Fi-verkkotunnusvälittäjäksi ilmoittautuminen

Aloitus Vastuut ja velvollisuudet Tietojen antaminen Vahvistus

 

Vastuut ja velvollisuudet

Laki sähköisen viestinnän palveluista (917/2014) edellyttää verkkotunnusten välittäjiksi ryhtyviä toiminnanharjoittajia ilmoittautumaan Liikenne- ja viestintävirastolle ja huolehtimaan kaikkien ilmoittamiensa tietojen ajantasaisuudesta. Laissa on säädetty vaatimuksia välittäjien toiminnalle ja niitä on osin tarkennettu Liikenne- ja viestintäviraston määräyksellä (68/2016 M). Vaatimukset verkkotunnusvälittäjille koskevat:
  • asiakkaille tarjottavan palvelun sisältöä ja laatua
  • sallittuja teknisiä rajapintoja
  • tietoturvasta huolehtimista
  • ilmoitusvelvollisuutta tietoturvahäiriöistä.

 

Kaikkien verkkotunnusvälittäjäksi aikovien tulee tutustua huolellisesti kaikkiin verkkotunnusvälittäjän velvollisuuksiin, jotka löytyvät verkkotunnusvälittäjän oppaasta.

 

Palvelua koskevat velvoitteet

Välittäjän on neuvottava (SVPL 170.1,1 §) asiakkaitaan verkkotunnusten lainmukaisuudesta. Fi-verkkotunnus ei saa loukata toiselle rekisteröityä nimeä tai tavaramerkkiä.
  • Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja merkit niitä koskevista rekistereistä (Määräys 7§).
  • Verkkotunnus on aina merkittävä sen todellisen käyttäjän nimiin (SVPL 167.1 §).
  • Välittäjän on merkittävä teknisen rajapinnan kautta Liikenne- ja viestintäviraston verkkotunnusrekisteriin käyttäjää koskevat oikeat, ajantasaiset ja yksilöivät tiedot sekä kuulemisiin että tiedoksiantoihin käytettävä sähköpostiosoite (ns. prosessiosoite).
  • Verkkotunnuksen käyttäjille on tiedotettava riittävän ajoissa tunnuksen voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi uusia (SVPL 170.1,4 §).

 

Käyttäjän pyyntöjä koskevat velvollisuudet

  • verkkotunnuksen voimassaolon uusiminen (SVPL 167.3 §)
  • verkkotunnuksen siirto toiselle käyttäjälle (SVPL 168.1 §)
  • välittäjän vaihtaminen (SVPL 168.3 §)
  • verkkotunnuksen irtisanominen (SVPL 170.1,5 §).
 
Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee oikealta taholta. Verkkotunnuksen siirto tai välittäjän vaihto on tehtävä viiden arkipäivän kuluessa (Määräys 10-11 §).
Välittäjän on tiedotettava asiakkailleen toimintansa lopettamisesta ja Liikenne- ja viestintäviraston kieltopäätöksestä (SVPL 165.2 § ja Määräys 6§).

 

Teknisiä rajapintoja koskevat vaatimukset

  • Verkkotunnusvälittäjän on kyettävä merkitsemään tietoja verkkotunnusrekisteriin Liikenne- ja viestintäviraston määrittelemällä teknisellä järjestelyllä (SVPL 170.1,3 § ja 167.4 §).
  • Teknisenä rajapintana on käytettävä selainkäyttöliittymää tai Liikenne- ja viestintäviraston määrittelemää EPP-rajapintaa (Extensible Provisioning Protocol) (Määräys 9§).
  • EPP-rajapintaa käytettäessä on välittäjän asiakasohjelmiston oltava yhteensopiva Liikenne- ja viestintäviraston EPP-rajapintakuvauksen kanssa ja sen tulee läpäistä Liikenne- ja viestintäviraston vaatimat testit EPP-testiympäristössä (Määräys 9§).
  • EPP-rajapintaa käyttävän verkkotunnusvälittäjän on täytettävä kulloinkin voimassaolevan Katakrin (Tietoturvallisuuden auditointityökalu) teknisen tietoturvallisuuden I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut arvioitavat kohdat tietoliikenne- ja tietojärjestelmäturvallisuuden osalta (Määräys 20§).

 

Tietoturvavaatimukset

Verkkotunnusvälittäjän on huolehdittava välitystoimintansa tietoturvasta (SVPL 170.1,6 §). Määräyksen (68/2016 M) luvussa 4 on annettu tarkempia määräyksiä toiminnan tietoturvallisuudesta. Jokaisen verkkotunnusvälittäjän velvollisuutena on määritellä yksityiskohtaiset ja riittävät ohjeet tietoturvauhkien varalle.

 

Välittäjän on dokumentoitava ja ylläpidettävä ajantasainen kuvaus siitä, miten se huomioi toiminnassaan tietoturvan eri osa-alueet:

  • hallinnollinen tietoturva
  • henkilöstöturvallisuus
  • laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
  • tietoaineisto- ja käyttöturvallisuus
  • fyysinen turvallisuus.

 

Lisäksi verkkotunnusvälittäjällä on oltava ajantasaiset dokumentoidut:

  • riskienhallinnan prosessit ja säännöllisesti toteutettujen riskikartoitusten tulokset
  • välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja luokitteluun liittyvä tietoaineistojen käsittelymenettely
  • välitystoiminnan tietoturvauhkien valvontamekanismit
  • menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien tilanteiden varalle
  • verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja laitetilamuutoksia ohjaavat prosessit.
 
Liikenne- ja viestintävirastolle ei ilman erillistä pyyntöä tarvitse lähettää dokumentteja.
 

Toimintaa koskevat häiriöilmoitukset

Verkkotunnusvälittäjän on tehtävä ilmoitus Liikenne- ja viestintävirastolle välitystoimintaan kohdistuvasta tai sitä uhkaavasta merkittävästä tietoturvaloukkauksesta tai muusta tapahtumasta, joka estää tai häiritsee sitä olennaisesti (SVPL 170.1,7 §). Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun merkittävä häiriötilanne on tullut verkkotunnusvälittäjän tietoon (Määräys 21.2 §). Liikenne- ja viestintäviraston laatimassa Määräyksen 68 perustelut ja soveltaminen (MPS) -dokumentissa käsitellään kriteerejä, jotka on huomioitava arvioitaessa häiriötilanteen merkittävyyttä.

Välittäjän vastuiden ja velvollisuuksien hyväksyminen