Tietoturvan huomioiminen maksujärjestelmässä
Klaper, Janne (2016)
2016
Tietotekniikan koulutusohjelma
Tieto- ja sähkötekniikan tiedekunta - Faculty of Computing and Electrical Engineering
This publication is copyrighted. Only for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2016-05-04
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201604203864
https://urn.fi/URN:NBN:fi:tty-201604203864
Tiivistelmä
Tietoturvallisuuden merkitys korostuu nykyisessä verkottuneessa maailmassa entistä enemmän. Samaan aikaan digitalisoituva maailma kaipaa paljon uusia ohjelmistoja. Nämä ohjelmistot joudutaan usein tekemään kiireellä, jolloin tärkeiden asioiden painottaminen oikein tulee merkityksellisemmäksi. Rahaohjelmistoissa on erityisen tärkeää huolehtia ohjelmiston turvallisuudesta rahan kriittisen luonteen takia.
Tämän työn tarkoituksena on tarjota ohje maksujärjestelmäprojektiin, jotta kiireisessä aikataulussa osattaisiin panostaa olennaisiin ja tärkeisiin asioihin tietoturvassa. Kun ohjelmistoprojektissa huomioidaan työssä käsitellyt asia, saadaan varmistettua hyvä pohja järjestelmän tietoturvallisuudelle. Monet työssä esiin tulleista asioista koskevat myös muita järjestelmiä. Tämä diplomityö keskittyy erityisesti maksujärjestelmiin, koska ne ovat kriittisiä järjestelmiä ja tarvitsevat korkean saatavuuden. Erityinen paino on maksujen varmentamisesta vastaavalla palvelulla, joka on hyvin kriittinen osa toimivaa järjestelmää.
Työ käsittelee järjestelmän kolmea eri osa-aluetta, jotka yhdessä määrittelevät järjestelmän tietoturvallisuuden. Ensimmäisenä osa-alueena on verkkoinfrastruktuuri, joka luo pohjan järjestelmän toiminnalle. Järjestelmä kommunikoi muiden järjestelmien kanssa verkon avulla, ja mahdollistaa järjestelmän hajauttamisen. Toisena osa-alueena on tietokanta, joka on järjestelmän tietojen keskipiste. Tietokannan toimivuus takaa tietojen ylläpitämisen ja oikeellisuuden. Kolmantena osa-alueena ovat palvelinohjelmistot, jotka muodostavat järjestelmän toiminnallisuuden. Näiden osa-alueiden sisällä tarkastellaan tietoturvan kolmea keskeistä osaa, jotka ovat luottamuksellisuus, eheys ja saatavuus.
Arvioinnissa käydään läpi sitä, miten toteutettu maksujärjestelmä onnistui tietoturvallisuuden kannalta. Tietoturvaan liittyy aina monia asioita, mutta muun muassa järjestelmän suorituskykyä on saatu parannettua merkittävästi käyttöönoton jälkeen. Tietoturva on ollut järjestelmässä hyvä, ja sitäkin on parannettu auditointien antamien suositusten mukaan. Kaiken tämän mahdollistavat hyvät ohjelmointitavat sekä kattava testaus, joiden ansiosta muutoksien tekeminen on helppoa.
Tämän työn tarkoituksena on tarjota ohje maksujärjestelmäprojektiin, jotta kiireisessä aikataulussa osattaisiin panostaa olennaisiin ja tärkeisiin asioihin tietoturvassa. Kun ohjelmistoprojektissa huomioidaan työssä käsitellyt asia, saadaan varmistettua hyvä pohja järjestelmän tietoturvallisuudelle. Monet työssä esiin tulleista asioista koskevat myös muita järjestelmiä. Tämä diplomityö keskittyy erityisesti maksujärjestelmiin, koska ne ovat kriittisiä järjestelmiä ja tarvitsevat korkean saatavuuden. Erityinen paino on maksujen varmentamisesta vastaavalla palvelulla, joka on hyvin kriittinen osa toimivaa järjestelmää.
Työ käsittelee järjestelmän kolmea eri osa-aluetta, jotka yhdessä määrittelevät järjestelmän tietoturvallisuuden. Ensimmäisenä osa-alueena on verkkoinfrastruktuuri, joka luo pohjan järjestelmän toiminnalle. Järjestelmä kommunikoi muiden järjestelmien kanssa verkon avulla, ja mahdollistaa järjestelmän hajauttamisen. Toisena osa-alueena on tietokanta, joka on järjestelmän tietojen keskipiste. Tietokannan toimivuus takaa tietojen ylläpitämisen ja oikeellisuuden. Kolmantena osa-alueena ovat palvelinohjelmistot, jotka muodostavat järjestelmän toiminnallisuuden. Näiden osa-alueiden sisällä tarkastellaan tietoturvan kolmea keskeistä osaa, jotka ovat luottamuksellisuus, eheys ja saatavuus.
Arvioinnissa käydään läpi sitä, miten toteutettu maksujärjestelmä onnistui tietoturvallisuuden kannalta. Tietoturvaan liittyy aina monia asioita, mutta muun muassa järjestelmän suorituskykyä on saatu parannettua merkittävästi käyttöönoton jälkeen. Tietoturva on ollut järjestelmässä hyvä, ja sitäkin on parannettu auditointien antamien suositusten mukaan. Kaiken tämän mahdollistavat hyvät ohjelmointitavat sekä kattava testaus, joiden ansiosta muutoksien tekeminen on helppoa.