FiComin lausunto tunnistus- ja luottamuspalvelumääräyksen 72 muutostarpeista

FiCom kiittää Liikenne- ja viestintävirastoa mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

6) Tietoturvallisuuden hallinta. Olisiko tietoturvallisuuden hallinnan vaatimuksia mielestänne muutettava, lisättävä tai vähennettävä jollain tavalla ja millä perusteella?

Määräyksen 2 luvun tunnistusjärjestelmän ja rajapintojen salausvaatimuksia koskevan 7 §:n 4 momentin sekä tietoturvavaatimuksia tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa koskevan 8 §:n 3 momentin vaatimuksiin henkilötietojen sanomatasoisesta salauksesta ehdotetaan lisättäväksi seuraavanlainen muotoilu:

Sanomatason salaus ei kuitenkaan ole välttämätön, mikäli viestiliikenne tapahtuu suoraan palvelinten välillä käyttämättä henkilön selainta kuriirina ja mainittu yhteys on salattu edellä kuvattujen vaatimusten mukaisesti.

Sama voidaan myös muotoilla aloittamalla ”Vaatimus sanomatason salauksesta ei koske….” ja lisäksi tarvittaessa korostaa, että ”henkilötietoja sisältävä viestiliikenne tapahtuu….”. Kuten kyselyssäkin on todettu, etenkin Tupas-siirtymä ja sanomatason salauksen käyttöönotto ja siihen liittyvä avaintenhallinta asiointipalvelun kanssa aiheuttivat muutostarpeita vuoden 2019 aikana. Ehdotettu muutos määräykseen mahdollistaisi nykyisin käytetyn ETSI-liikenteen.