poistokäytäntö on määritetty sen palveluehdoissa. Voit peruuttaa markkinointiviestiemme tilauksen milloin tahansa.

Jos olet ostanut palvelun operaattorikumppaniltamme, kumppani vastaa tilin poistamisesta. Kun kumppani ilmoittaa meille, että tilauksesi on päättynyt, WithSecure poistaa tilin. Tämä poisto poistaa kaikki tiliin liittyvät tiedot tai muuttaa ne yksilöimättömään muotoon.

Jos olemme saaneet tietosi teknisen tuen toimittamisen yhteydessä, tietoja säilytetään niin kauan kuin kyseinen tukitapaus on selvittämättä. Kun tapaus on ratkaistu, tiedot poistetaan vähitellen tai muutetaan yksilöimättömiksi viimeistään kahden vuoden kuluttua tapauksen sulkemisesta.

Käyttäjän luvalla kerättyjä analytiikkatietoja säilytetään tilastointimielessä, eikä niitä poisteta henkilökohtaisten tietojen ja käyttäjätilin poiston yhteydessä. Analytiikkatiedot muutetaan yksilöimättömiksi siten, että niitä ei voida yhdistää tilin lopettamisen jälkeen mihinkään käyttäjään eikä tiliin.

Tietoja, jotka eivät sisällä henkilökohtaisia tietoja (esim. kootut analyysitiedot), säilytetään niin kauan kuin niitä tarvitaan ja niiden katsotaan olevan hyödyllisiä käyttötarkoituksessaan.

Tietoturva

Tiedot tietoturvakäytännöistä, joilla suojaamme tietosi.

Lue lisää

Noudatamme tiukkoja turvatoimia suojataksemme henkilökohtaisten tietojesi luottamuksellisuuden, eheyden ja saatavuuden, kun siirrämme, tallennamme ja käsittelemme niitä.

Käytämme fyysisiä, hallinnollisia ja teknisiä suojaustoimenpiteitä pienentääksemme henkilökohtaisten tietojesi hävikin riskiä ja vähentääksemme väärinkäytöksiä sekä luvatonta käyttöä, julkaisua tai muokkausta.

Kaikki henkilötiedot tallennetaan WithSecuren tai kumppaneidemme hallinnoimille suojatuille palvelimille, joita vain valtuutettu henkilökunta voi käyttää rajatusti.

Oikeutesi

Tiedot lainmukaisista oikeuksistasi ja yhteydenotosta WithSecureen.

Lue lisää

Sinulla on oikeus päästä sinua koskeviin tietoihin, joita säilytämme. Sinulla on erityisesti seuraavat oikeudet säilyttämiimme henkilötietoihisi:

  • Pääsy ja oikaisu. Sinulla on oikeus kysyä, mitä henkilötietojasi säilytämme, ja pyytää kopiota tiedoista, joiden tiedämme koskevan sinua tässä kontekstissa. Jos havaitset kyseisissä tiedoissa virheitä (esim. vanhentuneita tietoja), kehotamme ottamaan yhteyttä asiakaspalveluun. Voit päivittää asiakastietojasi myös itse joissakin palveluportaaleissamme. Päivitä niihin kaikki henkilötietojesi muutokset, kuten osoitteenmuutos tai sähköpostiosoitteen vaihto. Jos et voi päivittää muutoksia itse, voit ilmoittaa meille tarvittavista muutoksista.
  • Vastalause. Sinulla on oikeus esittää vastalause tietyille henkilötietojen käsittelytoimille, kuten markkinointitarkoituksissa tehtävälle käsittelylle tai muutoin laillisin perustein tehtävälle käsittelylle. Jälkimmäisessä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet vastalauseellesi.
  • Oikeus tulla unohdetuksi. Sinulla on myös oikeus pyytää meitä lopettamaan henkilötietojesi säilyttäminen ja poistamaan ne. Tässä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet pyynnöllesi.
  • Siirrettävyys. Sinulla on myös oikeus pyytää itse antamiasi henkilötietoja, joita käsitellään sopimuksen tai antamasi suostumuksen mukaisesti. Voit pyytää tietoja rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää, että tiedot siirretään jollekin toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.
  • Suostumuksen peruminen. Jos käsittely perustuu antamaasi suostumukseen, sinulla on oikeus perua se milloin tahansa asiaankuuluvien asetusten kautta. Henkilöön yhdistettävissä olevien palveluanalytiikkatietojen asetukset ovat palvelun käyttöliittymässä. Sinulla on myös oikeus peruuttaa markkinointiviestien tilaus oletusasetuskeskuksessa, johon voi siirtyä linkin kautta.
  • Rajoittaminen. Jos havaitset, että sinua koskevat tiedot ovat virheellisiä tai että meillä ei ole laillista oikeutta käyttää niitä, voit pyytää meitä lopettamaan henkilötietojesi käsittelyn ja pelkästään säilyttämään tietoja, kunnes ongelma on ratkaistu.

Voit pyytää oikeuksiasi asiakaspalvelutoimintomme kautta. Yhteydenottolinkit löytyvät "Yhteystiedot"-osiosta.

Huomaa, että joissakin tilanteissa luottamuksellisuuteen liittyvät velvoitteemme, oikeutemme pitää ammattisalaisuuksia ja/tai velvoitteemme toimittaa palvelujamme (esim. työnantajallesi) saattavat estää meitä julkaisemasta tai poistamasta henkilötietojasi tai muutoin estää sinua käyttämästä oikeuksiasi. Yllä kuvatut oikeutesi riippuvat myös laillisista perusteista, joiden mukaan käsittelemme henkilötietojasi.

Jos haluat valittaa henkilötietojesi käsittelystä tai tarvitset lisätietoja, voit ottaa yhteyttä meihin milloin tahansa. Jos uskot, että lainmukaiset oikeutesi eivät toteudu, voit tehdä valituksen asiaa valvovalle viranomaiselle. Tämä viranomainen on useimmissa tapauksissa tietosuojavaltuutettu (www.tietosuoja.fi).

Yhteystiedot

Jos sinulla on kysyttävää yksityisyydensuojakäytännöistämme, ota yhteyttä:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Suomi

Yhteyden ottaminen:

Yleistä

Tiedot määritelmistä ja muutostenhallinnasta.

Lue lisää

Määritelmät

Tässä ovat määritelmät tässä käytännössä käyttämistämme termeistä.

"Asiakas" tai "sinä" viittaa yksityiseen käyttäjään tai yrityskäyttäjään tai johonkin muuhun tietoja välittävään tahoon, joka ostaa palvelujamme, rekisteröi niitä käytettäväksi tai käyttää niitä, jonka laitteita ja tietoliikennettä palvelumme suojaavat tai joka on saattanut lähettää henkilökohtaisesti tunnistettavissa olevia tietoja meille. Nämä tiedot on saatettu lähettää käyttämällä palvelujamme, Web-sivustojamme, puhelinta, sähköpostia, rekisteröintilomakkeita tai muita vastaavia kanavia.

"Henkilökohtaiset tiedot" tai "henkilötiedot" viittaa yksityisiä henkilöitä koskeviin tietoihin, jotka ovat yhdistettävissä heihin tai heidän perheensä tai taloutensa jäseniin. Näitä tietoja voivat olla nimet, sähköposti- ja postiosoitteet, puhelinnumerot, laskutus- ja tilitiedot sekä muut palveluiden tarjoamisen yhteydessä käsitellyt tekniset tiedot, jotka voidaan yhdistää käyttäjään tai hänen käytökseensä, laitteeseensa tai laitteensa käytökseen.

"Palvelut" viittaa WithSecuren valmistamaan tai jakelemaan palveluun tai tuotteeseen, ohjelmistot, Web-ratkaisut, työkalut ja niihin liittyvät tukipalvelut mukaan lukien.

"Web-sivusto" viittaa sivustoon withsecure.com tai mihin tahansa muuhun Web-sivustoon, jota WithSecure isännöi tai hallinnoi, niiden alasivustot ja selainpohjaiset palveluportaalit mukaan lukien.

Muutokset

Tämä käytännön versio selkeyttää, päivittää ja korvaa edellisen version. Haluamme pitää tämän asiakirjan ajan tasolla jatkossakin, ja siksi teemme siihen muutoksia ja lisäyksiä silloin tällöin myös tulevaisuudessa.

Julkaisemme muutetun käytäntöasiakirjan Web-sivustollamme tai muussa vuorovaikutuspisteessä, jossa se on aiemmin ollut saatavilla. Jos muutokset ovat merkittäviä, saatamme ilmoittaa niistä myös muilla keinoin. Kaikki muutokset otetaan käyttöön sinä päivänä, jolloin julkaisemme uusitun käytäntöasiakirjan.

Cloud Protection for Salesforce

WithSecure™ cloud protection for salesforce privacy policy

May 2019

 

In brief

WithSecure Cloud Protection for Salesforce is a cloud-based security solution that is designed to complement and extend the native security capabilities of the Salesforce platforms. The service protects organizations against threats posed by files and web links (URLs) uploaded to or shared via the Salesforce cloud.

The core privacy aspects of this service are:

  • the focus of data collection is on the customer company's Salesforce organization, not on individuals;
  • much of the processed and collected data remains in the customer company's Salesforce organization;
  • when data is sent to WithSecure Security Cloud, it is anonymous to WithSecure by design;
  • the customer company's Salesforce or IT administrator has access to the data collected in identifiable format.

In full

This service-specific policy focuses on the items we believe are the most relevant for you. Such items are in particular 1) the type of personal and private data that the service collects, 2) what we use it for, 3) our justification, 4) typical disclosures, and 5) for how long we store it. More information on such topics as well as on other aspects (data subject rights, contact information, etc.) of the processing of your personal data is also available via the embedded links.

What data is collected and what it is used for

Security

The solution is composed of a native Salesforce application and WithSecure's Security Cloud.

The WithSecure Cloud Protection application is installed in the customer company's Salesforce organization. The application inspects all files uploaded and stored as Salesforce Files or Attachments with standard or custom objects in the Salesforce platform. For advanced malware analysis, the WithSecure Cloud Protection application may send the actual content of files of unknown reputation to WithSecure's Security Cloud. Such contents are scanned in WithSecure's Security Cloud and deleted near-instantaneously after the analysis. See the ‘Retention' section for more information. It is possible to disable sending the actual content of files via the privacy control settings available in the application's configuration.

Web links (URLs) are inspected only in a few standard objects such as Chatter messages, Chatter comments, Case descriptions, Case comments, and EmailMessage bodies. To check the security reputation and classification of web links, the WithSecure Cloud Protection application sends them to WithSecure's Security Cloud. The application does not send actual message or body texts that contain web links.

WithSecure's Security Cloud is a cloud-based threat analysis and reputation system that scans data for any malicious or harmful content. Data sent to Security Cloud is always anonymized and cannot be connected to an individual user in any way.

Of the data collected by the scanning activity, the results are made available to the customer company's Salesforce or IT administrators via alerts and scan event logs. The results may include but not limited to:

  • User name (given and surname)
  • IP address of the network or device of origin for content uploaded to or downloaded from Salesforce
  • Timestamp when content was accessed (uploaded or downloaded)
  • Name, type, and size of file accessed (uploaded or downloaded)
  • Location (name of standard or custom object) that a file is associated with or attached to
  • Target web links (URLs) and their categories (e.g. gambling)

The customer company's Salesforce or IT administrator is likely able to link an employee's identity with the above results provided by the service. This is necessary so that administrators can react to security issues detected by the service, for example. WithSecure does not have access to this data in a format that could be personally identifiable.

Technical support

If the service does not work as intended and there are no workarounds for the problem, the customer company's Salesforce or IT administrator may utilize WithSecure's expertise to investigate and resolve issues. In such rare cases, WithSecure's support engineers may log in and access data in the customer company's Salesforce organization remotely via the support tool provided by Salesforce. The remote login access is explicitly granted by the customer company's Salesforce administrator and is always time-limited.

When investigating problems with the WithSecure service via remote login access, no data except debug logs relevant to the WithSecure service are collected from the customer company's Salesforce organization. WithSecure is the controller for such data.

Contact

The contact data of the customer company's contact persons is processed as explained in the corporate business privacy policy.

Legal grounds

Both WithSecure and each customer company operate as independent controllers over their respective areas of data processing that takes place in the context of the services.

To the extent that the data processed by WithSecure in the services is identifiable to an individual, the services process data to safeguard the following legitimate interests;

  • providing WithSecure services to secure our customers' networks and devices as well as the confidentiality and availability of the data therein;
  • enabling WithSecure to detect emerging threats and security-relevant trends among all of its customers, so that our services can keep on par with evolving threats;
  • enabling WithSecure to provide a centralized security service framework across multiple continents to a large number of customers and partners.

The data processing undertaken by the service is mandatory for the efficient protection of customer company data in its Salesforce organization. While the individual service's settings may enable an Salesforce/IT administrator to limit the processing of security data by WithSecure, such adjustments are not recommended, as they endanger achieving the above intended purposes of the services.

Transfers and disclosures

The security data produced by the service is visible to the customer company's Salesforce and/or IT administrator for its determined purposes. If the company has outsourced its Salesforce/IT administration, including the monitoring of this service, that data may also be available to such outsourcing partner.

Sales and delivery

We exchange (both disclose and receive) some of your personal data with our distribution partners (resellers of corporate IT services, operators, webstores, etc.), who market, distribute, administer, and support our services. We provide these companies access to such personal data that they may need for their agreed activities. The logic of this data sharing is to provide a seamless customer experience. This includes activities such as customer management, service support, incident management and problem resolution, direct marketing, and invoicing.

Our distribution partners are likely to have a pre-existing customer relationship with you or — in the case of our corporate services — with your employer. Such partners and corporate customers process your personal data as an independent entity, based on their applicable privacy policies. Regardless, our distribution partners and corporate customers must also comply with the agreements and legislation when handling your personal data. Each such entity is by default independently responsible for its own treatment of personal data, for its own purposes.

Subcontracting

We may transfer or disclose some of your personal data to WithSecure group companies and our subcontractors who help us create the services.

Where our clients’ personal data needs to be transferred or disclosed to our subcontractors, we require, in our contracts with them, that they use such information solely for providing their agreed services (for example, to solve a support case, to send it to logistics partners for product delivery, or to send marketing mails on our behalf). We require our subcontractors to process data pertaining to you in a manner that is consistent with our statements herein.

International transfers

WithSecure operates globally. Consequently, some of our affiliates, subcontractors, distributors, and partners are located outside the European Economic Area to ensure the global reach and availability of our services. The locations of WithSecure affiliates can be viewed from WithSecure’s public web pages

When we transfer personal data outside the European Economic Area, we secure such transfers of personal data according to the requirements of the law. We do this by imposing appropriate technical and contractual safeguards on relevant subcontractors and WithSecure group companies, for example by using data transfer clauses that are approved by the European Union — the fixed content of such clauses is available here.

We only do global or cross-border data transfers for a good reason and after assessing the resulting privacy risk.

We store more sensitive customer data within Finland or the European Economic Area and keep it under our own control.

Other uses and disclosures

There are circumstances not covered by this privacy policy where the use or disclosure of personal data may be justified or permitted, or where we may be obligated by applicable laws to disclose information without acquiring your consent or independent of service provisioning.

One example includes complying with a court order or a warrant issued by the authorities in the relevant jurisdiction to compel the production of information.

Similarly, there may be other circumstances where there is a justifiable legitimate interest to disclose limited sets of information to a third party. Examples of such disclosures include cases where we need to protect ourselves against liability or to prevent fraudulent activity, where we analyze your use of our products to ensure that our products are working the way you would expect them to and that we are able to react to adverse experiences, where it is necessary to solve or contain an ongoing problem, or where we need to meet the legitimate information requirements of our insurers or governmental regulatory agencies. In any such action, we will act according to the applicable laws.

We may also need to transfer your personal data as part of a corporate transaction, such as a sale, merger, spin-off, or other corporate reorganization of WithSecure, where the information is provided to the new controlling entity in the regular course of business. WithSecure group discloses and transfers data internally as required by our then current operational model. We do, however, limit the disclosures internally to only those group companies, units, teams, and individuals who have a need to know such information for the intended purposes of processing it.

We weigh each disclosure requirement carefully and take the possibility of such disclosure requests into account when deciding where and how we store your personal data.

Sources

While we collect the majority of the above-mentioned data directly from you or your device, we also receive data from our affiliates, distribution partners (such as operators and retailers), and corporate entities from whom you have purchased the services. Such entities may be our resellers, but also include our external webstore partners. We also acquire some basic personal data (order data on purchases) and aggregate analytical data from app stores in which our services are sold. Such other sources may further include subcontractors who have provided you with support for our services, or advertising partners who have assisted us in conducting our marketing activities.

We do this to create a seamless customer experience and to have the necessary information for solving support cases.

Typical examples of third-party sources are:

  • information on your purchase made in our external webstore,
  • we acquire your credentials from previous sign-in data from our operator reseller partner, so that we can provide our service to you directly,
  • we acquire your contact data from corporate decision-maker registries for marketing purposes, and
  • when you use your social media account to register to our services, we collect the email address from your account to enable us to authenticate your registration and to contact you.

Third parties

Our services are provided in conjunction with our partners and our services and websites may embed or interoperate with third-party services. This privacy document only applies to personal data as long as that data is within WithSecure’s realm of influence. Where your personal data is processed by other entities for their independent purposes, such other party is responsible for processing your personal data in a justified manner in accordance to their policies as well as for fulfilling your rights under data protection laws.

The most prevalent such scenarios are the following:

  • Webstore. Our webstore is partially run by a third-party reseller. While the data you enter in the registration phase is handled under WithSecure policies, our webstore providers’ policies apply to the actual purchase and related activities.
  • Device location queries. When you query the location of your device via our services, the provider of maps needs to process the related geographical data. On the publication date of this policy, WithSecure uses Google maps in our device location and search features. Google privacy policies shall apply accordingly to your use of the features.

Retention

Data controlled by the customer

Results of scanning activity, such as alerts as well as file and URL scanning events, are stored inside the customer company's Salesforce organization depending on the retention intervals configured in the WithSecure Cloud Protection application. The customer company's Salesforce or IT administrators can delete them at any time and make backups if/as needed.

Data controlled by WithSecure

Anonymized security data and service statistics are stored without a set end date as long as the data is useful for the purpose it was collected for. As an exception, and to protect the confidentiality and privacy of the corporate customer's file contents, the service automation deletes any contents that are not found to be suspicious near-instantaneously after analysis.

The other data types (i.e. technical support data, contact information) mentioned above are stored for the duration given in their respective privacy policies, after which they are deleted or anonymized.

Learn more

This text complements the service-specific retention times. The default rule under the law is that personal data should be deleted or anonymized once it is no longer needed for its purpose.

However, some personal data needs to be nonetheless stored for longer periods of varying lengths due to varying reasons.

Typical reasons why we deviate from the primary retention times include the following examples:

  • grace periods and backups (e.g. keeping your personal data stored for a designated time after the end of your subscription, so that we can safeguard the data against erroneous deletion);
  • applicable laws require us to store the data (e.g. to keep track of the purchase and payment of our services);
  • to pursue available remedies or to limit any damages that we may sustain (e.g. due to an ongoing dispute or investigation);
  • to solve or contain a recurring problem or to have enough information to respond to future issues (e.g. your support ticket related to a problem that was not permanently corrected during your customership);
  • to prevent fraudulent activity (e.g. to enforce a ban on our community);
  • your personal data is incorporated to other data for a secondary purpose (e.g. retaining logs);
  • other similar circumstances, where there continues to be a legitimate need for the ongoing storage of personal data.

The final removal of your account may be delayed to avoid disturbing the other interactions you have with us. This is the case when you have an WithSecure account (e.g. you have subscribed to our consumer services with your email address) and also i) have an WithSecure Community account or ii) you continue to subscribe to our marketing messages. The WithSecure Community account deletion policy is set out in its terms of service. You can opt out from our marketing messages at any time.

If you have purchased our service via one of our operator partners, account deletion is controlled by said operator partner. Upon the partner notifying us that your subscription has been terminated, WithSecure subsequently removes the account. This removal leads to the deletion or anonymization of any personal data related to the account.

If we have received your information when providing you with technical support, the information is stored as long as the respective support case remains unsolved. Once solved, the information is gradually deleted or anonymized within two years from closing the case.

Analytics data collected with the user’s consent is retained for statistical purposes and is not deleted on removal of personal data and the user account. After termination of the account, analytics data cannot be linked to any personally identifiable user.

Data that does not contain personal data (e.g. aggregate analytical data) is retained as long as such data continues to be useful for the purpose it was collected.

Security

Information on the security practices that we employ to keep your data secure.

We apply strict security measures to protect the confidentiality, integrity, and availability of your personal data when transferring, storing, or processing it.

We use physical, administrative, and technical security measures to reduce the risk of loss, misuse, or unauthorized access, disclosure, or modification of your personal data.

All personal data is stored on secure servers operated by WithSecure or our partners with access limited to authorized personnel only.

Your rights

Information on your statutory rights and how to contact us.

Learn more

You have the right to the data that we have on you. In particular, you have the following rights to the personal data that we hold on you:

  • Access and rectification. You have the right to ask us what personal data we have on you and to get a copy of the data that we can identify pertaining to you in this context. Should you find any errors (e.g. obsolete information) in such data, we urge you to contact our customer care to resolve the issue. Some of our service portals allow you to update your customer information. For such, you should update any changes to your personal data, for example change of address or email address. If you cannot update the changes yourself, you may inform us of the necessary changes.
  • Objection. You are entitled to object to certain processing of personal data, including for example the processing of your personal data for marketing purposes or when we otherwise base our processing of your data on a legitimate interest. In the latter case, you need to establish a legally valid rationale for your objection.
  • Right to be forgotten. You also have the right to request us to cease storing your personal data and erase it. In this case you need to establish a legally valid rationale for your request.
  • Portability. You also have the right to ask for personal data that you yourself have provided — pursuant to a contract or your consent. You may request the data in a structured, commonly used, and machine-readable format and further that the data is transmitted to another controller, where technically feasible.
  • Withdrawing consent. In cases where the processing is based on your consent, you have the right to withdraw your consent at any time via relevant settings. For identifiable service analytics data, you can find the settings in the service user interface. You also have the right to opt out from our marketing communications via the preference center accessible through the link.
  • Restriction. If you establish that the data we have on you is incorrect or we have no legal right to use it, you may request that we cease any further processing of your personal data, and merely keep it in store until the issue is resolved.

You can exercise your rights via our customer care function. The links to contact us are in the “Contact information” section.

Note that there may be situations where our confidentiality obligations, our right of professional secrecy, and/or our obligations to provide our services (e.g. to your employer) may prohibit us from disclosing or deleting your personal data or otherwise prevent you from exercising your rights. Your above rights are also dependent on the legal grounds based on which we process your personal data.

If you have any complaints about how we process your personal data, or would like further information, please contact us at any time. If you feel that we are not enabling your statutory rights, you have the right to lodge a complaint with a supervisory authority. In most cases, this authority is the Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Contact information

If you have any questions or concerns about the matters discussed in our privacy policies, please contact:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

How to contact us:

  • If you are a client of our consumer line of products, please contact us via our consumer support channels.
  • If you are a client of our corporate line of products, please contact us via corporate support channels.
  • You can contact WithSecure’s Data Protection Officer by sending a message to privacy@WithSecure.com. If you wish to exercise your rights as a data subject, please use the above links instead.

General

Information on definitions and change management.

Definitions

This is what we mean when we make certain references within this policy.

“Client”, “you”, refers to a private or corporate user or any other data subjects who buy, register for use, or use our services, whose devices and data traffic are protected by our services, or who may have submitted personally identifiable information to us. This information may have been submitted through the use of our services, websites, telephone, email, registration forms, or other similar channels.

“Personal data” refers to any information on private individuals that is identifiable to them or their family or household members. This information may include names, email and mailing addresses, telephone numbers, billing and account information, and other, more technical information that can be linked to you, your device, or the behavior of either, that we process while providing our services.

“Services” refer to any services or products that are manufactured or distributed by WithSecure, including software, web solutions, tools, and related support services.

“Website” refers to the WithSecure.com website or any other website that WithSecure hosts or controls, including subsites and browser-based service portals.

Changes

This version of the policy clarifies, updates, and replaces the previous version. To continue keeping this document up to date, we will make changes and additions to this from time to time also in the future.

We will publish the changed policy document on our website or at another interaction point where it has previously been made available. If the changes are significant, we may also notify you by other means. Any changes will apply starting from the date that we publish the revised policy document.

 

Consulting Services (PCI)

Withsecure™ consulting services privacy policy (payment card industry)

September 2019

In brief

This privacy policy sets out the data processing related to WithSecure consulting services regarding Payment Card Industries (hereon PCI) criteria. These services include Data Security Standard (hereon DSS) and 3 Domain Security (hereon 3DS) assessments. The core privacy aspects of these service are:

  • PCI DSS and 3DS security standards require the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years;
  • This evidence data is collected from the organization being assessed (the customer), and might include personally identifiable information;
  • Evidence data of the assessment is stored for the needs of the PCI Security Standard Council quality assurance program and is used to verify
  • WithSecure's judgement of the performed assessment, if requested by the council;
  • Evidence data is not shared with any other parties except PCI Security
  • Standard Council or their appointed auditors.

In full

This service-specific policy focuses on the items we believe are the most relevant for you. Such items are in particular 1) the type of personal and private data that the service collects, 2) what we use it for, 3) our justification, 4) typical disclosures, and 5) for how long we store it. More information on such topics as well as on other aspects (data subject rights, contact information, etc.) of the processing of your personal data is also available via the embedded links.

What do we collect and what do we do with it?

Collected evidence from the organization being assessed

During the PCI DSS or 3DS assessment, we collect evidence from the assessed organization's information systems and related devices. We also conduct documented interviews with customer organization personnel. This data is used to showcase that the organization being assessed has built its security controls to match the requirements of PCI DSS and/or 3DS, and that they are capable of performing security management processes and procedures as is required of them:

  • Screen captures of management systems;
  • Security log exports;
  • Configuration exports from the security infrastructure devices; and
  • Internal documentation of the customer organization.

Certain PCI DSS/3DS security controls require personally identifiable evidence items to be collected (for example to ensure fulfillment of audit trail requirements), others might include unintentional personally identifiable information (such as identifiable names in device configuration exports).

  • Third-party service providers' employee data; In case the organization being assessed uses third-party services to support, develop, or maintain parts (or all) of their PCI DSS/3DS-related information systems or related processes, evidence collection might include collecting personally identifiable information of third-party personnel.

Legal grounds

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. Therefore WithSecure has a legitimate interest in collecting the evidence data, as it is necessary in order for WithSecure to provide customers with PCI DSS/3DS-related services.

For collected evidence data that WithSecure receives during the PCI DSS/3DS assessments and stores as defined in this privacy policy, WithSecure acts as a controller of the data.

During assessments, only the necessary amount of personal data is collected in order to fulfill the assessment requirements set by the PCI Security Standards Council.

Disclosures

Evidence data is stored for the needs of the PCI Security Standard Council quality assurance program and to possibly verify WithSecure's judgement of the performed assessment.

Evidence data is not shared with any external parties, except upon written request to PCI Security Standard Council or their appointed forensics investigators.

WithSecure further employs its own affiliates and subcontractors so that we can provide our services globally.

Sales and delivery

We exchange (both disclose and receive) some of your personal data with our distribution partners (resellers of corporate IT services, operators, webstores, etc.), who market, distribute, administer, and support our services. We provide these companies access to such personal data that they may need for their agreed activities. The logic of this data sharing is to provide a seamless customer experience. This includes activities such as customer management, service support, incident management and problem resolution, direct marketing, and invoicing.

Our distribution partners are likely to have a pre-existing customer relationship with you or — in the case of our corporate services — with your employer. Such partners and corporate customers process your personal data as an independent entity, based on their applicable privacy policies. Regardless, our distribution partners and corporate customers must also comply with the agreements and legislation when handling your personal data. Each such entity is by default independently responsible for its own treatment of personal data, for its own purposes.

Subcontracting

We may transfer or disclose some of your personal data to WithSecure group companies and our subcontractors who help us create the services.

Where our clients’ personal data needs to be transferred or disclosed to our subcontractors, we require, in our contracts with them, that they use such information solely for providing their agreed services (for example, to solve a support case, to send it to logistics partners for product delivery, or to send marketing mails on our behalf). We require our subcontractors to process data pertaining to you in a manner that is consistent with our statements herein.

International transfers

WithSecure operates globally. Consequently, some of our affiliates, subcontractors, distributors, and partners are located outside the European Economic Area to ensure the global reach and availability of our services. The locations of WithSecure affiliates can be viewed from WithSecure’s public web pages

When we transfer personal data outside the European Economic Area, we secure such transfers of personal data according to the requirements of the law. We do this by imposing appropriate technical and contractual safeguards on relevant subcontractors and WithSecure group companies, for example by using data transfer clauses that are approved by the European Union — the fixed content of such clauses is available here.

We only do global or cross-border data transfers for a good reason and after assessing the resulting privacy risk.

We store more sensitive customer data within Finland or the European Economic Area and keep it under our own control.

Other uses and disclosures

There are circumstances not covered by this privacy policy where the use or disclosure of personal data may be justified or permitted, or where we may be obligated by applicable laws to disclose information without acquiring your consent or independent of service provisioning.

One example includes complying with a court order or a warrant issued by the authorities in the relevant jurisdiction to compel the production of information.

Similarly, there may be other circumstances where there is a justifiable legitimate interest to disclose limited sets of information to a third party. Examples of such disclosures include cases where we need to protect ourselves against liability or to prevent fraudulent activity, where we analyze your use of our products to ensure that our products are working the way you would expect them to and that we are able to react to adverse experiences, where it is necessary to solve or contain an ongoing problem, or where we need to meet the legitimate information requirements of our insurers or governmental regulatory agencies. In any such action, we will act according to the applicable laws.

We may also need to transfer your personal data as part of a corporate transaction, such as a sale, merger, spin-off, or other corporate reorganization of WithSecure, where the information is provided to the new controlling entity in the regular course of business. WithSecure group discloses and transfers data internally as required by our then current operational model. We do, however, limit the disclosures internally to only those group companies, units, teams, and individuals who have a need to know such information for the intended purposes of processing it.

We weigh each disclosure requirement carefully and take the possibility of such disclosure requests into account when deciding where and how we store your personal data.

Sources

While we collect the majority of the above-mentioned data directly from you or your device, we also receive data from our affiliates, distribution partners (such as operators and retailers), and corporate entities from whom you have purchased the services. Such entities may be our resellers, but also include our external webstore partners. We also acquire some basic personal data (order data on purchases) and aggregate analytical data from app stores in which our services are sold. Such other sources may further include subcontractors who have provided you with support for our services, or advertising partners who have assisted us in conducting our marketing activities.

We do this to create a seamless customer experience and to have the necessary information for solving support cases.

Typical examples of third-party sources are:

  • information on your purchase made in our external webstore,
  • we acquire your credentials from previous sign-in data from our operator reseller partner, so that we can provide our service to you directly,
  • we acquire your contact data from corporate decision-maker registries for marketing purposes, and
  • when you use your social media account to register to our services, we collect the email address from your account to enable us to authenticate your registration and to contact you.

Third parties

Our services are provided in conjunction with our partners and our services and websites may embed or interoperate with third-party services. This privacy document only applies to personal data as long as that data is within WithSecure’s realm of influence. Where your personal data is processed by other entities for their independent purposes, such other party is responsible for processing your personal data in a justified manner in accordance to their policies as well as for fulfilling your rights under data protection laws.

The most prevalent such scenarios are the following:

  • Webstore. Our webstore is partially run by a third-party reseller. While the data you enter in the registration phase is handled under WithSecure policies, our webstore providers’ policies apply to the actual purchase and related activities.
  • Device location queries. When you query the location of your device via our services, the provider of maps needs to process the related geographical data. On the publication date of this policy, WithSecure uses Google maps in our device location and search features. Google privacy policies shall apply accordingly to your use of the features.

Retention

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. WithSecure securely destroys the evidence data after this defined retention period has exceeded.

Learn more

This text complements the service-specific retention times. The default rule under the law is that personal data should be deleted or anonymized once it is no longer needed for its purpose.

However, some personal data needs to be nonetheless stored for longer periods of varying lengths due to varying reasons.

Typical reasons why we deviate from the primary retention times include the following examples:

  • grace periods and backups (e.g. keeping your personal data stored for a designated time after the end of your subscription, so that we can safeguard the data against erroneous deletion);
  • applicable laws require us to store the data (e.g. to keep track of the purchase and payment of our services);
  • to pursue available remedies or to limit any damages that we may sustain (e.g. due to an ongoing dispute or investigation);
  • to solve or contain a recurring problem or to have enough information to respond to future issues (e.g. your support ticket related to a problem that was not permanently corrected during your customership);
  • to prevent fraudulent activity (e.g. to enforce a ban on our community);
  • your personal data is incorporated to other data for a secondary purpose (e.g. retaining logs);
  • other similar circumstances, where there continues to be a legitimate need for the ongoing storage of personal data.

The final removal of your account may be delayed to avoid disturbing the other interactions you have with us. This is the case when you have an WithSecure account (e.g. you have subscribed to our consumer services with your email address) and also i) have an WithSecure Community account or ii) you continue to subscribe to our marketing messages. The WithSecure Community account deletion policy is set out in its terms of service. You can opt out from our marketing messages at any time.

If you have purchased our service via one of our operator partners, account deletion is controlled by said operator partner. Upon the partner notifying us that your subscription has been terminated, WithSecure subsequently removes the account. This removal leads to the deletion or anonymization of any personal data related to the account.

If we have received your information when providing you with technical support, the information is stored as long as the respective support case remains unsolved. Once solved, the information is gradually deleted or anonymized within two years from closing the case.

Analytics data collected with the user’s consent is retained for statistical purposes and is not deleted on removal of personal data and the user account. After termination of the account, analytics data cannot be linked to any personally identifiable user.

Data that does not contain personal data (e.g. aggregate analytical data) is retained as long as such data continues to be useful for the purpose it was collected.

Security

PCI DSS/3DS assessment-related evidence data is stored in a secure document management system, managed by WithSecure and protected by access controls, firewalls, and other protective measures.

We apply strict security measures to protect the confidentiality, integrity, and availability of your personal data when transferring, storing, or processing it.

We use physical, administrative, and technical security measures to reduce the risk of loss, misuse, or unauthorized access, disclosure, or modification of your personal data.

All personal data is stored on secure servers operated by WithSecure or our partners with access limited to authorized personnel only.

Your rights

Information on your statutory rights and how to contact us.

You have the right to the data that we have on you. In particular, you have the following rights to the personal data that we hold on you:

  • Access and rectification. You have the right to ask us what personal data we have on you and to get a copy of the data that we can identify pertaining to you in this context. Should you find any errors (e.g. obsolete information) in such data, we urge you to contact our customer care to resolve the issue. Some of our service portals allow you to update your customer information. For such, you should update any changes to your personal data, for example change of address or email address. If you cannot update the changes yourself, you may inform us of the necessary changes.
  • Objection. You are entitled to object to certain processing of personal data, including for example the processing of your personal data for marketing purposes or when we otherwise base our processing of your data on a legitimate interest. In the latter case, you need to establish a legally valid rationale for your objection.
  • Right to be forgotten. You also have the right to request us to cease storing your personal data and erase it. In this case you need to establish a legally valid rationale for your request.
  • Portability. You also have the right to ask for personal data that you yourself have provided — pursuant to a contract or your consent. You may request the data in a structured, commonly used, and machine-readable format and further that the data is transmitted to another controller, where technically feasible.
  • Withdrawing consent. In cases where the processing is based on your consent, you have the right to withdraw your consent at any time via relevant settings. For identifiable service analytics data, you can find the settings in the service user interface. You also have the right to opt out from our marketing communications via the preference center accessible through the link.
  • Restriction. If you establish that the data we have on you is incorrect or we have no legal right to use it, you may request that we cease any further processing of your personal data, and merely keep it in store until the issue is resolved.

You can exercise your rights via our customer care function. The links to contact us are in the “Contact information” section.

Note that there may be situations where our confidentiality obligations, our right of professional secrecy, and/or our obligations to provide our services (e.g. to your employer) may prohibit us from disclosing or deleting your personal data or otherwise prevent you from exercising your rights. Your above rights are also dependent on the legal grounds based on which we process your personal data.

If you have any complaints about how we process your personal data, or would like further information, please contact us at any time. If you feel that we are not enabling your statutory rights, you have the right to lodge a complaint with a supervisory authority. In most cases, this authority is the Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Contact information

If you have any questions or concerns about the matters discussed in our privacy policies, please contact:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

How to contact us:

  • If you are a client of our consumer line of products, please contact us via our consumer support channels.
  • If you are a client of our corporate line of products, please contact us via corporate support channels.
  • You can contact WithSecure’s Data Protection Officer by sending a message to privacy@WithSecure.com. If you wish to exercise your rights as a data subject, please use the above links instead.

General

Information on definitions and change management.

Definitions

This is what we mean when we make certain references within this policy.

“Client”, “you”, refers to a private or corporate user or any other data subjects who buy, register for use, or use our services, whose devices and data traffic are protected by our services, or who may have submitted personally identifiable information to us. This information may have been submitted through the use of our services, websites, telephone, email, registration forms, or other similar channels.

“Personal data” refers to any information on private individuals that is identifiable to them or their family or household members. This information may include names, email and mailing addresses, telephone numbers, billing and account information, and other, more technical information that can be linked to you, your device, or the behavior of either, that we process while providing our services.

“Services” refer to any services or products that are manufactured or distributed by WithSecure, including software, web solutions, tools, and related support services.

“Website” refers to the WithSecure.com website or any other website that WithSecure hosts or controls, including subsites and browser-based service portals.

Changes

This version of the policy clarifies, updates, and replaces the previous version. To continue keeping this document up to date, we will make changes and additions to this from time to time also in the future.

We will publish the changed policy document on our website or at another interaction point where it has previously been made available. If the changes are significant, we may also notify you by other means. Any changes will apply starting from the date that we publish the revised policy document.

 

Business Suite

Business Suite

Elokuu 2018

Tiivistelmä

WithSecure Business Suite on hallintaportaalin kautta työasemien ja palvelimien hallintaan tarkoitettu tietoturvatuotepaketti. Tässä palvelussa ovat tärkeintä seuraavat tietosuojaan liittyvät asiat:

  • tietojen keräys painottuu suojatuissa laitteissa havaittavan haitallisen toiminnan havaitsemiseen
  • WithSecure kerää suojaustiedot aina nimettömästi
  • työnantajasi IT-järjestelmänvalvoja voi käyttää kerättyjä tietoja tunnistettavassa muodossa.

 

Täysimittainen lauseke

Tämä palvelukohtainen käytäntö keskittyy asioihin, joiden uskomme olevan tärkeimpiä sinulle. Tällaisia ovat erityisesti 1) palvelun keräämien henkilökohtaisten ja yksityisten tietojen tyyppi, 2) tietojen käyttötarkoitus, 3) meidän oikeutuksemme, 4) tyypilliset ilmoitukset ja 5) tietojen säilytysaika. Lisätietoja tällaisista aiheista sekä muista henkilötietojesi käsittelyyn liittyvistä asioista (rekisteröidyn oikeudet, yhteystiedot jne.) on myös saatavilla upotetuista linkeistä.

Käytäntöön kuuluvat palvelut

Business Suite -palveluja ovat työntekijöiden tietokoneita suojaavat Client Security ja Client Security for Mac, yrityksen palvelimia (Windows-, Exchange- ja SharePoint-palvelimet mukaan lukien) suojaavat Email Server Security ja Server Security, Linux-työpöytäkoneita ja -palvelimia suojaava Linux Security, yrityksen yhdyskäytävien läpi kulkevan liikenteen tarkistava Internet Gatekeeper sekä ladatut tiedostot tarkistava Scanning and Reputation Server, joka pyrkii optimoimaan suorituskyvyn virtuaalisissa ympäristöissä.

Työnantajasi ympäristössä saattaa olla käytössä kaikki nämä palvelut tai osa niistä. Mainittujen yksittäisten palvelujen tietojen keräys- ja käsittelytavat ovat keskenään samankaltaisia.

Kaikkia yksittäisiä palveluja voi hallinnoida keskitetyllä Policy Manager -hallintatyökalulla, jota asiakasyrityksen IT-järjestelmänvalvoja käyttää. Policy Manager on paikallisesti käytettävä palvelinohjelmisto.

Kerättävät tiedot ja niiden käyttötarkoitus

Suojaustiedot, joita yksittäiset palvelut lähettävät automaattisesti WithSecurelle, käsitellään WithSecuren Security Cloud ‑komponentissa tai sen alijoukossa. Yksittäinen palvelu lähettää kyselyjä Security Cloudiin laitteissa havaituista mahdollisesti haitallisista toimista ja laitteiden tietoliikenteestä. WithSecure ei yhdistä näitä kyselyjä käyttäjän henkilöllisyyteen. Työnantajasi IT-järjestelmänvalvojat voivat kuitenkin todennäköisesti yhdistää henkilöllisyytesi Security Cloud ‑tuloksiin, sillä heidän on pystyttävä reagoimaan palvelun havaitsemiin tietoturvaongelmiin.

WithSecure ei näe yksittäisen työntekijän tietoja, joita asiakasyrityksen IT-järjestelmänvalvoja käsittelee Policy Managerin kautta ja käyttää yrityksen omistamissa laitteissa olevien palvelujen hallintaan. WithSecuren palvelukäyttöön perustuvien tietojen keräystä on rajoitettu Policy Managerista saataviin palvelunhallinnan tilastotietoihin ja laskutustietoihin, joista henkilöjä ei voida yksilöidä.

Jos palvelut eivät toimi tarkoitetulla tavalla, työnantajasi saattaa hyödyntää WithSecuren osaamista ongelmien ratkaisemiseksi. Tällaisissa tapauksissa sinua pyydetään yleensä suorittamaan WithSecuren tukityökalu laitteessa, johon palvelu on asennettu (tietokoneessa tai palvelimessa), ja toimittamaan tiedot WithSecurelle. Tällaisten tilanteiden tietojen keräämis- ja käsittelyprosessit on kuvattu erillisessä WithSecuren tukityökalun yksityisyydensuojakäytännössä.

WithSecuren asiakasyrityksen yhteyshenkilöiden henkilötietojen käsittely on kuvattu Corporate Business -yksityisyydensuojakäytännössä.

Laissa annetut edellytykset

Jos WithSecuren käsittelemät tiedot ovat yhdistettävissä henkilöön, palvelut käsittelevät tietoja seuraavien oikeutettujen etujen suojaamiseksi,

  • WithSecuren palvelujen toimittaminen, jotta asiakkaidemme verkot ja laitteet sekä niiden sisältämien tietojen luottamuksellisuus ja saatavuus voidaan turvata
  • sellaisten tietojen antaminen WithSecurelle, joiden avulla se voi havaita kaikkia asiakkaitaan uhkaavat uudet uhat ja tietoturvaan liittyvät suuntaukset, jotta palvelumme pysyvät kehittyvien uhkien tasolla
  • jotta WithSecure voi toimittaa keskitetyn tietoturvakehyksen useisiin maanosiin suurelle määrälle asiakkaita ja kumppaneita.

Palveluissa on käsiteltävä tietoja, jotta laite/verkko voidaan suojata tehokkaasti. Yksittäisen palvelun asetuksissa voi olla mahdollista määrittää, että IT-järjestelmänvalvoja tai työntekijä voi rajoittaa WithSecuren oikeutta käsitellä tietoturvatietoja, mutta tällaisia asetussäätöjä ei suositella, sillä ne vaarantavat edellä kuvatun palvelujen käyttötarkoitusten toteutumisen.

Tietojen siirtäminen ja paljastaminen

Hallintaportaalissa olevat tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa, olipa hän sisäinen tai ulkoinen. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecuren ”jakelijakumppani”) käytettävissä, jotta yrityksellesi voidaan tarjota palvelujemme tukea ja vastaavia IT-palveluja.

WithSecure käyttää palvelujen maailmanlaajuiseen toimittamiseen apuna omia tytäryhtiöitään ja alihankkijoita.

Lue lisää

Myynti ja toimitus

Vaihdamme (ilmoitamme ja vastaanotamme) joitakin henkilötietojasi sellaisten jakelukumppaneidemme (kuten IT-yrityspalvelujen jälleenmyyjien, operaattoreiden ja Web-kauppojen) kanssa, jotka ovat markkinoineet, jaelleet, hallinnoineet ja tukeneet palvelujamme. Annamme näiden yritysten käyttää tällaisia henkilötietoja sovittujen toimien toteuttamiseksi. Tietojen jakamisen tarkoituksena on saumattoman asiakaskokemuksen takaaminen. Tällaisia toimia ovat esimerkiksi asiakashallinta, palvelutuki ja ongelmanratkaisu, suoramarkkinointi ja laskutus.

Jakelukumppaneillamme on todennäköisesti jo asiakassuhde sinuun tai yrityspalvelutapauksissa työnantajaasi. Tällaiset kumppanit ja yritysasiakkaat käsittelevät henkilötietojasi itsenäisesti omien sovellettavien yksityisyyskäytäntöjensä mukaan. Jakelukumppaneidemme ja yritysasiakkaidemme on tästä huolimatta noudatettava myös erillisiä sopimuksia ja lainsäädäntöä henkilötietoja käsiteltäessä. Kukin taho on oletusarvoisesti itse vastuussa omasta henkilötietojen käsittelystään omissa käyttötarkoituksissaan.

Alihankinta

Henkilökohtaisia tietoja saatetaan siirtää tai ilmoittaa WithSecure-konsernin yrityksille ja palvelujen luontiin osallistuville alihankkijoille.

Jos asiakkaidemme henkilökohtaiset tiedot on siirrettävä tai ilmoitettava alihankkijoillemme, edellytämme heidän kanssaan tekemissämme sopimuksissa, että he käyttävät tällaisia tietoja ainoastaan palvelujen toimittamiseen (esimerkiksi tukitapauksen ratkaisemiseksi tai sen lähettämiseksi logistiikkakumppaneille tuotteen toimittamista varten tai markkinointiviestien lähettämiseksi). Edellytämme, että alihankkijamme käsittelevät tietojasi tässä kuvattujen lausuntojen mukaisesti.

Kansainväliset siirrot

WithSecure toimii maailmanlaajuisesti. Näin ollen osa tytäryhtiöistämme, alihankkijoistamme, jakelijoistamme ja kumppaneistamme sijaitsee Euroopan talousalueen ulkopuolella, mikä varmistaa palvelujemme maailmanlaajuisen saatavuuden. WithSecuren tytäryhtiöiden toimipaikat voi tarkistaa WithSecuren julkisilta verkkosivuilta

Kun siirrämme henkilökohtaisia tietoja Euroopan talousalueen ulkopuolelle, suojaamme henkilökohtaiset tiedot lain edellyttämällä tavalla. Toteutamme tämän määräämällä asianmukaiset tekniset ja sopimukselliset turvaohjeet asiaankuuluville alihankkijoille ja WithSecure-konsernin yrityksille esimerkiksi Euroopan unionin hyväksymiä tiedonsiirtoa koskevia lauseita käyttämällä. Näiden lauseiden sisältö on saatavilla täältä.

Maailmanlaajuisia tai rajoja ylittäviä tiedonsiirtoja tehdään vain hyvästä syystä ja tietosuojariskin arvioinnin jälkeen.

Säilytämme arkaluonteisia asiakastietoja Suomessa tai Euroopan talousalueella ja pidämme niitä hallinnassamme.

Tietojen muu käyttö ja ilmoittaminen

Tämä yksityisyyskäytäntö ei kata kaikkia tilanteita, joissa henkilötietojen käyttö tai ilmoittaminen ilman lupaasi tai palvelun toteutuksesta erillään on oikeutettua tai sallittua tai joissa niiden ilmoittamista edellytetään meiltä sovellettavan lain mukaan.

Yksi esimerkki on tuomioistuimen tai viranomaisten antaman määräyksen noudattaminen asiaankuuluvalla lainkäyttöalueella tietojen tuottamiseksi.

Samaan tapaan voi ilmetä muita tilanteita, joissa meillä on perusteltavissa oleva oikeutettu etu ilmoittaa tietoja rajatusti kolmannelle osapuolelle. Tällaisia ovat esimerkiksi tilanteet, joissa meidän on suojattava itseämme vastuulta tai estettävä petollista toimintaa, joissa analysoimme sinun toimestasi tapahtuvaa tuotteidemme käyttöä, jotta tuotteemme varmasti toimivat odottamallasi tavalla ja jotta voimme reagoida epäsuotuisiin kokemuksiin, joissa jatkuva ongelma on ratkaistava tai pidettävä kurissa tai joissa meidän on vastattava vakuutuksenantajiemme tai valtion viranomaisten tietopyyntöihin. Tällaisissa tilanteissa toimimme sovellettavien lakien mukaisesti.

Meidän on ehkä myös siirrettävä henkilökohtaisia tietoja osana yritystapahtumaa, kuten myyntiä, yrityskauppaa, yhtiöittämistä tai muuta WithSecuren yrityssaneerausta, jossa tiedot toimitetaan uudelle hallinnoivalle taholle osana normaalia liiketoimintaa. WithSecure-konserni ilmoittaa ja siirtää tietoja sisäisesti kulloisenkin toimintamallin edellyttämällä tavalla. Nämä ilmoitukset rajataan kuitenkin sisäisesti vain kyseiseen konserniin kuuluville yrityksille, yksiköille, tiimeille ja henkilöille, jotka tarvitsevat kyseisiä tietoja niiden käsittelyyn.

Harkitsemme kutakin ilmoitustarvetta huolellisesti ja otamme tällaiset ilmoituspyynnöt huomioon, kun päätämme missä ja miten säilytämme henkilötietojasi.

Lähteet

Keräämme suurimman osan edellä kuvatuista tiedoista suoraan sinulta tai laitteestasi, mutta voimme saada tietoja myös tytäryhtiöiltämme, jakelukumppaneiltamme (kuten operaattoreilta) ja yrityksiltä, joilta olet ostanut palveluja. Nämä toimijat voivat olla jälleenmyyjiämme tai ulkoisia verkkokauppakumppaneitamme. Lisäksi saamme joitakin henkilökohtaisia tietoja (ostoksiin liittyviä tilaustietoja) ja koostettuja analyysitietoja sovelluskaupoilta, joissa tuotteitamme myydään. Lähteinämme voivat toimia myös alihankkijamme, jotka tarjoavat sinulle tukipalveluja, ja mainoskumppanimme, jotka auttavat meitä markkinointimme toteuttamisessa.

Toimimme näin, jotta voisimme tarjota saumattoman asiakaskokemuksen ja jotta käytettävissämme olisi aina tiedot, joita tarvitsemme tukipalvelujen antamisessa sinulle.

Tyypillisiä esimerkkejä kolmansien osapuolten lähteistä:

  • tiedot ulkoisessa verkkokaupassamme tehdystä ostoksesta,
  • saamme tunnistetietosi palvelumme sinulle tarjoavalta operaattorikumppaniltamme aiemmin antamistasi kirjautumistiedoista, jotta voimme toimittaa palvelumme sinulle suoraan
  • yrityspäätösrekisteristä markkinointitarkoituksessa saadut yhteystiedot ja
  • kun käytät sosiaalisen median tiliä palveluihimme rekisteröitymiseen, saamme tilitiedoistasi sähköpostiosoitteen, jotta voimme todentaa rekisteröintisi ja olla yhteydessä sinuun.

Kolmannet osapuolet

Palvelumme toimitetaan yhdessä kumppaneidemme kanssa, ja palveluihimme ja sivustoihimme saatetaan upottaa kolmansien osapuolten palveluja tai ne saattavat toimia yhdessä palvelujemme ja sivustojemme kanssa. Tämä tietosuoja-asiakirja koskee henkilötietoja vain, kun kyseiset tiedot ovat WithSecuren vaikutusalueella. Jos jokin muu taho käsittelee henkilötietojasi omissa tarkoituksissaan, tämä toinen osapuoli on vastuussa henkilötietojesi käsittelystä käytäntöjensä mukaan asianmukaisella tavalla sekä tietosuojalakien alaisten oikeuksiesi täyttymisestä.

Tällaisia tilanteita ovat yleensä seuraavat:

  • Web-kauppa. Web-kauppamme toteutus on osittain kolmannen osapuolen jälleenmyyjän vastuulla. Rekisteröintivaiheessa antamiasi tietoja käsitellään WithSecuren käytäntöjen mukaisesti, mutta itse ostotoimenpiteeseen ja siihen liittyviin toimiin sovelletaan Web-kauppamme toimittajien käytäntöjä.
  • Laitteen sijaintikyselyt. Jos pyydät laitteen sijaintia palvelujemme kautta, karttapalvelun tarjoajan on käsiteltävä maantieteellisiä tietoja. Tämän käytännön julkaisuhetkellä WithSecure käyttää Googlen karttapalveluja laitteen sijainti- ja hakupalveluissa. Näitä ominaisuuksia käytettäessä sovelletaan Googlen yksityisyyskäytäntöjä.

Tietojen säilytys

Nimettömiä suojaustietoja ja tilastotietoja säilytetään niin kauan kuin tiedoista on hyötyä niiden alkuperäisessä keräystarkoituksessa. Muita edellä kuvattuja tietotyyppejä säilytetään niiden yksityisyydensuojakäytännöissä eritellyn ajan, minkä jälkeen ne poistetaan tai muutetaan nimettömiksi.

Lue lisää

Tämä teksti täydentää palvelukohtaisia säilytysaikoja. Lainmukainen oletussääntö on, että henkilötiedot poistetaan ja muutetaan yksilöimättömiksi, kun niitä ei enää tarvita alkuperäisessä käyttötarkoituksessa.

Joitakin henkilötietoja on kuitenkin säilytettävä vaihtelevasti pidempään erinäisistä syistä.

  • Ensisijaisista säilytysajoista poiketaan tyypillisesti esimerkiksi seuraavista syistä:
  • siirtymäkaudet ja varmuuskopiot (esim. henkilötietojen säilyttäminen määrätyn ajan tilauksen päättymisen jälkeen, jotta tiedot voidaan suojata vahingossa tapahtuvalta poistolta)
  • tietojen säilyttäminen sovellettavien lakien edellyttämällä tavalla (esim. ostoksen ja palveluistamme tehtyjen maksujen seuraamiseksi)
  • oikaisuvaihtoehtojen tutkiminen tai meille mahdollisesti aiheutuvien vahinkojen rajoittaminen (esim. keskeneräisestä kiistasta tai tutkimustyöstä johtuen)
  • toistuvan ongelman ratkaiseminen tai kurissa pitäminen tai riittävän tiedon kerääminen tulevien ongelmien käsittelemiseksi (esim. tekemäsi tukipyyntö, joka liittyy asiakkuutesi aikana ratkaisematta jääneeseen ongelmaan)
  • petosten estäminen (esim. yhteisömme käyttökiellon valvominen)
  • henkilötietojen lisääminen muihin tietoihin jostakin toissijaisesta syystä (esim. lokien säilytys)
  • muut vastaavat tilanteet, joissa on tarvetta henkilötietojen jatkuvalle säilyttämiselle.

Tilisi lopullinen poistaminen saattaa viivästyä, jotta muut vuorovaikutustapahtumat eivät häiriinny. Tämä koskee WithSecure-tilin luoneita (esim. kuluttajapalveluja sähköpostiosoitteella tilanneita), joilla on myös i) tili WithSecuren yhteisössä tai jotka ii) jatkavat markkinointiviestiemme tilaamista. WithSecuren yhteisön tilin poistokäytäntö on määritetty sen palveluehdoissa. Voit peruuttaa markkinointiviestiemme tilauksen milloin tahansa.

Jos olet ostanut palvelun operaattorikumppaniltamme, kumppani vastaa tilin poistamisesta. Kun kumppani ilmoittaa meille, että tilauksesi on päättynyt, WithSecure poistaa tilin. Tämä poisto poistaa kaikki tiliin liittyvät tiedot tai muuttaa ne yksilöimättömään muotoon.

Jos olemme saaneet tietosi teknisen tuen toimittamisen yhteydessä, tietoja säilytetään niin kauan kuin kyseinen tukitapaus on selvittämättä. Kun tapaus on ratkaistu, tiedot poistetaan vähitellen tai muutetaan yksilöimättömiksi viimeistään kahden vuoden kuluttua tapauksen sulkemisesta.

Käyttäjän luvalla kerättyjä analytiikkatietoja säilytetään tilastointimielessä, eikä niitä poisteta henkilökohtaisten tietojen ja käyttäjätilin poiston yhteydessä. Analytiikkatiedot muutetaan yksilöimättömiksi siten, että niitä ei voida yhdistää tilin lopettamisen jälkeen mihinkään käyttäjään eikä tiliin.

Tietoja, jotka eivät sisällä henkilökohtaisia tietoja (esim. kootut analyysitiedot), säilytetään niin kauan kuin niitä tarvitaan ja niiden katsotaan olevan hyödyllisiä käyttötarkoituksessaan.

Analytiikka

Tämän käytännön päiväyksestä alkaen yksittäiset Business Suite -palvelut eivät kerää lisäanalytiikkatietoja. Tietojen kerääminen on rajoitettu vain palvelun toimittamiseen tarvittaviin tietoihin.

Policy Manager toimittaa sen käyttöä (esimerkiksi käytettyjä toimintoja) koskevaa tilastoanalytiikkaa WithSecurelle. Tilastoanalytiikka liittyy palvelun yleiseen käyttöön, ei mihinkään yksittäiseen henkilöön.

Tietoturva

Tiedot tietoturvakäytännöistä, joilla suojaamme tietosi.

Lue lisää

Noudatamme tiukkoja turvatoimia suojataksemme henkilökohtaisten tietojesi luottamuksellisuuden, eheyden ja saatavuuden, kun siirrämme, tallennamme ja käsittelemme niitä.

Käytämme fyysisiä, hallinnollisia ja teknisiä suojaustoimenpiteitä pienentääksemme henkilökohtaisten tietojesi hävikin riskiä ja vähentääksemme väärinkäytöksiä sekä luvatonta käyttöä, julkaisua tai muokkausta.

Kaikki henkilötiedot tallennetaan WithSecuren tai kumppaneidemme hallinnoimille suojatuille palvelimille, joita vain valtuutettu henkilökunta voi käyttää rajatusti.

Oikeutesi

Tiedot lainmukaisista oikeuksistasi ja yhteydenotosta WithSecureen.

Lue lisää

Sinulla on oikeus päästä sinua koskeviin tietoihin, joita säilytämme. Sinulla on erityisesti seuraavat oikeudet säilyttämiimme henkilötietoihisi:

  • Pääsy ja oikaisu. Sinulla on oikeus kysyä, mitä henkilötietojasi säilytämme, ja pyytää kopiota tiedoista, joiden tiedämme koskevan sinua tässä kontekstissa. Jos havaitset kyseisissä tiedoissa virheitä (esim. vanhentuneita tietoja), kehotamme ottamaan yhteyttä asiakaspalveluun. Voit päivittää asiakastietojasi myös itse joissakin palveluportaaleissamme. Päivitä niihin kaikki henkilötietojesi muutokset, kuten osoitteenmuutos tai sähköpostiosoitteen vaihto. Jos et voi päivittää muutoksia itse, voit ilmoittaa meille tarvittavista muutoksista.
  • Vastalause. Sinulla on oikeus esittää vastalause tietyille henkilötietojen käsittelytoimille, kuten markkinointitarkoituksissa tehtävälle käsittelylle tai muutoin laillisin perustein tehtävälle käsittelylle. Jälkimmäisessä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet vastalauseellesi.
  • Oikeus tulla unohdetuksi. Sinulla on myös oikeus pyytää meitä lopettamaan henkilötietojesi säilyttäminen ja poistamaan ne. Tässä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet pyynnöllesi.
  • Siirrettävyys. Sinulla on myös oikeus pyytää itse antamiasi henkilötietoja, joita käsitellään sopimuksen tai antamasi suostumuksen mukaisesti. Voit pyytää tietoja rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää, että tiedot siirretään jollekin toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.
  • Suostumuksen peruminen. Jos käsittely perustuu antamaasi suostumukseen, sinulla on oikeus perua se milloin tahansa asiaankuuluvien asetusten kautta. Henkilöön yhdistettävissä olevien palveluanalytiikkatietojen asetukset ovat palvelun käyttöliittymässä. Sinulla on myös oikeus peruuttaa markkinointiviestien tilaus oletusasetuskeskuksessa, johon voi siirtyä linkin kautta.
  • Rajoittaminen. Jos havaitset, että sinua koskevat tiedot ovat virheellisiä tai että meillä ei ole laillista oikeutta käyttää niitä, voit pyytää meitä lopettamaan henkilötietojesi käsittelyn ja pelkästään säilyttämään tietoja, kunnes ongelma on ratkaistu.

Voit pyytää oikeuksiasi asiakaspalvelutoimintomme kautta. Yhteydenottolinkit löytyvät "Yhteystiedot"-osiosta.

Huomaa, että joissakin tilanteissa luottamuksellisuuteen liittyvät velvoitteemme, oikeutemme pitää ammattisalaisuuksia ja/tai velvoitteemme toimittaa palvelujamme (esim. työnantajallesi) saattavat estää meitä julkaisemasta tai poistamasta henkilötietojasi tai muutoin estää sinua käyttämästä oikeuksiasi. Yllä kuvatut oikeutesi riippuvat myös laillisista perusteista, joiden mukaan käsittelemme henkilötietojasi.

Jos haluat valittaa henkilötietojesi käsittelystä tai tarvitset lisätietoja, voit ottaa yhteyttä meihin milloin tahansa. Jos uskot, että lainmukaiset oikeutesi eivät toteudu, voit tehdä valituksen asiaa valvovalle viranomaiselle. Tämä viranomainen on useimmissa tapauksissa tietosuojavaltuutettu (www.tietosuoja.fi).

 

Yhteystiedot

Jos sinulla on kysyttävää yksityisyydensuojakäytännöistämme, ota yhteyttä:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Suomi

Yhteyden ottaminen:

Yleistä

Tiedot määritelmistä ja muutostenhallinnasta.

Lue lisää

Määritelmät

Tässä ovat määritelmät tässä käytännössä käyttämistämme termeistä.

"Asiakas" tai "sinä" viittaa yksityiseen käyttäjään tai yrityskäyttäjään tai johonkin muuhun tietoja välittävään tahoon, joka ostaa palvelujamme, rekisteröi niitä käytettäväksi tai käyttää niitä, jonka laitteita ja tietoliikennettä palvelumme suojaavat tai joka on saattanut lähettää henkilökohtaisesti tunnistettavissa olevia tietoja meille. Nämä tiedot on saatettu lähettää käyttämällä palvelujamme, Web-sivustojamme, puhelinta, sähköpostia, rekisteröintilomakkeita tai muita vastaavia kanavia.

"Henkilökohtaiset tiedot" tai "henkilötiedot" viittaa yksityisiä henkilöitä koskeviin tietoihin, jotka ovat yhdistettävissä heihin tai heidän perheensä tai taloutensa jäseniin. Näitä tietoja voivat olla nimet, sähköposti- ja postiosoitteet, puhelinnumerot, laskutus- ja tilitiedot sekä muut palveluiden tarjoamisen yhteydessä käsitellyt tekniset tiedot, jotka voidaan yhdistää käyttäjään tai hänen käytökseensä, laitteeseensa tai laitteensa käytökseen.

"Palvelut" viittaa WithSecuren valmistamaan tai jakelemaan palveluun tai tuotteeseen, ohjelmistot, Web-ratkaisut, työkalut ja niihin liittyvät tukipalvelut mukaan lukien.

"Web-sivusto" viittaa sivustoon withsecure.com tai mihin tahansa muuhun Web-sivustoon, jota WithSecure isännöi tai hallinnoi, niiden alasivustot ja selainpohjaiset palveluportaalit mukaan lukien.

Muutokset

Tämä käytännön versio selkeyttää, päivittää ja korvaa edellisen version. Haluamme pitää tämän asiakirjan ajan tasolla jatkossakin, ja siksi teemme siihen muutoksia ja lisäyksiä silloin tällöin myös tulevaisuudessa.

Julkaisemme muutetun käytäntöasiakirjan Web-sivustollamme tai muussa vuorovaikutuspisteessä, jossa se on aiemmin ollut saatavilla. Jos muutokset ovat merkittäviä, saatamme ilmoittaa niistä myös muilla keinoin. Kaikki muutokset otetaan käyttöön sinä päivänä, jolloin julkaisemme uusitun käytäntöasiakirjan.

Elements Mobile Protection

Elements Mobile Protection

Elokuu 2022

Tiivistelmä

WithSecure Elements Mobile Protection yhdistää VPN-surffauksen mobiililaitteiden hallintaan, joita molempia hallinnoidaan hallintaportaalista. Tämä toteutetaan seuraavasti:

  • palvelu salaa tietoliikenteesi kolmansilta osapuolilta,
  • palvelumme tiedonkeruu kohdistuu laitteeseesi ja palveluumme, ei sinuun
  • suurin osa kerätyistä tiedoista on työnantajasi IT-järjestelmänvalvojan saatavilla, jotta hän voi hallinnoida yrityksen laitteita ja sovelluksia
  • keräämme yksilöimätöntä tietoa laitteesi suojaamiseksi

Palvelun tarkoitus on suojata ja hallinnoida laitettasi ja sen yhteyksiä. Palvelua ei ole tarkoitettu työntekijöiden seuraamiseen. Tämä palvelu ei anna WithSecurelle tai yrityksesi IT-järjestelmänvalvojalle oikeuksia seurata liikkeitäsi, tarkastella kuviasi tai tunnistaa keskustelukumppaneitasi. Emme voi myöskään seurata sivustoja, joita käytät palvelun kautta.

Täysimittainen lauseke

Tämä palvelukohtainen käytäntö keskittyy asioihin, joiden uskomme olevan tärkeimpiä sinulle. Tällaisia ovat erityisesti 1) palvelun keräämien henkilökohtaisten ja yksityisten tietojen tyyppi, 2) tietojen käyttötarkoitus, 3) meidän oikeutuksemme, 4) tyypilliset ilmoitukset ja 5) tietojen säilytysaika. Lisätietoja tällaisista aiheista sekä muista henkilötietojesi käsittelyyn liittyvistä asioista (rekisteröidyn oikeudet, yhteystiedot jne.) on myös saatavilla upotetuista linkeistä.

Yksityinen tietoliikenne

Ohjeistuksemme mukaan emme pyri selvittämään yksityisten viestiesi sisältöä. Analysoimme viestiliikennettäsi vain, jotta palvelu voidaan toimittaa ja tiedonsiirtosi voidaan pitää puhtaana. Tarkkaan ottaen:

  • meidän on käsiteltävä joitakin tietoliikenteesi metatietoja (kuten liikenteen määrää ja IP-osoitteita) palvelua tarjotessamme. Suojaamme yksityisyyttäsi emmekä tallenna VPN:n läpi välitetyn liikenteen IP-kohdeosoitteita, portteja tai URL-osoitteita ei tallenneta tavalla, jolla ne voidaan yhdistää sinuun.
  • analysoimme liikennettä epäilyttävien tai haitallisten tiedostojen ja kohteiden (eli URL-osoitteiden) varalta ja
  • seulomme liikennettä automaattisesti ja estämme käytön, joka rikkoo hyväksyttävän käytön käytäntöämme.

Käyttäjätiedot

Käyttäjätiedot hallintaportaalissa

Palvelu kerää seuraavia tietoja sinusta, laitteestasi ja palvelun käytöstä. Tiedot ovat saatavilla hallintaportaalista:

  • Käyttäjän nimi, sähköpostiosoite ja puhelinnumero. Nämä tiedot yhdistetään "laitetunnukseen", jotka toimivat käyttäjätietojen tunnisteina järjestelmässä.
  • Palvelun versionumero, laitetunnisteet (esim. IMEI, malli), tilauskoodi, asennuksen ja päivityksen ajankohta, käyttöjärjestelmä ja versio, toiminnon tila.
  • Edellä kuvattujen lisäksi palvelu kerää seuraavaa: mobiililaitteen malli ja sen mahdollinen jailbreak- tai root-tila, laitekohtaiset palvelutilastot, kuten virtuaalinen sijainti, VPN-tunnelissa olevan liikenteen koottu määrä, tarkistetun liikenteen määrä, haitalliset sivustot, estettyjen seurantayritysten määrä ja estettyjen sivustojen laskurit.

Kerättävät tiedot vaihtelevat käytettyjen laitteiden ja palvelujen mukaan.

Tietoja tarvitaan palvelujen toimittamiseen, hallintaan (valtuutettujen käyttäjien tunnistaminen ja käyttöoikeuksien hallinta mukaan lukien), suorituskyvyn mittaamiseen ja palvelun kehittämiseen ja parantamiseen. Tietoja voidaan käyttää tuki- ja ongelmanratkaisupalvelujen toimittamiseen.

Nämä tiedot ovat yrityksesi IT-järjestelmänvalvojan tarkasteltavissa ja myös WithSecuren käytettävissä portaalin kautta. Jos yrityksen IT-hallinta on ulkoistettu, tiedot ovat myös alihankkijan (WithSecuren ”jakelijakumppani”) käytettävissä, jotta yrityksellesi voidaan tarjota tukea ja vastaavia IT-palveluja.

WithSecure-järjestelmien käyttäjätiedot

Portaalista saatavilla olevien tietojen lisäksi WithSecure kerää myös seuraavia tietoja palvelun kautta:

  • laitetunnus, jotta voimme lähettää push-ilmoituksia laitteisiin ja yhdistellä erilaisia käyttäjätietotyyppejä,
  • laitteesi kieli, jotta palvelun kieli on sen mukainen, ja
  • saatamme kerätä tietoja myös akun varaustasosta, sisäisestä muistista ja SD-muistikorttien koosta sekä luettelon asennetuista sovelluksista (tarkistaaksemme, että palvelu on asennettu oikein) tarkoituksenamme kehittää hallintaominaisuuksia.

Joillakin lainkäyttöalueilla meitä edellytetään keräämään laitteiden julkiset ja yksityiset IP-osoitteet sekä VPN-tunnelin alkamis- ja päättymisaika. Jos saamme laillisesti kelvollisen pyynnön, näitä tietoja voidaan käyttää sen selvittämiseen, mistä IP-osoitteesta yhteys on muodostettu IP-kohdeosoitteeseen minäkin ajankohtana. Tämä ei paljasta palvelun kautta kulkevaa selausliikennettäsi WithSecurelle tai IT-järjestelmänvalvojalle, sillä IP-osoitetta ei yhdistetä sinuun. Emme myy emmekä paljasta VPN-tietojasi kolmansille osapuolille, ellei laki edellytä meitä toimimaan niin.

Analytiikka

Jotta pystyisimme kehittämään palveluamme ja selvittämään, miten ja milloin palveluamme käytetään ja miten asiakkaamme saavat tietää siitä, palvelu kerää tietoja sen asennuksen onnistumisesta, asennuksesta ja aktivointipoluista, suorituskyvystä, käyttöympäristöstä, yhteyksistä, käytetyistä toiminnoista jne. Toimimme näin, jotta osaamme luoda sinua ja muita asiakkaitamme kiinnostavia palveluja.

Elements Endpoint Protection ‑yksityisyydensuojakäytäntö

Security Cloud -käyttö, eri osapuolten roolit henkilötietojen käsittelyssä, tietojen säilytystä koskevat säännöt ja henkilötietojen käsittelyn lailliset perusteet on kuvattu WithSecuren Elements Endpoint Protection -yksityisyydensuojakäytännössä.

Tietoturva

Tiedot tietoturvakäytännöistä, joilla suojaamme tietosi.

Lue lisää

Noudatamme tiukkoja turvatoimia suojataksemme henkilökohtaisten tietojesi luottamuksellisuuden, eheyden ja saatavuuden, kun siirrämme, tallennamme ja käsittelemme niitä.

Käytämme fyysisiä, hallinnollisia ja teknisiä suojaustoimenpiteitä pienentääksemme henkilökohtaisten tietojesi hävikin riskiä ja vähentääksemme väärinkäytöksiä sekä luvatonta käyttöä, julkaisua tai muokkausta.

Kaikki henkilötiedot tallennetaan WithSecuren tai kumppaneidemme hallinnoimille suojatuille palvelimille, joita vain valtuutettu henkilökunta voi käyttää rajatusti.

Oikeutesi

Tiedot lainmukaisista oikeuksistasi ja yhteydenotosta WithSecureen.

Lue lisää

Sinulla on oikeus päästä sinua koskeviin tietoihin, joita säilytämme. Sinulla on erityisesti seuraavat oikeudet säilyttämiimme henkilötietoihisi:

  • Pääsy ja oikaisu. Sinulla on oikeus kysyä, mitä henkilötietojasi säilytämme, ja pyytää kopiota tiedoista, joiden tiedämme koskevan sinua tässä kontekstissa. Jos havaitset kyseisissä tiedoissa virheitä (esim. vanhentuneita tietoja), kehotamme ottamaan yhteyttä asiakaspalveluun. Voit päivittää asiakastietojasi myös itse joissakin palveluportaaleissamme. Päivitä niihin kaikki henkilötietojesi muutokset, kuten osoitteenmuutos tai sähköpostiosoitteen vaihto. Jos et voi päivittää muutoksia itse, voit ilmoittaa meille tarvittavista muutoksista.
  • Vastalause. Sinulla on oikeus esittää vastalause tietyille henkilötietojen käsittelytoimille, kuten markkinointitarkoituksissa tehtävälle käsittelylle tai muutoin laillisin perustein tehtävälle käsittelylle. Jälkimmäisessä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet vastalauseellesi.
  • Oikeus tulla unohdetuksi. Sinulla on myös oikeus pyytää meitä lopettamaan henkilötietojesi säilyttäminen ja poistamaan ne. Tässä tapauksessa sinun on esitettävä laillisesti kelvolliset perusteet pyynnöllesi.
  • Siirrettävyys. Sinulla on myös oikeus pyytää itse antamiasi henkilötietoja, joita käsitellään sopimuksen tai antamasi suostumuksen mukaisesti. Voit pyytää tietoja rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää, että tiedot siirretään jollekin toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.
  • Suostumuksen peruminen. Jos käsittely perustuu antamaasi suostumukseen, sinulla on oikeus perua se milloin tahansa asiaankuuluvien asetusten kautta. Henkilöön yhdistettävissä olevien palveluanalytiikkatietojen asetukset ovat palvelun käyttöliittymässä. Sinulla on myös oikeus peruuttaa markkinointiviestien tilaus oletusasetuskeskuksessa, johon voi siirtyä linkin kautta.
  • Rajoittaminen. Jos havaitset, että sinua koskevat tiedot ovat virheellisiä tai että meillä ei ole laillista oikeutta käyttää niitä, voit pyytää meitä lopettamaan henkilötietojesi käsittelyn ja pelkästään säilyttämään tietoja, kunnes ongelma on ratkaistu.

Voit pyytää oikeuksiasi asiakaspalvelutoimintomme kautta. Yhteydenottolinkit löytyvät "Yhteystiedot"-osiosta.

Huomaa, että joissakin tilanteissa luottamuksellisuuteen liittyvät velvoitteemme, oikeutemme pitää ammattisalaisuuksia ja/tai velvoitteemme toimittaa palvelujamme (esim. työnantajallesi) saattavat estää meitä julkaisemasta tai poistamasta henkilötietojasi tai muutoin estää sinua käyttämästä oikeuksiasi. Yllä kuvatut oikeutesi riippuvat myös laillisista perusteista, joiden mukaan käsittelemme henkilötietojasi.

Jos haluat valittaa henkilötietojesi käsittelystä tai tarvitset lisätietoja, voit ottaa yhteyttä meihin milloin tahansa. Jos uskot, että lainmukaiset oikeutesi eivät toteudu, voit tehdä valituksen asiaa valvovalle viranomaiselle. Tämä viranomainen on useimmissa tapauksissa tietosuojavaltuutettu (www.tietosuoja.fi).

Yhteystiedot

Jos sinulla on kysyttävää yksityisyydensuojakäytännöistämme, ota yhteyttä:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Suomi

Yhteyden ottaminen:

Yleistä

Tiedot määritelmistä ja muutostenhallinnasta.

Lue lisää

Määritelmät

Tässä ovat määritelmät tässä käytännössä käyttämistämme termeistä.

"Asiakas" tai "sinä" viittaa yksityiseen käyttäjään tai yrityskäyttäjään tai johonkin muuhun tietoja välittävään tahoon, joka ostaa palvelujamme, rekisteröi niitä käytettäväksi tai käyttää niitä, jonka laitteita ja tietoliikennettä palvelumme suojaavat tai joka on saattanut lähettää henkilökohtaisesti tunnistettavissa olevia tietoja meille. Nämä tiedot on saatettu lähettää käyttämällä palvelujamme, Web-sivustojamme, puhelinta, sähköpostia, rekisteröintilomakkeita tai muita vastaavia kanavia.

"Henkilökohtaiset tiedot" tai "henkilötiedot" viittaa yksityisiä henkilöitä koskeviin tietoihin, jotka ovat yhdistettävissä heihin tai heidän perheensä tai taloutensa jäseniin. Näitä tietoja voivat olla nimet, sähköposti- ja postiosoitteet, puhelinnumerot, laskutus- ja tilitiedot sekä muut palveluiden tarjoamisen yhteydessä käsitellyt tekniset tiedot, jotka voidaan yhdistää käyttäjään tai hänen käytökseensä, laitteeseensa tai laitteensa käytökseen.

"Palvelut" viittaa WithSecuren valmistamaan tai jakelemaan palveluun tai tuotteeseen, ohjelmistot, Web-ratkaisut, työkalut ja niihin liittyvät tukipalvelut mukaan lukien.

"Web-sivusto" viittaa sivustoon withsecure.com tai mihin tahansa muuhun Web-sivustoon, jota WithSecure isännöi tai hallinnoi, niiden alasivustot ja selainpohjaiset palveluportaalit mukaan lukien.

Muutokset

Tämä käytännön versio selkeyttää, päivittää ja korvaa edellisen version. Haluamme pitää tämän asiakirjan ajan tasolla jatkossakin, ja siksi teemme siihen muutoksia ja lisäyksiä silloin tällöin myös tulevaisuudessa.

Julkaisemme muutetun käytäntöasiakirjan Web-sivustollamme tai muussa vuorovaikutuspisteessä, jossa se on aiemmin ollut saatavilla. Jos muutokset ovat merkittäviä, saatamme ilmoittaa niistä myös muilla keinoin. Kaikki muutokset otetaan käyttöön sinä päivänä, jolloin julkaisemme uusitun käytäntöasiakirjan.