Security

Security Policy

Tällä sivulla kuvataan, miten Suomi Solutions vastaanottaa, käsittelee ja arvioi vastuullisesti ilmoitettuja tietoturvalöydöksiä sekä millaista testausta pidämme hyväksyttävänä.

Päivitetty 03.06.2026
Responsible disclosure
Tietoturva

Miten ilmoittaa löydöksestä

Suhtaudumme tietoturvaan vakavasti ja arvostamme vastuullisesti tehtyjä haavoittuvuusilmoituksia. Jos löydät palvelustamme, verkkosivustoltamme tai järjestelmistämme mahdollisen tietoturvaongelman, ilmoita siitä meille.

Ilmoitusosoite:
[email protected]

Sisällytä viestiin mahdollisuuksien mukaan ainakin seuraavat tiedot:

selkeä kuvaus havainnosta
arvio löydöksen vaikutuksesta
tarkat toistovaiheet
mahdolliset URL-osoitteet, parametrit tai tekniset yksityiskohdat
lokit, kuvakaappaukset tai proof-of-concept, jos ne auttavat asian todentamisessa
yhteystietosi mahdollista jatkokeskustelua varten

Älä sisällytä ilmoitukseen tarpeettomasti henkilötietoja, salassa pidettäviä tietoja tai kolmansien osapuolten tietoja. Jos löydös sisältää arkaluonteista materiaalia, kerro siitä ensin yleisellä tasolla.

Mitä voit odottaa meiltä

Tavoitteenamme on:

kuitata ilmoituksen vastaanotto 3 arkipäivän kuluessa
arvioida löydöksen vakavuus ja vaikutus mahdollisimman nopeasti
pyytää tarvittaessa lisätietoja löydöksen todentamiseksi
pitää ilmoittaja ajan tasalla käsittelyn etenemisestä kohtuullisella aikavälillä
korjata vahvistetut ongelmat riskiperusteisesti

Korjausten aikataulu riippuu löydöksen vakavuudesta, vaikutuksesta, teknisestä laajuudesta ja mahdollisista kolmansista osapuolista.

Vastuullinen ilmoittaminen

Pyydämme, että toimit hyvässä uskossa ja vältät toimia, jotka voivat aiheuttaa haittaa palvelulle, käyttäjille, tiedoille tai kolmansille osapuolille.

älä käytä löydöstä hyväksi enempää kuin todentaminen välttämättä edellyttää
älä muuta, poista, kopioi tai tuhoa tietoja
älä keskeytä palvelun toimintaa tahallisesti
älä tee palvelunestotestejä tai kuormitustestejä ilman erillistä lupaa
älä pyri pääsemään muiden käyttäjien tietoihin
lopeta testaus, jos huomaat päässeesi tietoihin, joihin sinulla ei ole oikeutta
ilmoita löydöksestä meille viipymättä
älä julkaise löydöstä ennen kuin olemme ehtineet tutkia ja tarvittaessa korjata asian

Jos toimit vastuullisesti tämän linjauksen mukaisesti, emme lähtökohtaisesti pidä tietoturvatutkimustasi luvattomana emmekä pyri kohdistamaan sinuun toimenpiteitä pelkästään ilmoituksen tekemisen perusteella.

Sallitun testauksen rajat

Voit tehdä kevyttä, ei-häiritsevää testausta, jonka tarkoituksena on todentaa havainto turvallisesti. Testauksen tulee rajoittua siihen, mikä on välttämätöntä löydöksen osoittamiseksi.Älä tee seuraavia toimia ilman nimenomaista ennakkolupaa:

palvelunestotestit tai kuormitustestit
automaattinen laajamittainen skannaus, joka voi vaikuttaa palvelun toimintaan
sosiaalinen manipulointi, phishing tai henkilöstöön kohdistuvat testit
fyysisen turvallisuuden testaus
haittaohjelmien käyttö tai levittäminen
kirjautumistietojen arvaaminen, brute force -testaus tai salasanalistojen käyttö
kolmansien osapuolten palveluihin kohdistuvat testit

Rajaukset

Seuraavat havainnot eivät yleensä kuulu tämän ilmoituskanavan ensisijaiseen käsittelyyn, ellei niihin liity selkeää ja käytännössä osoitettavaa tietoturvavaikutusta:

puuttuvat tai heikot tietoturvaotsakkeet ilman konkreettista hyväksikäyttöpolkua
vanhentuneet ohjelmistoversiot ilman osoitettua vaikutusta kyseisessä ympäristössä
vähäriskiset best practice -poikkeamat
yleiset skanneriraportit ilman todennettua haavoittuvuutta
sähköpostin toimitettavuuteen liittyvät havainnot ilman selkeää väärinkäyttömahdollisuutta
clickjacking- tai framing-havainnot sivuilla, joilla ei käsitellä arkaluonteisia toimintoja
sosiaaliseen manipulointiin, phishingiin tai fyysiseen turvallisuuteen liittyvät testit ilman ennakkohyväksyntää
löydökset kolmannen osapuolen palveluissa, joihin emme voi suoraan vaikuttaa

Arvioimme kuitenkin kaikki asialliset ilmoitukset tapauskohtaisesti.

Julkaisukäytäntö

Toivomme koordinoitua julkaisua. Älä julkaise yksityiskohtia haavoittuvuudesta ennen kuin olemme saaneet kohtuullisen ajan asian tutkimiseen ja korjaamiseen. Sovimme tarvittaessa julkaisuaikataulusta erikseen ilmoittajan kanssa.Jos löydös koskee kolmannen osapuolen palvelua, ohjelmistoa tai toimittajaa, julkaisuaikataulussa voi olla tarpeen huomioida myös kyseisen osapuolen käsittelyprosessi.

Palkkiot

Tällä hetkellä emme tarjoa bug bounty -ohjelmaa tai rahallisia palkkioita haavoittuvuusilmoituksista, ellei toisin ole erikseen ilmoitettu. Arvostamme kuitenkin vastuullisesti tehtyjä ilmoituksia ja voimme ilmoittajan suostumuksella antaa asianmukaisen kiitoksen tai maininnan korjatusta löydöksestä.

Yhteystieto

Tietoturvaan liittyvät ilmoitukset:[email protected]Jos haluat lähettää arkaluonteisia tietoja salattuna, voit pyytää meiltä PGP-avaimen tai käyttää erikseen sovittua salattua yhteyskanavaa.

Security Policy

Security Policy

Miten ilmoittaa löydöksestä

Mitä voit odottaa meiltä

Vastuullinen ilmoittaminen

Sallitun testauksen rajat

Rajaukset

Julkaisukäytäntö

Palkkiot

Yhteystieto

Kiitos vastuullisesta ilmoittamisesta

Tiedoitteet