Siirry sisältöön
Tietoturva

Tietoturvakäytäntö

Vastuullinen ilmoittaminen, haavoittuvuuksien käsittely ja sitoumuksemme tietojesi turvallisuuteen.

Päivitetty viimeksi: toukokuu 2026

01 Vastuullisen ilmoittamisen käytäntö

InfoPeak arvostaa tietoturvatutkijoita ja toivottaa haavoittuvuuksien vastuullisen ilmoittamisen tervetulleeksi. Jos löydät tietoturvaongelman InfoPeak-palvelussa, pyydämme ilmoittamaan siitä meille.

Ilmoita haavoittuvuudesta

security@infopeak.io

Arkaluonteisissa ilmoituksissa pyydä julkista PGP-avaintamme.

02 Laajuus

Seuraavat palvelut ja resurssit kuuluvat vastuullisen ilmoittamisen piiriin:

  • infopeak.io - pääsovellus ja verkkosivusto
  • auth.infopeak.io - tunnistautumispalvelu
  • InfoPeak Pass - selainlaajennus
  • InfoPeak VPN - mobiili- ja työpöytäsovellukset

03 Ilmoittamisen ohjeet

Pyydämme tietoturvatutkijoita noudattamaan näitä ohjeita:

  • Anna riittävät tiedot haavoittuvuuden toistamiseksi.
  • Älä käytä, muokkaa tai poista muiden käyttäjien tietoja.
  • Älä suorita palvelunestohyökkäyksiä tai sosiaalista manipulointia.
  • Anna meille kohtuullinen aika (90 päivää) korjata ongelma ennen julkista ilmoittamista.

04 Vastausaikataulu

72 tuntia

Vahvistamme ilmoituksesi vastaanottamisen.

14 päivää

Annamme alustavan arvion ja arvioidun korjausaikataulun.

90 päivää

Pyrimme korjaamaan kaikki vahvistetut haavoittuvuudet tämän ajan kuluessa.

05 Safe Harbor

InfoPeak ei ryhdy oikeustoimiin tietoturvatutkijoita vastaan, jotka löytävät ja ilmoittavat haavoittuvuuksia vilpittömässä mielessä tämän käytännön mukaisesti. Pidämme tämän käytännön mukaista tietoturvatutkimusta valtuutettuna emmekä aloita oikeudellisia vaateita teknisten suojatoimien kiertämisestä, kun tutkimus noudattaa tätä käytäntöä.

06 Tietoturvatapahtumien käsittely ja tietomurtoilmoitukset

Tietoturvatapahtuman tai tietomurron sattuessa InfoPeak noudattaa näitä menettelyjä NIS2-direktiivin (EU) 2022/2555 ja GDPR:n artiklojen 33 ja 34 mukaisesti:

  • 24 tunnin kuluessa: Varhainen varoitus asianomaiselle kansalliselle CSIRT:lle (Computer Security Incident Response Team).
  • 72 tunnin kuluessa: Täydellinen tapahtumailmoitus valvontaviranomaiselle (GDPR) ja CSIRT:lle (NIS2), mukaan lukien laajuusarviointi ja lieventävät toimenpiteet.
  • Viivytyksettä: Asianomaiset käyttäjät ilmoitetaan sähköpostitse selkeällä tiedolla murron luonteesta, kosketetuista tiedoista, tehdyistä toimenpiteistä ja suositelluista toimista.
  • 1 kuukauden kuluessa: Loppuraportti toimitetaan asianomaisille viranomaisille juurisyyanalyysin ja ennaltaehkäisevien toimenpiteiden kera.

07 Tietoturva-arkkitehtuuri

InfoPeak käyttää seuraavia tietoturvatoimia osana sitoumustamme Cyber Resilience Act (CRA):

  • Salaus levossa: AES-256-CBC kaikille tallennetuille käyttäjätiedoille.
  • Salaus siirrossa: TLS 1.3 kaikille yhteyksille.
  • Zero-knowledge-arkkitehtuuri: Henkilökohtaiset salausavaimet johdetaan asiakaspuolella. InfoPeak ei pääse käsiksi salattuun sisältöösi.
  • Vain EU-hosting: Kaikki infrastruktuuri sijaitsee Euroopan unionissa.
  • Säännölliset tietoturvapäivitykset: Riippuvuuksia ja infrastruktuuria valvotaan ja päivitetään jatkuvasti.