Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri)
Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) sisältää pilvipalveluiden turvallisuuteen liittyviä hyviä käytäntöjä ja tulkintoja sekä ohjeistuksia pilvipalveluihin liittyvien riskien käsittelyyn. PiTuKri on liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen julkaisu.
PiTuKri on jaettu 11 osa-alueeseen (katso taulukko alla). Osa-alueet koostuvat vaatimuskorteista. Vaatimuskortteihin on kuvattu vaatimuksen teema, konkreettinen vaatimus, vaatimuksen soveltamiskohteet, suojaustavoite, sekä vaatimuksen toteuttamisen ja tulkinnan tueksi tarkoitettuja lisätietoja.
Klikkaamalla ylläolevasta linkkipainikkeesta voit tutustua PiTuKri:ssä kuvattuihin vaatimuksiin. Pilvipalveluntarjoajan on vastattava kaikkiin vaatimuksiin, kun kyseessä on SaaS-mallin pilvipalvelu. Asiakasympäristön eli kunnan vastuulla olevat vaatimukset on merkitty tiedostossa oikeanpuoleiseen sarakkeeseen.
Huomioitavaa: Asiakkaan vastuulle kuuluviin osuuksiin sisältyy tyypillisesti sekä pilvipalvelun asiakasjärjestelmän osuus, että asiakkaan muiden tiedonkäsittely-ympäristöjen osuus. Kriteeristössä kuvatut vaatimukset ovatkin useimmiten perusteltuja kohdentaa
- pilvipalveluntarjoajan vastuulla olevaan osuuteen,
- joissain sekä pilvipalveluntarjoajan että pilvipalvelun asiakkaan osuuksiin, ja
- joissain vain asiakkaan vastuulla olevaan osuuteen.
Kriteeristön tarkoituksenmukainen käyttö edellyttää riittävää osaamista turvallisuuden arvioijalta, pilvipalveluntarjoajalta ja pilvipalvelun asiakkaalta.
Klikkaamalla yllä olevasta linkkipainikkeesta voit tutustua pilvipalveluiden turvallisuuden arviointikriteeristöön (PiTuKri) kokonaisuudessaan Traficomin verkkosivuilla. Voit myös ladata käyttöösi PiTuKri-arviointityökalun (Excel).