Work in progress
toistaiseksi näkyvissä vain KVP:läisille
Tieturvaosiot
- GDPR:n myötä tehdyt muutokset
- Hallintaliittymän käyttäjän vastuut
- Käyttäjähallinnasta lisää: Käyttäjätoiminnot
Käyttäjän ja ylläpitäjän vastuut
Käyttäjätunnukset ovat henkilökohtaisia, eikä niitä saa luovuttaa muiden käyttöön. Vain nimetyillä luonnollisilla henkilöillä saa olla Finna-palvelun ylläpitotunnuksia.
3.5.2018 Muistiinpanot
Organisaatiot huolehtivat IP-avauksista ja käyttäjätunnuksien poistamisista organisaatiolta, ja ilmoittavat meille henkilövaihdoksista ja uusien tunnuksien tarpeista.
Ylläpitäjä-oikeudet rajatulle joukolle. Ja pitää kirjaa kenellä on oikeudet omassa organisaatiossa.
Tekniset rajoitukset ja valvonta:
Ip-rajattu, salasana rajattu.
Valvonta: lokitus, käyttäjien lisääminen ja poistaminen lokitetaan.
Ylläpitäjät hallinoivat käyttäjiä vain kun on tarve.
Tiedonsalaaminen: HTTPS takana
TODO: käyttämättömät tunnukset poistetaan puolen vuoden käyttämättömyyden jälkeen. Henkilötiedoista huolehditaan koko elinkaaren
TODO: tarkistetaan jääkö käyttäjätiedot käyttäjän poistamisen jälkeen. Eli onko mahdollista selvittää kuka käyttäjä oli poiston jälkeen.
TODO: lokiin pitää jäädä tieto kuka on luonut tunnuksen
Kaksivaiheisen tunnistautumisen mahdollistaminen tulevaisuudessa(mobiilivarmenne, multiotp open source?)
