MyData tuo mahdollisuuksia mutta ei ratkaise kaikkia ongelmia henkilötietojen suojassa digitalisoituvissa sosiaali- ja terveyspalveluissa
Lisensoitu Creative Commons Nimeä 4.0 Kansainvälinen -lisenssillä.
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
MyData tuo mahdollisuuksia mutta ei ratkaise kaikkia ongelmia henkilötietojen suojassa digitalisoituvissa sosiaali- ja terveyspalveluissa
Lisensoitu Creative Commons Nimeä 4.0 Kansainvälinen -lisenssillä.
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
Sitra, Kokemuksia palveluväylästä -seminaari 15.5.2014. Palveluväyläkokemuksia, Espoon palveluväyläpilotti, Hankejohtaja Kari Kankaanhuhta, Espoon kaupunki
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon.
Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja?
Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...Sami Suo-Heikki
Tässä opinnäytetyössä oli tavoitteena toteuttaa Tehden-ohjelmistoon viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytäntöä. Tehden-ohjelmisto on verkkopohjainen toiminannanohjausjärjestelmä, joka auttaa yrittäjiä jokapäiväisessä työssään. Työssä käsiteltiin yhteyskäytännön soveltamista ja käyttöönottoa olemassa olevaan ohjelmistoon. Tämän lisäksi esiteltiin yhteyskäytännössä käytettäviä eri tekniikoita, yhteyskäytännön mahdollisuuksia ja sen tuomaa muutosta pankkiyhteyksiin.
Web Services eli yrityksen pankkiyhteys -kanava on tarkoitettu konekielisen pankkiaineiston siirtoon yrityksen ja pankin välillä. Kanavaa voidaan käyttää maksuaineiston lähettämiseen ja noutamiseen pankista. Web Services -kanava perustuu nykyaikaisiin XML-sanomiin ja PKI-teknologioihin ja seuraa yhtenäisen euromaksualueen standardeja.
Toteutettava kokonaisuus koostui PHP-ohjelmointikielellä toteutettavasta PKI-varmenteiden hallinnasta, pyyntösanomien muodostamisesta ja allekirjoittamisesta, SOAP-rajapinnasta sekä vastaanotettujen aineistoiden käsittelystä. Maksuaineistot tallennetaan PostgreSQL-relaatiotietokantaan. Valmis kokonaisuus sisältää yrityksen tunnusten varmentamisen ja viitesiirtoaineiston ajastetun sekä manuaaliseen noudon Osuuspankin Web Services -kanavasta.
Opinnäytetyön tuloksena syntynyt kokonaisuus on opinnäytetyön kirjoitushetkellä jo käytössä usealla yrityksellä. Toteutettu kokonaisuus loi lisäksi lähes valmiin pohjan muiden pankkien yhteyskäytännön toteuttamiseen Tehden-ohjelmistossa.
---------------------
The aim of the present Bachelor’s thesis is to implement a payment information fetch from Osuuspankki, a Finnish bank, to the Tehden system using the Web Services -protocol. The Tehden system is a web-based ERP system that facilitates the flow of information for business in the fields of wellbeing and commerce. The thesis describes the application and deployment of the protocol into an existing software. Moreover, it also covers the different technologies used in the protocol, the protocol’s possibilities and its effect on banking connections.
Web Services are designed for the transfer of electronic banking material between a company and a bank and it is used for sending and retrieving payment information from the bank. A Web Services channel is based on modern XML messages and PKI technology and it follows the current standards of the Single Euro Payments Area.
The implementation of the Web Services protocol included a module written with PHP that contains a PKI certificate management, the formation and signing of request messages, the SOAP API, as well as processing the received data. The payment information is saved in a PostgreSQL relational database. Ready implementation is used for verifying company’s user information and fetching payment information both manually and automatically from the Osuuspankki Web Services channel.
X-Road is an open source data exchange layer solution used by the national governments in Estonia and Finland. This presentation explains a concept how X-Road can be used as a technical platform to exchange MyData. In addition to the technology, also common principles and guidelines required by the concept are discussed.
Sitra, Kokemuksia palveluväylästä -seminaari 15.5.2014. Palveluväyläkokemuksia, Espoon palveluväyläpilotti, Hankejohtaja Kari Kankaanhuhta, Espoon kaupunki
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon.
Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja?
Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...Sami Suo-Heikki
Tässä opinnäytetyössä oli tavoitteena toteuttaa Tehden-ohjelmistoon viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytäntöä. Tehden-ohjelmisto on verkkopohjainen toiminannanohjausjärjestelmä, joka auttaa yrittäjiä jokapäiväisessä työssään. Työssä käsiteltiin yhteyskäytännön soveltamista ja käyttöönottoa olemassa olevaan ohjelmistoon. Tämän lisäksi esiteltiin yhteyskäytännössä käytettäviä eri tekniikoita, yhteyskäytännön mahdollisuuksia ja sen tuomaa muutosta pankkiyhteyksiin.
Web Services eli yrityksen pankkiyhteys -kanava on tarkoitettu konekielisen pankkiaineiston siirtoon yrityksen ja pankin välillä. Kanavaa voidaan käyttää maksuaineiston lähettämiseen ja noutamiseen pankista. Web Services -kanava perustuu nykyaikaisiin XML-sanomiin ja PKI-teknologioihin ja seuraa yhtenäisen euromaksualueen standardeja.
Toteutettava kokonaisuus koostui PHP-ohjelmointikielellä toteutettavasta PKI-varmenteiden hallinnasta, pyyntösanomien muodostamisesta ja allekirjoittamisesta, SOAP-rajapinnasta sekä vastaanotettujen aineistoiden käsittelystä. Maksuaineistot tallennetaan PostgreSQL-relaatiotietokantaan. Valmis kokonaisuus sisältää yrityksen tunnusten varmentamisen ja viitesiirtoaineiston ajastetun sekä manuaaliseen noudon Osuuspankin Web Services -kanavasta.
Opinnäytetyön tuloksena syntynyt kokonaisuus on opinnäytetyön kirjoitushetkellä jo käytössä usealla yrityksellä. Toteutettu kokonaisuus loi lisäksi lähes valmiin pohjan muiden pankkien yhteyskäytännön toteuttamiseen Tehden-ohjelmistossa.
---------------------
The aim of the present Bachelor’s thesis is to implement a payment information fetch from Osuuspankki, a Finnish bank, to the Tehden system using the Web Services -protocol. The Tehden system is a web-based ERP system that facilitates the flow of information for business in the fields of wellbeing and commerce. The thesis describes the application and deployment of the protocol into an existing software. Moreover, it also covers the different technologies used in the protocol, the protocol’s possibilities and its effect on banking connections.
Web Services are designed for the transfer of electronic banking material between a company and a bank and it is used for sending and retrieving payment information from the bank. A Web Services channel is based on modern XML messages and PKI technology and it follows the current standards of the Single Euro Payments Area.
The implementation of the Web Services protocol included a module written with PHP that contains a PKI certificate management, the formation and signing of request messages, the SOAP API, as well as processing the received data. The payment information is saved in a PostgreSQL relational database. Ready implementation is used for verifying company’s user information and fetching payment information both manually and automatically from the Osuuspankki Web Services channel.
Similar to 2014-12-01-Kansallinen palveluväylä (20)
X-Road is an open source data exchange layer solution used by the national governments in Estonia and Finland. This presentation explains a concept how X-Road can be used as a technical platform to exchange MyData. In addition to the technology, also common principles and guidelines required by the concept are discussed.
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...Petteri Kivimäki
This presentation is about evaluating open source software, and it presents a group of guidelines, which can be divided into five categories:
- Evaluating features and functionality
- Evaluating technologies and software architecture
- Evaluating software licensing
- Evaluating the community
- Evaluating my organization and its resources
The presentation introduces useful guidelines for organizations considering an open source strategy. It will also present a case study which focuses on evaluating open source software as a part of the New Library System (NLS) project coordinated by the National Library of Finland (NLF).
2. Sisältö
• Yleisesittely
• X-Road versio 6
• Tiedonsiirtoprotokolla
• Sovitinpalvelu
• Tekniset vaatimukset
• Muut vaatimukset
• Aikataulu
• Jatkokehitys
3. Kansallinen palveluarkkitehtuuri
• Yhteentoimiva digitaalisten palvelujen infrastruktuuri,
jonka avulla tiedon siirto organisaatioiden ja
palvelujen välillä on helppoa
• Ohjelmassa luodaan
– Kansallinen palveluväylä
– Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset
palvelunäkymät
– Uusi kansallinen sähköinen tunnistusratkaisu
– Kansalliset ratkaisut organisaatioiden ja luonnollisten
henkilöiden roolien ja valtuutusten hallintaan
4. Kansallisen
tunnistamisen
malli
Tunnistus-välineet
Palvelunäkymät Yht.palvelut
Organisaatioiden
• Sisäiset
järjestelmät
• Yhteiset
järjestelmät
Perus-rekisterit
Muut
perustieto
varannot
Roolit:
Attrib.
rekisterit
Tunnistuspalvelut
Kokoavat
tietopalvelut
Tietovarantojen
hallinta
Roolit ja
valtuutukset
Sähköiset
palvelut
Julkiset
palvelut
Kuntien
tieto-varannot
…
Roolit ja
valtuutukset
Karttapalvelu
Maksaminen
Valtuutusten
hallinta
Tavoitetta-vuustiedot
Palveluun
ohjaus
Palveluportaalit
(esim. nykyiset suomi.fi ja yrityssuomi.fi)
Oman Asiointitilit
asioinnin
hallinta
Allekirjoitus
VIA
integraatiopalvelu
Palveluväylä
Palveluväylän
metatietopalvelut
Kansalainen
Huoltaja
Edunvalvoja
Organisaatio
…
…
Omat
tiedot
Yritys / Viranomainen
Asiakkaat Kansalainen yhteisö
PTV
palvelutie-tovaranto
EU-asiointi
PEPS
… VRK / JKa 27.11.2014
Herätteet
5. Kansallinen palveluarkkitehtuuri
Palvelunäkymät
Perustieto-varannot
Omien tietojen
katselu
Uusi
palveluhaku
+ karttanäkymä
Palveluoppaat
Sähköiset
palvelut
(federointi, koonti)
Personoitu
palvelunäkymä
Portaalialusta sisällöntuotantoon, hakumoottori…
Valtion
yhteiset palvelut
Julkisen hallinnon
kohdealue- ja
toimialakohtaiset palvelut
Kuntien
palvelut
Yrityssektorin
palvelut
Palveluväylän
hallinta Tunnistus-palvelut
Rooli/
valtuus-hallinta
Palvelu-tietovaranto
PTV
Tietoturva,
raportointi.
lokipalvelu
Palveluväylä
välttämättömiä heti
keskeiset palvelut liitettävä alkuvaiheessa,
muut myöhemmässä vaiheessa
6. Yleisesittely
• Tiedonvälityskokonaisuus, joka toimii viestiväylänä
siihen liitettyjen palveluiden ja tietovarantojen välillä
– Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva
tiedonvälityskerros
– Kytkee toisiinsa erilaisia palveluita ja tietovarantoja
• Ei itsessään muuta tai luo uusia toiminnallisia
palveluprosesseja
• Hyödyt syntyvät väylään kytketyistä tiedoista ja
palveluista, ei väylästä itsestään
• Palveluväylän arvo on sen muodostamassa
standardoidussa tietojen vaihdon ratkaisumallissa
7. Yleisesittely
• Voidaan kytkeä sekä julkisen että yksityisen sektorin
palveluita
– Kytkettävien palveluiden on täytettävä määritellyt tekniset
rajapintavaatimukset
• Väylään kytketyt palvelut ja tiedot voivat olla vapaasti
käytettävissä tai sopimuksenvaraisia
– Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa)
– Myös avoimen datan palvelut tervetulleita
8. Yleisesittely
• Alustana Virossa käytössä olevan X-Road-ratkaisun
versio 6
• Palveluväylän ydin koostuu
– Siihen liittyneiden organisaatioiden liityntäpalvelimista
– Palveluväylän keskuspalvelimista
• Palveluväylän sisäinen liikenne on julkisen internetin
yli tapahtuvaa liityntäpalvelinten välistä liikennettä
– Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti
• Ei yhtä yksittäistä palveluväyläkomponenttia
– Palveluväylä on hajautettu järjestelmä
11. Yleisesittely
• Luotettava ja turvallinen tiedonsiirtokanava julkisen
internetin yli
– Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen
• Kaikki palveluväylää kulkeva liikenne salataan ja
allekirjoitetaan digitaalisesti
– Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla
– Kaikki tieto allekirjoitetaan varmenteilla
• Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen
lokiin, joka mahdollistaa tapahtumien todentamisen
jälkikäteen
– Lokien muuttumattomuus varmistetaan varmennettujen
aikaleimojen kautta
13. Yleisesittely
• Keskuskomponentit
– Keskuspalvelin
• Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä
organisaatioista
– Paikalliset kopiot liityntäpalvelimilla
– Keskuspalvelimen liityntäpalvelin
• Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän
muiden liityntäpalvelinten käyttöön
– Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
14. Yleisesittely
• Varmennepalvelu (Certificate Authority, CA)
– Keskus- ja liityntäpalvelinten palvelinvarmenteet
– Organisaatioiden allekirjoitusvarmenteet
– OCSP-palvelin (Online Certificate Status Protocol)
• Sertifikaattien voimassaolon tarkistus
• Aikaleimapalvelu (Time Stamping Authority, TSA)
– Väylän kautta lähetettyihin sanomiin lisätään varmennettu
aikaleima
– Mahdollistaa lokien muuttumattomuuden todentamisen
15. Yleisesittely
• Liityntäpalvelin
– Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään
– Kokoonpano vakioitu
– Voi olla organisaatiokohtainen tai monen organisaation
kesken yhteinen
– Jokaisella liityntäpalvelimella oma sertifikaatti
• Käytetään liityntäpalvelinten välisissä yhteyksissä
– Jokaisella organisaatiolla sekä tarvittaessa organisaation eri
järjestelmillä omat sertifikaatit
• Käytetään organisaation/järjestelmän lähettämien sanomien
allekirjoittamiseen
17. Yleisesittely
• VRK ja CSC vastaavat keskuskomponenttien
ylläpidosta
• VRK vastaa varmennepalvelun ja aikaleimapalvelun
ylläpidosta ja toteutuksesta
• Väylään liittynyt organisaatio
– Vastaa omien tietojensa ja palveluidensa ylläpidosta
– Päättää kenelle jakaa tietojaan
– Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt
tekniset rajapintavaatimukset
– Vastaa tietojen välityksestä liityntäpalvelimeensa
– Ylläpitää liityntäpalvelimensa
18. Yleisesittely
• Palveluväylä vastaa keskitetyistä palveluista ja
liikenteestä liityntäpalvelinten välillä
– Osoitteiden hallinta
– Reititys
– Käyttöoikeuksien hallinta
– Salaus
– Aikaleimat
– Lokitus
• Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia
– Virheiden käsittely
19. Yleisesittely
• Palveluväylä säilyy toiminnallisena määräajan myös
ilman keskuspalvelimia
– Väylään liittyneiden organisaatioiden ja liityntäpalvelinten
tiedot keskuspalvelimella
– Tiedoista paikalliset kopiot liityntäpalvelimilla
• Päivitetään määräajoin
• Voimassaoloaika määriteltävissä
– Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset
kopiot vanhenevat
• Aikaleimapalvelun ja OCSP-tarkistusten jatkuva
toiminta väylän kannalta kriittistä
– voimassaoloaika minuutteja, ei päiviä
20. X-Road versio 6
• Toteutustekniikka uudistettu
– C/C++ -> Java, Ruby
• Federointi – valtioiden välisten X-Road-instanssien
liittäminen toisiinsa
• Tuki usealle rajapintakuvaukselle (WSDL) per
organisaatio
• Sanomien aikaleimaus
• Liityntä- ja keskuspalvelimen käyttöliittymät
• Tuki turvamoduulin käytölle (Hardware Security
Module, HSM)
– Allekirjoituksiin käytettävien yksityisten avainten säilytys
21. X-Road versio 6
• Hierarkkiset organisaatio-, järjestelmä- ja
palvelutunnisteet
– instance/memberClass/organizationCode/subsystem/service/version
– Esim. FI/GOV/12345-6/DemoService/helloService/v1
– Palveluväyläoperaattori määrittelee: instance, memberClass,
organizationCode
– Organisaatio määrittelee: subsystem, service, version
• Palvelukohtaisten käyttöoikeuksien määrittely
mahdollista organisaation ja yksittäisen
tietojärjestelmän tasolla
– Suosituksena on käyttää aina tietojärjestelmätasoa
22. Tiedonsiirtoprotokolla
• Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan
toteuttamista liitettävään
järjestelmään
– SOAP 1.1
– X-Road määrittee
• Otsikkotietojen rakenteen
• Body-osan rakenteen
– Rajapintakuvaukset (WSDL)
• Lisätietoja
– https://confluence.csc.fi/display/Palveluvayla/X-Road-tiedonsiirtoprotokolla
25. Sovitinpalvelu
• Palveluväylän edellyttämät sanomamuunnokset
voidaan toteuttaa erillisessä sovitinpalvelussa
– Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin
– SOAP-pohjaisten järjestelmien kohdalla muutokset
suoraviivaisia
– REST-mallisten järjestelmien kohdalla muutokset työläämpiä
• Sovitinpalvelu voidaan toteuttaa
– Suoraan liitettävään järjestelmään
– Erillisenä komponenttina samalla palvelimella järjestelmän
kanssa
– Erillisenä komponenttina omalla palvelimellaan tai jo
käytössä olevassa integraatioratkaisussa
28. Tekniset vaatimukset
• Liityntäpalvelin
– Kokoonpano vakioitu
• Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät
ohjelmistot
– Ubuntu 14.04 LTS
• 64 bit, 4GB RAM, 3GB levytilaa
– Vähintään tietoturvallisuuden perustaso, liitettävästä
järjestelmästä riippuen voi myös olla korotettu taso
• Liitettävä järjestelmä
– X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu)
• Ensin liittyminen testiympäristöön ja vasta sitten
tuotantoon
29. Muut vaatimukset ja käyttöehdot
(sekä keskeiset tietojenvaihdot)
• Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet
– (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä)
• Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet
• Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä ->
VRK)
– järjestelmän ja palvelun nimi ja kuvaus, versio
– liitettävän järjestelmän elinkaari
– rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja
vastaussanomia)
– tietojen maksullisuus?
– tietolupakäytännöt, lisenssi
– luokittelu
– palvelulupaus (saatavuus, osallistuminen testaukseen)
– vastuuhenkilöt ja yhteystiedot
30. Aikataulu
• 12/2014 uusi kehitysympäristö (versio 6)
– CA ja TSA osa kehitysympäristöä
– Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön
12/2014-01/2015 ->
• Auditoinnit Q1/2015 ->
– Arkkitehtuurin katselmointi
– Keskuspalvelinympäristö
– Liityntäpalvelimen referenssitoteutus
– Lähdekoodi
• Ensimmäinen tuotantoympäristö Q1-Q2/2015
– CA ja TSA VRK:n käyttöpalveluympäristössä
– Liityntäpalvelimen lähdekoodin avaaminen
31. Aikataulu 2015
• Keskeisten tietovarantojen liittämisen tukeminen
– VTJ ensimmäisenä
– Keskusteluja meneillään eri rekisterinpitäjien kanssa
• Palveluväylän ylläpidon ja käytön sekä
palveluväylään liittymisen edellyttämien
hallintamallien käyttöönotto
– Sisäinen ja ulkoinen tuotteistus
• Avoimen kehittämisen mallin suunnittelu ja
käyttöönotto
32. Jatkokehitys
• Jo tunnistetut jatkokehityskohteet sekä käyttöönoton
jälkeen esille nousevat tarpeet, mm.:
– REST-tuki
– RHEL-tuki
• Alustava aikataulu Q1-Q2/2015
– Valvontatyökalut
– Lokitukseen liittyvät käytännöt
– Rajapintakuvausten (WSDL) validointi
• Päivitykset vuosina 2015->
• Viroyhteistyö