Tietoyhteiskuntakaari (917/2014) edellyttää verkkotunnusten välittäjiksi ryhtyviä toiminnanharjoittajia ilmoittautumaan Viestintävirastolle ja huolehtimaan kaikkien ilmoittamiensa tietojen ajantasaisuudesta.
Laissa on säädetty vaatimuksia välittäjien toiminnalle ja niitä on osin tarkennettu Viestintäviraston
määräyksellä (68/2014 M). Vaatimukset verkkotunnusvälittäjille koskevat:
- asiakkaille tarjottavan palvelun sisältöä ja laatua
- sallittuja teknisiä rajapintoja
- tietoturvasta huolehtimista
- ilmoitusvelvollisuutta tietoturvahäiriöistä.
Palvelua koskevat velvoitteet
Välittäjän on
neuvottava (TYK 170.1,1 §) asiakkaitaan verkkotunnusten lainmukaisuudesta. Fi-verkkotunnus ei saa loukata toiselle rekisteröityä nimeä tai tavaramerkkiä.
- Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja merkit niitä koskevista rekistereistä (Määräys 7§).
- Verkkotunnus on aina merkittävä sen
todellisen käyttäjän nimiin (TYK 167.1 §).
- Välittäjän on merkittävä teknisen rajapinnan kautta Viestintäviraston verkkotunnusrekisteriin käyttäjää koskevat oikeat, ajantasaiset ja yksilöivät tiedot sekä kuulemisiin että tiedoksiantoihin käytettävä sähköpostiosoite (ns. prosessiosoite).
- Verkkotunnuksen käyttäjille on tiedotettava riittävän ajoissa tunnuksen voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi uusia (TYK 170.1,4 §).
Käyttäjän pyyntöjä koskevat velvollisuudet
Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee oikealta taholta. Verkkotunnuksen siirto tai välittäjän vaihto on tehtävä viiden arkipäivän kuluessa (Määräys 10-11 §).
Teknisiä rajapintoja koskevat vaatimukset
- Verkkotunnusvälittäjän on kyettävä merkitsemään tietoja verkkotunnusrekisteriin Viestintäviraston määrittelemällä teknisellä järjestelyllä (TYK 170.1,3 § ja 167.4 §).
- Teknisenä rajapintana on käytettävä selainkäyttöliittymää tai Viestintäviraston määrittelemää EPP-rajapintaa (Extensible Provisioning Protocol) (Määräys 9§).
- EPP-rajapintaa käytettäessä on välittäjän asiakasohjelmiston oltava yhteensopiva Viestintäviraston
EPP-rajapintakuvauksen kanssa ja sen tulee läpäistä Viestintäviraston vaatimat testit
EPP-testiympäristössä (Määräys 9§).
- EPP-rajapintaa käyttävän verkkotunnusvälittäjän on täytettävä kulloinkin voimassaolevan
Katakrin (Tietoturvallisuuden auditointityökalu) teknisen tietoturvallisuuden I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut arvioitavat kohdat tietoliikenne- ja tietojärjestelmäturvallisuuden osalta (Määräys 20§).
Tietoturvavaatimukset
Verkkotunnusvälittäjän on huolehdittava
välitystoimintansa tietoturvasta (TYK 170.1,6 §). Määräyksen (68/2014 M) luvussa 4 on annettu tarkempia määräyksiä toiminnan tietoturvallisuudesta. Jokaisen verkkotunnusvälittäjän velvollisuutena on määritellä yksityiskohtaiset ja riittävät ohjeet tietoturvauhkien varalle.
Välittäjän on dokumentoitava ja ylläpidettävä ajantasainen kuvaus siitä, miten se huomioi toiminnassaan tietoturvan eri osa-alueet:
- hallinnollinen tietoturva
- henkilöstöturvallisuus
- laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
- tietoaineisto- ja käyttöturvallisuus
- fyysinen turvallisuus.
Lisäksi verkkotunnusvälittäjällä on oltava ajantasaiset dokumentoidut:
- riskienhallinnan prosessit ja säännöllisesti toteutettujen riskikartoitusten tulokset
- välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja luokitteluun liittyvä tietoaineistojen käsittelymenettely
- välitystoiminnan tietoturvauhkien valvontamekanismit
- menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien tilanteiden varalle
- verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja laitetilamuutoksia ohjaavat prosessit.
Viestintävirastolle ei ilman erillistä pyyntöä tarvitse lähettää dokumentteja.
Toimintaa koskevat häiriöilmoitukset
Verkkotunnusvälittäjän on tehtävä ilmoitus Viestintävirastolle välitystoimintaan kohdistuvasta tai sitä uhkaavasta merkittävästä tietoturvaloukkauksesta tai muusta tapahtumasta, joka estää tai häiritsee sitä olennaisesti (TYK 170.1,7 §).
Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun merkittävä häiriötilanne on tullut verkkotunnusvälittäjän tietoon (Määräys 21.2 §). Viestintäviraston laatimassa
Määräyksen 68 perustelut ja soveltaminen (MPS) -dokumentissa käsitellään kriteerejä, jotka on huomioitava arvioitaessa häiriötilanteen merkittävyyttä.
