Luottamukselliset asiakassuhteet ja tietoturvalliset tuotteet

Painopistealue #2

Luottamukselliset asiakassuhteet ja tietoturvalliset tuotteet

Luottamuksellisuus ja tietoturvan varmistaminen ovat osa Bittiumin vastuullisuutta. Luottamus on yksi Bittiumin arvoista ja liiketoiminnan edellytys. Luottamus liittyy niin asiakassuhteisiin, tuotteisiin, palveluihin kuin toimintatapoihinkin.

Luottamus ja tietoturva nivoutuvat toisiinsa Bittiumin tuottaessa luotettavia ja turvallisia viestintä- ja liitettävyysratkaisuja ja mobiilitietoturvaratkaisuja sekä terveydenhuollon teknologiatuotteita ja -ratkaisuja asiakkailleen.

Bittium vastaa alati lisääntyviin ja muuttuviin tietoturvavaatimuksiin seuraamalla reaaliaikaisesti maailmalla esiintyviä tietoturvauhkia, kouluttamalla henkilöstöä sekä osallistumalla kotimaisiin, eurooppalaisiin ja kansainvälisiin tietoturvan kehittämishankkeisiin.

Tavoitteet	Toimenpiteet	Mittarit	Tilanne 2020	Tulos 2021
Syvennetään luottamusta asiakkaiden kanssa	Luottamuksellisten ja tuloksellisten toimintatapojen kehittäminen edelleen.	Asiakastyytyväisyyskyselyn NPS (Net Promoter Score).	46,9 (49,3 vuonna 2019)	46,9
Syvennetään luottamusta asiakkaiden kanssa		Projektityytyväisyyskyselyn NPS (Net Promoter Score).	58 (62 vuonna 2019)	45,5
Tietoturvan lisäarvon vahvistaminen	Tuotteiden ja toiminnan tietoturvallisuuden jatkuva kehittäminen.	Tuotteiden, toimitilojen ja toimintojen auditoinnit ja hyväksynnät.		Sertifikaattien vuosittaiset auditoinnit sekä erilaiset tietoturvahyväksynnät.
		Tietoturvauhkien havaintomäärien kehittyminen.		Henkilöstöä koulutettu ilmoittamaan havainnot mahdollisista tietoturvauhkista. Vuonna 2021 koulutukseen osallistunut 149 henkilöä.
	Tietoturvan johtamisjärjestelmät.			Koulutukset tietoturvallisiin toimintatapoihin, koulutusaste yli 90 %.
	Tietoturvauhkien ja tieto- turvan merkityksen esilletuominen eri sidosryhmissä ja osallistuminen tietoturvan kehittämisprojekteihin / foorumeihin.			Osallistuminen mm. seuraaviin kehittämishankkeisiin: Post-Quantum Cryptography (Suomi), TIoCPS (EU), CyberFactory#1 (kansainvälinen).

Painopistealueen vastaavuudet YK:n kestävän kehityksen tavoitteisiin

3. Taata terveellinen elämä ja hyvinvointi kaiken ikäisille.

3.4 Vähentää vuoteen 2030 mennessä kolmanneksella tarttumattomien tautien aiheuttamia ennenaikaisia kuolemia ennaltaehkäisyn ja hoidon avulla sekä edistää henkistä terveyttä ja hyvinvointia.

Lääketieteen teknologiatuotteemme parantavat nykyaikaisen terveydenhuollon laatua ja ovat turvallisia käyttää. Tuotteissamme korostuu erityisesti ennaltaehkäisevä vaikutus muun muassa sydämen ja aivojen toiminnan häiriöiden aiheuttamiin vakaviin komplikaatioihin. Tuotevalikoimamme tarjoaa etädiagnostiikkamahdollisuuden, jolla voidaan saavuttaa merkittävää tehokkuutta ja kustannussäästöjä terveydenhuollossa. Etäkäyttö mahdollistaa sairauksien diagnosoinnin myös sellaisina aikoina, jolloin lähikontakteja olisi syytä välttää, kuten pandemioiden aikana.

8. Edistää kaikkia koskevaa kestävää talouskasvua, täyttä ja tuottavaa työllisyyttä sekä säällisiä työpaikkoja.

8.7 Ryhtyä välittömiin ja tehokkaisiin toimiin pakkotyön, modernin orjuuden ja ihmiskaupan poistamiseksi, varmistaa lapsityön pahimpien muotojen, kuten lapsisotilaiden värväämisen ja käytön, kieltäminen ja poistaminen sekä lopettaa lapsityö kaikissa muodoissaan vuoteen 2025 mennessä.

8.8 Suojata työelämän oikeuksia ja taata turvallinen työympäristö kaikille työntekijöille, mukaan lukien siirtotyöläisille, erityisesti naisille ja epävarmassa työsuhteessa oleville.

Toimimme vastuullisesti hankinnassamme, vältämme konfliktialueiden mineraaleja ja väärennettyjä materiaaleja. Kyseiset asiat kuuluvat valvontaprosessiemme piiriin. Hankintaan liittyvät vaatimukset sekä konfliktimineraalien ja väärennettyjen materiaalin menettelyt on julkistettu verkkosivustollamme.

Luottamukselliset asiakassuhteet

Luottamuksellisten asiakassuhteiden lähtökohta on Bittiumin asiakkaiden toimialaan ja teknologiaan liittyvien erityisvaatimusten huomioiminen. Tähän Bittium vastaa muun muassa tarkalla tuotetiedon hallinnalla.

Bittium on jatkanut vuonna 2020 aloitettua tuotetiedon hallinnan kehittämistä ja työkalujen käyttöönottoa. Projektin yhteydessä tarkistetaan kaiken olemassa olevan tuotetiedon ajantasaisuus, minkä vuoksi työ jatkuu vielä vuonna 2022. Vuonna 2022 järjestelmän käyttöä on tarkoitus myös laajentaa.

Toimintatavoissa huomioidaan erityisesti tietoturvallisuuden ja asiakkaiden luottamuksellisten tietojen salassapito. Tuotteet suunnitellaan tietoturvallisuus huomioiden aina asiakkaan tarpeiden mukaisesti. Turvalliseen ja vastuulliseen toimintatapaan asiakkaiden ja muiden sidosryhmien kanssa liittyvät olennaisena osana myös yrityksen eettiset periaatteet.

Järjestelmät ja standardit

Standardit määrittävät toimialan yhteiset toimintatavat, jotka helpottavat niin viranomaisten kuin yritystenkin toimintaa. Standardointi helpottaa myös kansainvälisen viennin edistämistä.

Sertifioidut toimintajärjestelmät ovat tärkeä keino tehokkuuden parantamiseen sekä luotettavuuden, läpinäkyvyyden ja asiakastyytyväisyyden lisäämiseen. Myös asiakkaat edellyttävät Bittiumilta yhä enenevissä määrin tuotteita ja toimintatapoja koskevia standardeja ja sertifikaatteja.

Vuoden 2021 lopussa käytössä oli kuusi sertifioitua järjestelmää. Kaiken kaikkiaan toiminnassa huomioidaan noin 400 eri standardia, joista noin 100 standardia päivittäin. Kaikki Bittiumin johtamisjärjestelmät auditoidaan ulkopuolisen tahon toimesta vuosittain.

Bittiumilla on käytössä myös tuotehyväksyntämenettelyitä tuotealueittain, esimerkkinä MDSAP (Medical Single Audit Program) lääketieteen teknologiatuotteissa. Vuoden 2021 Bittiumin Medical Technologies -liiketoiminnassa on huomioitu EU:n Medical Device Regulationin aiheuttamat toimintatapojen ja tuotteiden muutokset ja niihin liittyvät hyväksymisprosessit.

Tuotteisiin liittyvät sähköturvallisuus- ja suorituskykyominaisuudet suunnitellaan kunkin teollisuudenalan standardisarjaa hyödyntämällä. Lisäksi asiakas-, maa- tai markkinakohtaiset vaatimukset huomioidaan osana laitteiden kehittämistä.

Tuotteet testataan, todennetaan ja hyväksytään osana tuotekehitysprosessia sekä Bittiumin sisäisten että ulkoisten tarkastuslaitosten avulla. Tuotteilta esimerkiksi edellytetään Euroopassa CE-merkkiä ja siihen liittyvää vaatimuksenmukaisuusselvitystä, Declaration of Conformity (DoC).

Myös tuotekehityshankkeet auditoidaan PSSL (Product Safety, Security and Liability) -auditointikäytäntöjen mukaisesti osana Bittiumin End Product Process (EPP) -vaatimuksia. Henkilöstöä koulutetaan tuotevastuuseen PSSL-koulutuksen mukaisesti.

Tietoturvan hallintajärjestelmä

Tietoturva on niin olennainen osa Bittiumin toimintaa, että sitä varten on kehitetty erillinen hallintajärjestelmä, jolla on oma johtoryhmänsä. Järjestelmässä määritellään tietoturvatavoitteet, vastuut ja toimintojen resurssointi.

Hallintajärjestelmä kokoaa yhteen muun muassa ISO 27001, Katakri 2015 ja FSC -standardien ja vaatimusten mukaiset tietoturvaan liittyvät politiikat, ohjeet, mallipohjat sekä asiakkaiden ja lainsäädännön asettamat vaatimukset. Ne kattavat käytännössä yrityksen kaikkien toimintojen, mutta myös fyysisten toimitilojen sekä henkilökunnan tietoturvan.

Bittiumilla on käytössä reaaliaikainen tietoturvauhkien seurantajärjestelmä, jonka lisäksi henkilökunta tekee ilmoituksia mahdollisesti havaitsemistaan tietoturvauhkista. Henkilöstöä myös koulutetaan huomioimaan tietoturvalliset toimintatavat.

Vakavia tietoturvapoikkeamia ei ole havaittu vuoden 2021 aikana.

Tuotteen kehittämisen aikana arvioidaan systemaattisesti tuotteeseen ja sen elinkaareen liittyviä riskejä. Tuotteiden osalta huomioidaan niihin käytettyjen materiaalien ja komponenttien turvallisuuteen ja tietoturvaan liittyvät näkökohdat sekä tuotevastuun säännösten noudattaminen yhtiön kohdemarkkinoilla.

Vastuullinen hankinta

Bittiumin tuotteet koostuvat erilaisista elektronisista ja mekaanisista komponenteista. Hankintaketjun vastuullisuudesta huolehditaan muun muassa materiaaleihin ja komponentteihin liittyvien toimittajavaatimusten ja materiaaliselvitysten kautta. Bittiumilla on tietokanta, johon kirjataan kaikkien komponenttien sisältämät materiaalit ja aineet.

Bittium noudattaa vastuullista liiketoimintatapaa ja edellyttää sitä myös toimittajilta. Yhteistyökumppaneiden tulee noudattaa Bittiumin Code of Conduct -periaatteita ja toimittajaohjeistoa ja -vaatimuksia (Bittium Supplier Requirements). Toimittajaohjeistoa on täsmennetty vuoden 2021 aikana, ja ohjeisto on saatavilla Bittiumin verkkosivuilla. Toimittajien edellytetään noudattavan aina viimeisintä julkaistua ohjeistoa.

Toimittajia auditoidaan määritellyn kriteeristön mukaisesti. Auditointi suoritetaan joko itsearviointina Bittiumin toimittajavaatimuksia vasten tai Bittiumin suorittamana auditointina. Vuonna 2021 valtaosa auditoinneista on tehty itsearviointina, mutta varsinkin Suomessa niitä on pandemiasta huolimatta pysytty tekemään jo fyysisesti toimittajien tiloissa. Ulkomaisten toimittajien osalta auditointeihin on hyödynnetty paikallisia kumppaneita ja näin toimien on esimerkiksi Kiinassa pystytty tekemään auditointeja toimipaikoilla.

Bittium käynnisti vuonna 2021 Marimin-kehittämishankkeen, jonka tarkoituksena on löytää enemmän suomalaisia ja eurooppalaisia tavarantoimittajia kriittisten komponenttien osalta. Osana hanketta on arvioitu hyvin suuri määrä toimittajia, ja joidenkin kriittisten komponenttien osalta toimituksia on pystytty siirtämään sekä Suomeen että Eurooppaan.

Myös henkilöstön koulutus on tärkeä osa vastuullisen hankinnan varmistamista. Vastuullinen hankinta on osa ympäristökoulutuskokonaisuutta, jonka työntekijät suorittavat itseopiskeluna.

Mineraalien alkuperän tunnistaminen

Bittiumin tuotteissa käytetään mineraaleja, joita esiintyy myös sellaisissa maissa, joissa tapahtuu ihmisoikeusrikkomuksia tai mineraalien kaivaminen aiheuttaa ympäristötuhoja. Bittium kehottaa toimittajiaan noudattamaan konfliktialueiden mineraaleja koskevia lakeja ja suositeltuja raportointikäytäntöjä. Näin varmistetaan, että Bittiumin tuotteissa käytettävät mineraalit eivät ole peräisin konflikti- tai riskialueilta.

Käytännössä lainsäädäntö edellyttää vastuullista hankintaa ja toimitusketjun läpinäkyvyyttä, kun on kyse tietyistä mineraaleista, kuten esimerkiksi konfliktialueilta peräisin olevasta tinasta, tantaalista, volframista ja kullasta. Näitä mineraaleja käytetään tyypillisesti kotitalouksien tavaroissa ja niiden elektroniikkakomponenteissa, kuten esimerkiksi mobiililaitteissa ja tietokoneissa. Seurantaan käytetään ulkoisia tietokantoja.

Vuoden 2021 aikana Bittiumille ei ole ilmoitettu epäilyjä konfliktialueiden mineraaleihin liittyen.

Väärennettyjen materiaalien välttäminen

Väärennetyllä materiaalilla tarkoitetaan materiaalia, jonka alkuperä, ikä, koostumus, konfiguraatio, sertifiointistatus tai muu ominaisuus on esitetty väärin harhaanjohtavalla merkinnällä materiaalissa, pakkausmerkinnässä tai pakkauksessa.

Bittiumilla tunnistetaan väärennettyihin materiaaleihin liittyvät riskit sekä ostettaessa materiaaleja valmiina komponentteina että käytettäessä ilmoitettuja raaka-aineita. Bittium on sitoutunut tekemään tarvittavat selvitykset välttääkseen väärennettyjen materiaalien käytön omissa tuotteissaan. Väärennettyjen materiaalien välttämiseksi on yhtiössä kehitetty toimittajaraportointimenetelmiä. Niissä keskitytään hankintaprosessin eri vaiheisiin aina toimittajan valinnasta lähtien. Henkilöstöä koulutetaan havaitsemaan väärennetyt materiaalit. Yhdistämällä tuotetiedonhallinnan ja materiaalitietokannan tiedot Bittium pystyy vastamaan asiakkaiden odotuksiin reaaliaikaisesta tiedonhallinnasta väärennettyihin materiaaleihin liittyen.

Maailmanlaajuinen komponenttipula on vaikuttanut Bittiumin toimintaan siten, että tiettyjen komponenttien saatavuuden varmistamiseksi on hankintaketjuun otettu uusia toimittajia. Vaikka kyse on mahdollisesti vain väliaikaisesta järjestelystä, on uusien toimittajien osalta tehty tarkat arvioinnit, jotta on voitu varmistua materiaalien oikeellisuudesta.

Vuoden 2021 aikana ei Bittiumin tuotteissa havaittu olevan käytössä väärennettyjä materiaaleja.