Tekla Security Center

Uusin päivitys: 24.5.2018

 

1. Johdanto

Perinteisesti rakennustietojen mallinnustyökaluja on käytetty paikallisesti yhdellä tietokoneella. Maailmanlaajuisen yhteistyön ja pilvipalvelujen yleistymisen tuomat hyödyt eivät ole kuitenkaan jääneet teknologian alalla huomaamatta.

Trimble on aina ollut avoin uuden teknologian tuomille mahdollisuuksille. Tekla Online Services  tiimi keskittyy luomaan ja ylläpitämään verkkopalveluja, jotka tukevat Tekla-ohjelmiston käyttäjiä ja luovat heille lisäarvoa. Esimerkkinä tästä ovat Tekla Model Sharing –tiimityökalu  ja Tekla User Assistance, jotka auttavat käyttäjiä hyödyntämään Tekla-tuotteita tehokkaasti.

Tässä raportissa käsitellään  turvallisuuteen ja tietosuojaan liittyviä aiheita, jotka ovat mielestämme tärkeitä sekä meille että asiakkaillemme. Tässä raportissa käsiteltävät Tekla-ohjelmistotuotteet ovat Tekla Structures, Tekla Structural Designer ja Tekla Tedds. Tämän raportin kannalta keskeiset verkkopalvelut ovat Tekla Account ja Tekla Online Admin Tool, Tekla Model Sharing, Tekla User Assistance, Tekla Warehouse, Tekla Forum, Tekla Downloads, Tekla Campus, Tekla eLearning sekä Tekla Developer Center.

Noudatamme ISO 27001  standardin mukaisia parhaita käytäntöjä turvallisuuteen ja tietosuojaan liittyvissä prosesseissamme. Lisäksi monet turvallisuusvaatimuksemme noudattavat alan standardeja, esimerkiksi BSIMM- ja OWASP ASVS  standardeja. Olemme myös sitoutuneet noudattamaan GDPR-lainsäädäntöä.

 

2. Tekla Online Services

2.1 Tiedot

Useimmat Tekla Online Services -palvelut on suunniteltu niin, etteivät ne jaa tietoja toistensa kanssa. Tiedot, kuten tiettyyn palveluun tallennetut mallit, eivät ole muiden palvelujen käytettävissä. Ainoa poikkeus tähän sääntöön on Tekla Account, jota käytetään tunnistautumiseen kaikissa palveluissa: se tarjoaa palveluille niiden tarvitsemat henkilötiedot.

Asiakkaiden Tekla Online Services -palveluihin tallentamat tiedot voidaan jakaa kolmeen pääluokkaan:

Tiedot Luokitusperuste
Asiakkaiden Tekla Structures  ohjelmistossa luomat mallit (Mallit) Mallit ovat arvokkaimpia asiakkaiden verkkopalveluihin tallentamia kaupallisia omaisuuseriä.
Henkilökohtaisesti tunnistettavissa olevat tiedot (PII) Henkilökohtaisesti tunnistettavissa olevia tietoja ovat kaikki tiedot, joiden perusteella on mahdollista tunnistaa yksittäinen henkilö.
Muu asiakkaiden palveluihin luoma sisältö (Muu sisältö) Mallien lisäksi myös palveluissa oleva muu sisältö, kuten tukikeskustelut tai tiedostot, on suojattava.

 

2.2 Palvelut ja luokittelu

Tekla Online Services -portfolion suunnittelun keskeisenä periaatteena on ollut se, että tietoa tallennetaan vain sen verran kuin kunkin palvelun toimivuuden kannalta on tarpeen. Trimble ymmärtää asiakastietojen arvon ja haluaa minimoida turvallisuusriskit sekä tietojen väärinkäyttömahdollisuudet.

Tekla Online Services -palvelut voidaan luokitella niissä käsiteltävien tietojen mukaan.

Luokittelu Palvelu Palvelun perusteet
Kriittinen Tekla Model Sharing Sisältää kaikki Tekla Model Sharing -ohjelmistossa jaetut Tekla Structures -mallit.
Kriittinen Tekla Account Sisältää tunnistukseen käytettäviä henkilökohtaisesti tunnistettavissa olevia tietoja käyttäjistä ja käyttäjärooleista.
Korkea Tekla Warehouse Sisältää sovelluksia ja laajennuksia, jotka voidaan lisätä suoraan malleihin.
Normaali Kaikki muut Tallentavat vain rajoitettuja, henkilökohtaisesti tunnistettavissa olevia tietoja Tekla Account -palvelusta tai muuta järjestelmässä luotua sisältöä. Eivät tavallisesti tallenna malleja, eikä näillä ole niihin käyttöoikeutta.

 

Luokittelu Selitys
Kriittinen Palvelut, jotka on suunniteltu tallentamaan ja käyttämään käyttäjien kriittistä liiketoimintatietoa (esimerkiksi malleja) tai joiden kautta näihin tietoihin voi päästä käsiksi, jos järjestelmään on tunkeuduttu.
Korkea Palvelut, joita ei ole suunniteltu pääsääntöisesti tallentamaan tai käyttämään käyttäjien kriittistä liiketoimintatietoa, mutta jotka voivat joissakin tilanteissa tallentaa tai käyttää niitä rajoitetusti esimerkiksi teknisen tuen tarjoamista varten.
Normaali Järjestelmät, jotka eivät tallenna eivätkä käytä käyttäjien kriittistä liiketoimintatietoa missään tilanteessa ja joiden kautta näihin tietoihin ei voi päästä käsiksi, vaikka järjestelmään olisi tunkeuduttu.

 

2.3 Tietojen tallentaminen

Yksityiskohtaisia tietoja Tekla Online Services -palveluihin tallennetuista asiakastiedoista ja niiden tallennuspaikan maantieteellisestä sijainnista on saatavissa pyydettäessä.

 

3. Tekla Online Services -palvelujen tietoturva

3.1 Turvallisuusauditoinnit

Vaikka sovellukset on suunniteltu ja kehitetty kaikkien alan parhaiden käytäntöjen mukaisesti ja sovelluskehittäjämme ovat kokeneita ammattilaisia, on mahdollista, että jotain on jäänyt huomaamatta. Kolmannen osapuolen testaajat suorittavat kaikille Tekla Online Services -palveluille perusteellisen turvallisuusauditoinnin. Säännölliset auditoinnit takaavat, että palvelujen turvallisuus pysyy korkealla tasolla.

Jos turvallisuusauditoinneissa havaitaan tietoturvaongelmia tai parannuskohteita, Teklan tiimi arvioi ongelmakohdat ja suunnittelee tehokkaat korjaustoimet. Kaikki tärkeät tietoturvaongelmat korjataan ennen tuotteen ottamista tuotantoon, ja testaajat tarkistavat tuotteen turvallisuuden ennen sen hyväksymistä.

Kaikki auditoinnit tehdään tavanomaisin turvallisuusauditoinnin menetelmin asianmukaisten standardien, kuten OWASP-säätiön ASVS 3.0 -standardin mukaisesti, ottaen huomioon OWASP Top 10- tai OWASP Mobile Top 10 -luettelossa mainitut tietoturvan ongelmakohdat. Kaikki tietoturvaongelmat on arvioitu alan standardina pidetyllä CVSS-pisteytyksellä.

3.2 Haavoittuvuuksien hallinta

Haavoittuvuuksien hallintaprosessi varmistaa, että ohjelmisto pysyy ajan tasalla, kun tietoturvayhteisö havaitsee uusia tietoturvaongelmia. Uusia ongelmia löytyy yhä kiihtyvällä tahdilla, joten on tärkeää varmistaa, että internetpalvelut pysyvät turvallisina.

Monet Tekla Online Services -palvelut käyttävät sekä itse kehitettyjä että avoimen lähdekoodin komponentteja ja järjestelmiä. Silloin tällöin tietoturvatutkijat löytävät näistä uusia tietoturvahaavoittuvuuksia. Tunnistetut haavoittuvuudet käydään läpi ja palveluihin tehdään korjauksia ongelman vakavuuden mukaan. Tekla-tiimin riskianalyysiin perustuvat, kriittisten tietoturvakorjausten tuotantoon pääsyä nopeuttavat prosessit varmistavat, että palvelut pysyvät turvallisina.

Kukin Tekla Online Services -tiimi pitää yllä luetteloa oman tuotteensa tai palvelunsa käyttämistä ohjelmistokomponenteista. Tiimit seuraavat aktiivisesti palveluntarjoajien ja viranomaisten CERT-palvelujen julkaisemia turvallisuustiedotteita.

Joitakin Tekla Online Services -palveluja ylläpitävät tai hallinnoivat Teklan kumppanit. Näissä tapauksissa Tekla-tiimi toimii läheisessä yhteistyössä kumppanin kanssa varmistaakseen, että haavoittuvuuksien hallinta on tehokasta ja että palveluihin julkaistaan säännöllisesti ohjelmistokorjauksia. Sopimusten avulla on varmistettu, että kumppanimme noudattavat samoja standardeja kuin Trimble.

3.3 Tietoturvapoikkeamien hallinta

Teemme parhaamme varmistaaksemme kaikkien Tekla Online Services -palvelujen turvallisuuden, mutta on silti mahdollista, että järjestelmään pystytään tunkeutumaan. Trimble on laatinut tietoturvapoikkeamien hallintakäytännöt varmistaakseen, että kaikki poikkeamat käsitellään tehokkaasti.

Kukin Tekla Online Services -tiimi ylläpitää poikkeamien varalta toimintasuunnitelmaa, joka sisältää tietoturvapoikkeamien käsittelyohjeet. Suunnitelmissa on eritelty vastuut, tekniset työvaiheet ja ongelmien tutkimisessa ja korjaamisessa tarvittavien materiaalien sijainti.

3.4 Jatkuvuus ja hätätilanteesta palautuminen

Kaikilla Tekla Online Services -palveluilla on palautussuunnitelma, joka ohjeistaa, miten palvelu saadaan taas toimimaan osittaisen tai täydellisen tietojen menetyksen jälkeen. Suunnitelmat varmistavat, että hyväksyttävä palvelutaso voidaan säilyttää odottamattomissakin tilanteissa.

 

4. Tietoturvavaatimukset ja suunnittelu

4.1 Ohjelmistoarkkitehtuurin periaatteet

Tekla-ohjelmistoratkaisuissa ja Tekla Online Services -palveluissa käytetään erilaisia teknisiä ratkaisuja kunkin toiminnon tai järjestelmän ominaisuuksien ja niiden asettamien vaatimusten mukaan. Kaikissa järjestelmissä käytetään kuitenkin samoja arkkitehtuurin perusperiaatteita, jotta ohjelmistot ja palvelut varmasti täyttäisivät Trimblen turvallisuus- ja laatuvaatimukset.

Kaikki Trimblen arkkitehtuurisuunnitelmat on luotu ja tarkistettu erillisessä arkkitehtuuritiimissä, jotta niiden perusrakenne olisi vakaa ja turvallinen. Tämä varmistaa, että kehitystiimit voivat keskittyä sovellusten logiikkaan. Jos kehitystiimin tekemät muutokset voivat vaikuttaa ympäristön turvallisuuteen, arkkitehtuuritiimi osallistuu jälleen suunnitteluun.

Tekla Online Services käyttää pilvipalveluarkkitehtuurin vakiomallia, joka ei aseta käyttöä rajoittavia erityisvaatimuksia. Sitä käytetään myös mukautettujen arkkitehtuuriratkaisujen vertailukohtana, jotta varmistetaan, että ne täyttävät samat perusvaatimukset.

Kaikki Tekla Online Services -palvelut käyttävät asiakastietojen suojaukseen HTTPS- ja TLS-protokollaa, kun tietoja siirretään internetin kautta. Tämä on erityisen tärkeää palveluissa, joissa käsitellään malleja tai muita asiakkaiden luomia tietoja.

4.2 Palvelujen saatavuus

Monet Tekla Online Services -palvelut ovat välttämättömiä asiakkaidemme liiketoiminnalle. Varmistaaksemme, että palvelut ovat aina tarvittaessa saatavissa, niiden suunnittelussa on varmistettu hyvä käytettävyys ja skaalattavuus.

Kriittisiä palveluja ylläpidetään vakiintuneissa, hyvämaineisissa kansainvälisen tason palvelinkeskuksissa. Olemme hajauttaneet ylläpidon maantieteellisesti varmistaaksemme, että sisältö on edelleen käytettävissä jopa tietojen täydellisen menetyksen jälkeen ja se voidaan toimittaa asiakkaalle lähimmästä tallennuspaikasta. Yksityiskohtaisia tietoja yksittäisistä palveluista on saatavissa pyydettäessä.

4.3 Uhkien mallinnus

Turvallisten ratkaisujen suunnittelu alkaa niihin liittyvien uhkien ymmärtämisestä. Jos uhkia ei tunneta, turvatoimet voivat olla tehottomia tai jopa pahentaa tilannetta. Uhkien ymmärtäminen on yksi Tekla Online Services -palvelujen suunnittelun ja kehittämisen keskeisimmistä periaatteista.

Uhkien mallinnuksessa uhkaympäristöä tutkitaan ennen arkkitehtuurin lopullista suunnittelua. Kaikkia Tekla Online Services -palveluja kehitettäessä on käytetty uhkien mallinnusta. Todetut uhkat muodostavat perustan turvatoimien ja järjestelmän ominaisuuksien suunnittelulle.

Uhkien mallinnusta päivitetään palvelujen kehittyessä. Uhkien mallinnus on pakollinen osa muutosten hallintaprosessia. Se varmistaa, että uusien toimintojen vaikutukset ymmärretään perusteellisesti.

Uhkien mallinnuksen tuottamaa tietoa käytetään perustana turvallisuusauditointeja ja testimenettelyjä määritettäessä.

4.4 Palvelujen hallinnointi

Tekla Online Services -palvelut on suunniteltu asiakkaiden hallinnoitaviksi ja ylläpidettäviksi. Tekla Account Admin Tool -työkalun avulla asiakasorganisaatiot voivat määrittää eri palvelujen roolit ja käyttöoikeudet. Asiakkaidemme tiedot pysyvät heidän omassa valvonnassaan ja he voivat itse päättää, mitä käyttöoikeuksia organisaation omalle henkilöstölle myönnetään.

Vain Trimblen valtuutetuilla työntekijöillä on hallinnolliset oikeudet palveluihin, ja asiakastietoja pääsee käsittelemään vain rajallinen määrä henkilöitä.

Palvelujen hallinnollisten oikeuksien perustelut on selitetty palvelukohtaisessa dokumentaatiossa. Asiaa koskevia yleisiä tietoja on Trimblen palveluehdoissa ja Trimblen tietosuojaselosteessa.

4.5 Kolmannen osapuolen toimittajat

Tekla-ohjelmistoratkaisuihin ja Tekla Online Services -palveluihin sisältyvien ohjelmistojen ja palvelujen ylläpitoon, kehitykseen ja testaukseen käytetään luotettavia kumppaneita. Nämä kumppanuussuhteet ovat jatkuneet monia vuosia ja kumppaniemme asiantuntemuksella on keskeinen rooli palvelujemme kehittämisessä ja ylläpidossa.

Kaikki sopimukset niiden Trimblen toimittajien kanssa, jotka käsittelevät henkilötietoja Euroopan unionin (EU:n) ulkopuolella, sisältävät tietojen käsittelyä koskevan liitteen ja Euroopan komission vakiosopimuslausekkeet, jotka määrittävät tietosuojaa, yksityisyyttä, luottamuksellisuutta ja toimittajan haltuunsa saaman materiaalin käyttöä koskevat vaatimukset. Kaikkien toimittajien edellytetään noudattavan samoja standardeja kuin Trimblen omat työntekijät. Lisäksi vain nimetyt toimittajien työntekijät saavat työskennellä Trimblen projekteissa.

4.6 Tunnistus ja identiteetinhallinta

Tunnistusta edellyttävät Tekla Online Services -palvelut käyttävät Tekla Account -taustapalvelua. Käyttäjät kirjautuvat Tekla Account -palveluun Trimble Identity -tunnuksilla. Käyttöoikeuksia voidaan koska tahansa hallinnoida keskitetysti Tekla Online Admin Tool -työkalun avulla. Näin asiakkaidemme on helppo hallita Tekla Online Services -palvelujensa käyttöoikeuksia.

Tekla Account -palvelu perustuu alan standardin mukaiseen tunnistustekniikkaan. Kaikki integrointi muihin Tekla Online Services -palveluihin toteutetaan käyttämällä vakiotekniikoita, kuten SAML-standardia, jotta palvelujen välinen ero pysyisi selkeänä. Tätä palvelua käyttävät vain muut Tekla Online Services -palvelut, jotka edellyttävät käyttäjän tunnistusta, ja palvelu on testattu ennen käyttöönottoa.

 

5. Tietosuoja ja asetukset

Trimble Solutions on sitoutunut noudattamaan EU-lainsäädäntöä ja varmistamaan, että Tekla-ohjelmistoratkaisut ja Tekla Online Services -palvelut noudattavat kaikkia EU:n lakeja ja asetuksia, mukaan lukien GDPR (General Data Protection Regulation) eli EU:n tietosuoja-asetus. Teklan tiimit ovat selvittäneet Tekla-ohjelmistoratkaisuja ja Tekla Online Services -palveluja koskevat erityiset yhdenmukaisuusvaatimukset ja ottaneet ne huomioon ohjelmistojen ja palvelujen suunnittelussa ja kehityksessä. Yleisesti ottaen Tekla-ohjelmistoratkaisut ja Tekla Online Services -palvelut pyrkivät keräämään mahdollisimman vähän käyttäjän henkilötietoja. Yksityiskohtaisia tietoja henkilötietojen keräämisestä ja käytöstä on tietosuojaselosteessa.

Käyttäjien luomat tiedot ovat pääasiassa käyttäjien omistuksessa, vaikka ne olisi tallennettu Tekla-ohjelmistoratkaisuihin tai Tekla Online Services -palveluihin. Kaikki poikkeukset tähän sääntöön on kuvattu palvelukohtaisissa käyttöehdoissa.

Trimble Solutions ei jaa keräämiään henkilötietoja muille osapuolille, ellei palvelujen tarjoaminen tai niiden kehittäminen sitä edellytä. Jos tietoja on siirrettävä EU:n ulkopuolelle, noudatamme asianmukaisia tiedonsiirtomenetelmiä. Edellytämme kumppaneiltamme samoja tiukkoja tietosuoja- ja turvallisuusstandardeja, joita itse noudatamme.

 

6. Ohjelmistokehitys

6.1 Lähdekoodin suojaus

Tekla-ohjelmiston turvallisuuden kannalta on tärkeää varmistaa, ettei lähdekoodia voi muuttaa Trimblen ulkopuolelta. Tämän varmistamiseen on käytetty useita menetelmiä. Kaikki koodi tallennetaan versionhallintajärjestelmillä joko Trimblen omassa verkossa tai keskitetyssä tietovarastossa, tai kumppanimme omalla versionhallintajärjestelmällä. Käyttöoikeudet on rajattu tiukasti ainoastaan kehitystiimeille ja nimetyille sidosryhmän jäsenille.

6.2 Turvallinen kehitysympäristö

Tekla-ohjelmistoratkaisujen ja Tekla Online Services -palvelujen koodi kehitetään joko paikallisesti Trimblen omissa tiloissa tai kumppaniemme tiloissa. Trimblen omat tilat on hyvin suojattu ja kaikilla työntekijöillä ja vierailijoilla on oltava kulkulupa. Olemme asettaneet kumppaneillemme samanlaiset vaatimukset varmistaaksemme, että ne noudattavat yhtä tiukkoja käytäntöjä.

Tuotekehitys ja testaus tapahtuu joko paikallisesti työasemilla tai erityisissä kehitysympäristöissä. Kehityksen ja testauksen etäympäristöt on suunniteltu suojaamaan ohjelmistoa ja muita tietoja samoin kuin tuotantoympäristöt.

6.3 Koodin tarkistus

Parhaatkin ohjelmistokehittäjät tekevät joskus virheitä. Yksi tehokas ja alalla vakiintunut käytäntö tällaisten virheiden havaitsemiseksi ja niistä oppimiseksi on kehitystiimien sisäinen koodin tarkistus. Tekla-tiimeissä koodin tarkistus toteutetaan sekä vertaistarkistuksena että muodollisena koodin tarkistuksena. Näin voimme varmistaa, että koodi on korkealaatuista, ja levittää parhaita käytäntöjä tiimeissä.

Tekla-ohjelmisto perustuu moniin eri tekniikoihin. Eri tiimit käyttävät ja noudattavat kehitystyössä alan ohjeita ja parhaita käytäntöjä. Koodin tarkistusprosessien avulla pyritään tunnistamaan kohdat, jotka eivät ole ohjeiden tai parhaiden käytäntöjen mukaisia. Näihin poikkeamiin voidaan siten puuttua ennen koodin ottamista tuotantokäyttöön.

Käytössä on myös monia muita staattisia koodin laadunvarmistusmenetelmiä.

6.4 Testaus ja laatu

Trimble haluaa varmistaa, että sen ohjelmistot ja palvelut ovat huippulaatuisia. Siksi kaikki järjestelmät testataan huolellisesti ennen käyttöönottoa.

Kaikki uudet Tekla-ohjelmistoratkaisujen versiot ja Tekla Online Services -palvelujen päivitykset testataan ja tarkistetaan Trimblen laadunvarmistusprosessien mukaisesti. Prosesseihin sisältyy useita ISO-testistandardien mukaisia testitasoja ja testityyppejä (esimerkiksi yksikkö-, toiminnallisuus-, järjestelmä-, hyväksymis-, suorituskyky- ja kuormitustestit). Päivitykset ja muutokset testataan tavallisesti sekä automaattisilla että manuaalisilla testimenetelmillä. Kaikki testeissä havaitut regressiot korjataan ennen muutosten käyttöönottoa tai julkaisua.

Testausmenettelyjä ja muita testin osia kehitetään jatkuvasti tuotteiden kehittyessä. Testaajat kehittävät testausprosesseja ja työkaluja jatkuvasti alan parhaiden käytäntöjen mukaisesti. Käytössä on useita erilaisia mittaus- ja valvontamenetelmiä sekä varmistuskohtia testin kattavuuden ja korkean laadun varmistamiseksi.

Sekä kehitysvaiheessa, että julkaisun jälkeen on käytössä monia laadunvarmistustoimia. Suoritamme jatkuvaa ongelmien ja vikojen hallintaa ja tarvittaessa julkaistaan uusia huoltopaketteja Tekla-ohjelmistoratkaisuihin tai tuotantopäivityksiä Tekla Online Services -palveluihin, jotta varmistetaan, että asiakkaamme ja loppukäyttäjät voivat työskennellä tehokkaasti ja keskeytyksettä.

 

7. Yhteenveto

Trimble arvostaa asiakkaitaan. Tekla-ohjelmistoratkaisuja ja Tekla Online Services -palveluja kehittäessämme olemme tehneet tarvittavat toimet turvataksemme tietosuojasi ja liiketoiminnan kannalta tärkeät suunnitelmasi. Ohjelmistoja ja palveluja käyttäessäsi voit luottaa siihen, että tietosi ovat turvassa.

Jatkamme edelleen ohjelmistojemme ja palvelujemme tietoturvan ylläpitoa ja kehittämistä alan uusimpien parhaiden käytäntöjen mukaisesti. Näiden toimiemme ansiosta voit keskittyä ydinliiketoimintaasi, eikä sinun tarvitse olla huolissasi turvallisuudesta.

Jos sinulla on kysyttävää tai kommentoitavaa Tekla-ohjelmistoratkaisujen tai Tekla Online Services -palvelujen tietosuojasta, yksityisyydestä tai laadusta, ota yhteyttä Trimble Solutionsin paikalliseen toimipisteeseen tai lähetä sähköpostia osoitteeseen dpo.tekla@trimble.com.