Leping

Leping 1.8-2/1075-3

Eesti Vabariik, Sotsiaalministeeriumi kaudu, registrikood 70001952, asukoht Suur-Ameerika 1,

10122 Tallinn, keda esindab Maarjo Mändmaa (edaspidi nimetatud “litsentsisaaja”) ja SoftExpert OÜ,

registrikood 10976653, asukoht Rahu 7, 11619 Tallinn (edaspidi “litsentsipakkuja”), keda esindab

põhikirja alusel tegutsev juhatuse liige Reigo Küngas

sõlmisid käesoleva lepingu (edaspidi „leping”) alljärgnevas:

1. Lepingu sõlmimise alus ja ese 1.1.Leping sõlmitakse litsentsipakkuja poolt 20.12.2021. a esitatud hinnapakkumuse alusel.

1.2.Litsentsisaaja sõlmib lepingu litsentsipakkujaga, tuginedes litsentsipakkuja

hinnapakkumustele ning eeldades heas usus litsentsipakkuja professionaalsust ja võimekust

lepingut nõuetekohaselt täita. Alltöövõtjate kasutamise korral jääb lepingu nõuetekohase

täitmise eest litsentsisaaja ees vastutavaks litsentsipakkuja.

1.3.Lepingu objektiks on litsentsiõiguse saajale litsentsipakkuja poolt värbamistarkvara

„Talendipank“ (edaspidi “Tarkvara”) kasutusõiguse andmine lepingus ettenähtud ajaks ja

ulatuses.

1.4.Litsentsisaaja esindab lepingu sõlmimisel lisaks endale Sotsiaalministeeriumi valitsemisala

asutusi: Sotsiaalkindlustusamet, Terviseamet, Tööinspektsioon, Ravimiamet, Tervise Arengu

Instituut, Astangu Kutserehabilitatsiooni Keskus, Soolise võrdõiguslikkuse ja võrdse

kohtlemise volinik ning Tervise ja Heaolu Infosüsteemide Keskus (edaspidi ka „all-

litsentsisaajad“). Lepingust tulenevad õigused ja kohustused laienevad kõigile.

1.5.Lepingu allkirjastamisel on selle järgmised lisad:

1.5.1. Lisa 1 – Isikuandmete volitatud töötlemine;

1.5.2. Lisa 2 – Isikuandmete töötlemise kirjeldus.

2. Mõisted 2.1.Andmebaas - Litsentsisaaja poolt Tarkvara abil sisestatud andmete kogum.

2.2.Andmebaasivõtmed - Tähendab faile, koode või arvutiteated, mis võtmena avavad Tarkvara

selle litsentseeritud funktsionaalsuse ulatuses, tagades litsentsisaajale juurdepääsu tarkvara

kasutamiseks.

2.3.Sisekasutajad - Tähendab litsentsisaaja või all-litsentsisaaja töötajaid või muu lepingu alusel

neile tööd tegevaid füüsilisi isikuid, kes on litsentsisaaja poolt volitatud kasutama tarkvara

litsentsisaaja või all-litsentsisaaja jaoks tehtavate ülesannete täitmisel ning kelle jaoks on

Litsentsisaaja saanud kasutusõiguse ja selle eest tasunud.

2.4.Perioodiline litsentsitasu - Tähendab litsentsitasu, mida litsentsisaaja on kohustatud Tarkvara

kasutusõiguse eest tasuma.

2.5.Parandused - Tähendab kõiki litsentsipakkuja poolt välja töötatud ja väljastatavaid Tarkvara

parandusi või lisasid.

2.6.Versiooniuuendused - Tähendab tarkvara uusi versioone, mida litsentsipakkuja aeg-ajalt

väljastab.

2.7.Defineeritud mõistete kohaldamine:

2.7.1. Vastavalt kontekstile sisaldab mistahes viide ainsusele ka mitmust, mistahes viide

mitmusele ka ainsust ja mistahes viide soole tähendab viidet kõikidele sugudele;

2.7.2. Lepingus tähendab viide punktile viidet käesoleva Lepingu punktile;

2.7.3. Pealkirjad kannavad Lepingus üksnes mugavuse eesmärki ning ei kitsenda ega

mõjuta mingil määral Lepingu sisu ega tõlgendamist.

3. Värbamistarkvara kasutusõiguse tingimused 3.1.Litsentsisaaja võib Tarkvara kasutada personaliotsingu ja sellega seotud tegevuste

läbiviimiseks.

3.2.Litsentsisaajal on õigus lisada määramatu arv värbamisprojekte ühes aastas.

3.3.Litsentsisaaja poolt Andmebaasi sisestatud andmed kuuluvad litsentsisaajale.

3.4.Tarkvara kasutamine ei ole Litsentsisaajale territoriaalselt piiratud.

3.5.Tarkvara kasutamine võimaldab Litsentsisaajal sealhulgas, kuid mitte ainult järgmisi tegevusi:

3.5.1. eraldiseisvate kontode ja iga asutuse vajadustele kohandatud värbamisprotsessi

loomine kõigile lepingu punktis 1.4. nimetatud asutustele;

3.5.2. töökuulutuse kujundamine ja selle avaldamine ühekorraga erinevates kanalites

(CV Online, CV Keskus, kandideeri.ee tööportaalid, litsentsisaaja ja all-litsentsisaajate –

asutuste välis- ja siseveebid, avalike konkursside veeb Rahandusministeerium

koduleheküljel, sotsiaalmeediakanalid (Facebook, LinkedIn, Twitter));

3.5.3. CV-de automaatne vastuvõtmine erinevatest kanalitest (kandideerimisel läbi CV

Keskuse, CV Online, kandideeri.ee, kodulehe ankeet vms();

3.5.4. kandidaatide info talletamist, dokumentide lisamist ja kandidaatide

hindamissüsteemi;

3.5.5. otsingut kõikide kandidaatide hulgast;

3.5.6. nn automaatset standardvastuste koostamine vastavalt asutuse soovidele;

3.5.7. teha tegevusi korraga mitme kandidaadiga (saata e-post, lisada hinnang);

3.5.8. säilitada kandidaatide andmeid vastavalt asutuse soovidele;

3.5.9. koostada raporteid avaldatud töökuulutuste ning laekunud avalduste kohta;

3.5.10. kandidaatidele SMS´i saatmine;

3.5.11. kasutajatugi telefoni või e-posti teel (administraatoritele);

3.5.12. sisselogimist läbi erinevate kontode (lisaks tarkvara kasutajanimele ka ID-kaardi,

Linkedin konto ja läbi SAML teenuse);

3.5.13. tööpakkumiste väljastamine JSON, XML, iFrame, JavaScript liideste kaudu.

4. Lepingu kogumaksumus ja maksetingimused 4.1.Lepingu kogumaksumus Tarkvara kasutamise eest on ühes kuus 415 eurot, millele lisandub

käibemaks.

4.2.Igakuisele tasule lisandub litsentsisaaja poolt kandidaatidele saadetud SMSi hind. Saadetud

sõnumite hind lisatakse igakuisele arvele.

4.3.Litsentsipakkuja poolt pakutavate teenuste eest, mis ei ole lepingu esemeks, tasub

litsentsisaaja vastavalt litsentsipakkuja kehtivale hinnakirjale.

4.4.Tasumise arvestus Tarkvara kasutamise eest algab 01.01.2022.

4.5.Litsentsipakkuja esitab litsentsi kasutamise eest arve litsentsisaajale igakuiselt 1 (üks) kord

kuus. Litsentsipakkuja esitab koos arvega nimekirja eelmise kuu värbamisprojektidest

asutuste lõikes, kui pooled ei ole kokku leppinud teisiti. Eelmise kuu värbamisprojektide arv

asutuste lõikes on nähtav ka litsentsipakkuja keskkonnas.

4.6.Litsentsipakkuja esitab arve e-arvena. E-arve peab jõudma litsentsisaaja e-arvete operaatori

Ostuarvete halduskeskkonda. E-arve loetakse laekunuks selle litsentsisaaja ostuarvete

halduskeskkonda laekumise kuupäevast.

4.7.Vastavalt raamatupidamise seaduse §-le 71 on e-arve operaatoriks masintöödeldava

algdokumendi käitlemise teenuse pakkuja, kelle kohta on tehtud märge tellija andmetes

juriidiliste isikute kohta peetavas riiklikus registris.

4.8.E-arve saatmise võimalused on:

4.8.1. kui litsentsipakkuja on e-arvete operaatori klient, tuleb e-arve edastada oma e-

arvete operaatorile, kelle kaudu see jõuab litsentsisaajani.

4.8.2. e-arvet on võimalik saata tasuta litsentsisaajale, kasutades e-arveldaja infosüsteemi

(http://www.rik.ee/et/e-arveldaja). Selleks on vaja avada e-arveldaja infosüsteemis

kasutaja konto ja sisestada konkreetne litsentsisaajale suunatud müügiarve sellesse

infosüsteemi tellija e-arvete operaatorile edastamiseks.

4.9.Arve tasumine toimub 21 (kahekümne ühe) kalendripäeva jooksul arvates litsentsisaaja poolt

nõuetekohase arve kättesaamisest.

5. Lepingu täitmine 5.1.Litsentsipakkuja annab litsentsisaajale lihtlitsentsi tarkvara kasutamiseks, sh tugiteenuste

saamiseks Lepingus sätestatud tingimustel.

5.2.Litsentsisaajale antakse tarkvara kasutusõigus järgmistele kasutajatele:

5.2.1. kõik litsentsisaaja sisekasutajad;

5.2.2. all-litsentsisaajad ning nende sisekasutajad.

5.3.Litsentsipakkujal on õigus viia sisse tarkvara parandusi, et viia tarkvara vastavusse

litsentsisaaja nõudmistega.

5.4.Litsentsipakkujal on kohustus eemaldada või täiustada tarkvara kui ta ise ja/või litsentsisaaja

tuvastab selles tarkvara versioonis turvaprobleeme.

5.5.Tarkvara peab olema litsentsisaajale kättesaadav 99,9% ajast (24 tunni jooksul ööpäevas ja 7

päeval nädalas). Tarkvarateenuse hooldustöödest teavitab litsentsipakkuja litsentsisaajat ja

all-litsentsisaajat vähemalt 3 tööpäeva enne hooldustööde teostamist.

5.6.Etteplaneeritud ja kooskõlastatud tarkvarateenuse hooldustöödeks kuluv aeg punktis 5.5

sätestatud tingimuste alla ei kuulu.

5.7.Litsentsisaaja vastutus on tagada, et kõik nõutavad õiguslikud ja/või formaalsed protseduurid

andmekaitse osas oleksid täidetud, sealhulgas mistahes nõutavad registreerimistoimingud

andmekaitsealaste õigusaktide nõuete täitmiseks. Litsentsipakkuja ei tohi oma tegevuse või

tegevusetusega takistada selliste nõutavate protseduuride täitmist ja läbiviimist.

5.8.Litsentsipakkuja võib andmebaasist andmeid kustutada üksnes litsentsisaaja korraldusel.

5.9.Litsentsipakkuja vastutab andmebaasis olevate andmete konfidentsiaalsuse, terviklikkuse ja

kättesaadavuse eest.

5.10. Litsentsipakkuja kohustub tagama tugiteenused, mis peavad sisaldama vähemalt

telefonituge, kui litsentsipakkuja ja litsentsisaaja ei lepi kirjalikult kokku teisiti.

5.11. Telefonitugi peab olema kättesaadav vähemalt esmaspäevast reedeni, kella 9.00 (üheksast

hommikul) kuni kella 17.00 (viieni õhtul), v.a riiklikel pühadel ja osapoolte omavahelisel

eelneval kokkuleppel. Telefonitugi on kättesaadav numbril: 5099770. E-posti tugi on

kättesaadav aadressil: [email protected].

5.12. Tugiteenuste osutamine toimub litsentsipakkuja või tema poolt volitatud partneri poolt.

5.13. Litsentsisaaja on mistahes probleemide ilmnemisel Tarkvaras kohustatud sellest

viivitamata teavitama litsentsipakkujat, kui neid probleeme ei ole võimalik iseseisvalt

likvideerida.

5.14. Litsentsipakkuja on kohustatud tagama tarkvara võimalikult hea töökindluse ja

probleemide tekkimisel nendele adekvaatselt ja operatiivselt reageerima.

5.15. Litsentsisaajal on õigus tasuta versiooni- ja tarkvarauuendustele. Vajalikud seadistused

teostab litsentsipakkuja ilma täiendava tasuta.

5.16. Litsentsipakkuja on kohustatud litsentsisaajat teavitama võimalikest uuendusest ja

konsulteerima litsentsisaajat uuenduste sobivuse osas.

6. Intellektuaalne omand

6.1.Tarkvara autoriõigused, pealkiri ja kõik mistahes muud tarkvaraga seotud õigused kuuluvad

litsentsipakkujale. Tarkvara on kaitstud autoriõiguse seaduste ja rahvusvaheliste autoriõiguste

lepetega. Mistahes õiguste eiramine litsentsisaaja poolt, sealhulgas lubamatu juurdepääsu

võimaldamine tarkvarale, mis võib kaasa tuua tarkvara või andmebaasi kopeerimise

kolmandate isikute poolt, loetakse oluliseks rikkumiseks. Selline rikkumine annab

litsentsipakkujale õiguse Leping vastavalt selle punktile 7.2 üles öelda ja rakendada kõiki

muid õiguskaitsevahendeid.

6.2.Litsentsipakkuja kohustub lahendama kõikvõimalikud Tarkvaraga seotud intellektuaalse

omandi õigustest tekkivad vaidlused kolmandate isikute või oma töötajate või

koostööpartneritega.

6.3.Litsentsisaajal puudub õigus tarkvara kasutusõigust või muud Lepingust tulenevat õigust või

kohustust kolmandale isikule müüa/rentida/laenata või muul viisil üle või edasi anda või

loovutada ilma litsentsipakkuja eelneva kirjaliku nõusolekuta.

6.4.Litsentsipakkujal on õigus oma Lepingust tulenevad õigused ja kohustused osaliselt või

täielikult üle anda kolmandale isikule olles sellest kavatsusest Litsentsisaajat eelnevalt

informeerinud.

6.5.Litsentsipakkuja kohustuste osaline või täielik üleandmine kolmandale isikule annab

litsentsisaajale õiguse kehtiv leping ennetähtaegselt lõpetada.

7. Lepingu lõppemine 7.1.Litsentsisaajal on õigus Leping üles öelda teatades sellest kirjalikult litsentsipakkujale ette

vähemalt üks (1) kuu enne järgmist perioodilise kasutustasu perioodi (perioodiks on üks

kalendrikuu). Sellise ülesütlemise korral puudub litsentsisaajal õigus makstud perioodiliste

kasutustasude tagastamisele. Kui litsentsisaaja teatab Lepingu üles ütlemisest vähem kui

nõutud üks kuu ette, peab litsentsisaaja tasuma tarkvara perioodilist kasutustasu järgmise

perioodi eest.

7.2.Lepingu olulise rikkumise korral litsentsisaaja poolt on litsentsipakkuja õigus üles öelda

Leping koheselt kirjaliku ülesütlemisteate esitamisega litsentsisaajale, samuti on

litsentsipakkujal õigus nõuda sellest tulenevate kahjude hüvitamist vastavalt kohaldatavatele

seadustele ning kasutada kõiki teisi õiguskaitsevahendeid.

7.3.Lepingu olulise rikkumise korral litsentsipakkuja poolt on litsentsisaajal õigus üles öelda

Leping koheselt kirjaliku ülesütlemisteate esitamisega litsentsipakkujale, samuti on

litsentsisaajal õigus nõuda sellest tulenevate kahjude hüvitamist vastavalt kohaldatavatele

seadustele ning kasutada kõiki teisi õiguskaitsevahendeid.

7.4.Igal all-litsentsisaajal (lepingu punktis 1.4. nimetatud asutusel) on õigus leping üles öelda

teatades sellest kirjalikult litsentsipakkujale ette vähemalt 1 (üks) kalendrikuu enne järgmist

perioodilise kasutustasu perioodi. Ühe all-litsentsisaaja lepingu lõpetamine ei lõpeta lepingut

teiste litsentsisaajate jaoks.

7.5.Litsentsipakkujal on õigus Leping koheselt üles öelda või peatada kirjaliku teate esitamisega

litsentsisaajale, kui perioodiline kasutustasu ei ole makstud 30 (kolmekümne) päeva jooksul

arvates maksetähtpäevast.

7.6.Nii litsentsipakkujal kui ka litsentsisaajal on õigus Leping koheselt üles öelda kirjaliku teate

esitamisega teisele poolele, kui teine pool lõpetab oma tavapärase majandustegevuse, algatab

või tema suhtes algatatakse pankrotimenetlus.

7.7.Leping ei piira litsentsipakkuja ega litsentsisaaja õigusi Leping üles öelda kohaldatavate

seaduste alusel.

7.8.Mistahes Lepingu lõpetamise juhul säilib litsentsisaajal pärast lepingu lõpetamist 30

kalendripäeva jooksul õigus Tarkvara kasutamisega tekkinud andmete kopeerimisele ja

eemaldamisele. Litsentsipakkujal on keelatud oma tegevuse või tegevusetusega sellist

tegevust takistada.

8. Lepingu kehtivus 8.1.Leping jõustub Lepingu allkirjastamisest ja kehtib kuni 31.12.2024 või Lepingust tulenevate

kohustuste täitmiseni või lepingu ülesütlemiseni ennetähtaegselt.

9. Lõppsätted 9.1.Lepingu täitmise keel on eesti keel.

9.2.Lepingu täitmisel ja lepingust tulenevate vaidluste korral lähtutakse Eesti Vabariigi

õigusaktidest.

9.3.Lepingust tulenevad vaidlused püütakse lahendada poolte kokkuleppega. Juhul, kui

kokkulepet ei saavutata, lahendatakse vaidlus Harju Maakohtus.

9.4.Lepingu üksiku sätte kehtetus ei too kaasa kogu lepingu või lepingu teiste sätete kehtetust.

10. Kontaktisikud 10.1. Poolte lepingujärgsete kohustuste täitmise korraldamine ja lepingus ettenähtud teadete,

nõuete ja teiste dokumentide edastamine toimub kontaktisikute kaudu.

10.2. Lepingupoolte kontaktisikud on:

10.2.1. Litsentsisaaja kontaktisik on Edith Kallaste, Sotsiaalministeeriumi

personalispetsialist, tel 6 269 261, e-post: [email protected].

10.2.2. Litsentsipakkuja kontaktisik on Janek Hiis, tel 5099770, e-post:

[email protected];

10.3. Kõik teated, millel ei ole õiguslikku tagajärge võivad olla esitatud kirjalikku taasesitamist

võimaldavas vormis ning peavad olema adresseeritud lepingu punktis 10.2.1 ja 10.2.2

sätestatud kontaktisikutele kui Lepingus ei ole sätestatud teisiti. Kõik Lepinguga ja Lepingu

täitmisega seotud pretensioonid peavad olema esitatud kirjalikult.

10.4. Kontaktisiku või tema andmete muutumisest teatab pool ühepoolse avaldusega teisele

poolele viivitamata, hiljemalt 5 (viie) kalendripäeva jooksul muudatuse toimumisest arvates.

11. Poolte andmed:

Litsentsipakkuja:

Reigo Küngas

Softexpert OÜ

Rahu 7, 11619 Tallinn

Registrikood: 10976653

Tel: + 372 5099770

/allkirjastatud digitaalselt/

Litsentsisaaja:

Maarjo Mändmaa

Sotsiaalministeerium, Suur-Ameerika 1,

10122 Tallinn

Registrikood: 70001952

Tel: 6 269 301

/allkirjastatud digitaalselt/

Lepingu lisa 1

ISIKUANDMETE VOLITATUD TÖÖTLEMINE

1. Litsentsipakkuja kui käesoleva Lepingu kohaselt Litsentsisaaja isikuandmete volitatud töötleja

kohustub järgima ja töötlema isikuandmeid vastavalt EL andmekaitsemäärusele (General Data Protection

Regulation (GDPR) (EU) 2016/679) ja kõikidele vastavatele siseriiklikele regulatsioonidele, sh kuid

mitte ainult, rakendama ja säilitama asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada

riskile vastav turvalisuse tase ja isikuandmete kaitse. Litsentsisaaja esindab lepingu sõlmimisel lisaks

endale Sotsiaalministeeriumi valitsemisala asutusi: Sotsiaalkindlustusamet, Terviseamet,

Tööinspektsioon, Ravimiamet, Tervise Arengu Instituut, Astangu Kutserehabilitatsiooni Keskus ning

Tervise ja Heaolu Infosüsteemide Keskus, Soolise Võrdõiguslikkuse ja Võrdse Kohtlemise Voliniku

Kantselei (edaspidi ka „all-litsentsisaajad“). Lepingust tulenevad õigused ja kohustused laienevad

kõigile.

2. Volitatud töötleja kohustub mitte edastama ilma Litsentsisaaja selleks saadud loata isikuandmeid

riikidesse, mis asuvad väljaspool Euroopa Majanduspiirkonda, välja arvatud juhul, kui isikuandmeid

edastatakse riikidesse, mida Euroopa Komisjon tunnustab riigina, kus on tagatud edastatud isikuandmete

kaitse piisav tase.

3. Volitatud töötleja kohustub teavitama Litsentsisaajat põhjendamatu viivituseta, kui talle saab teatavaks

mis tahes rikkumine, mis eelkõige põhjustab isikuandmete juhusliku või ebaseadusliku hävimise, kaotuse,

muutmise, omavolilise avalikustamise või juurdepääsu isikuandmetele.

4. Litsentsisaajal on isikuandmete vastutava töötlejana õigus saada volitatud töötlejalt infot punktis 1.

sätestatud rakendatud meetmete kohta veendumaks, et volitatud töötleja tegevus on käesoleva Lepinguga

kooskõlas.

5. Kui volitatud töötleja kasutab Lepingu täitmiseks alltöövõtjaid ning edastab alltöövõtjatele

isikuandmeid, mille vastutavaks töötlejaks on Litsentsisaaja, kohustub volitatud töötleja tagama, et

nimetatud alltöövõtja järgib käesoleva Lepingu tingimusi.

6. Volitatud töötleja vastutab oma alltöövõtjate Lepinguga seotud tegevuse ja tegevusetuse eest nii, nagu

oleks tegemist volitatud töötleja oma tegevuse või tegevusetusega.

7. Konfidentsiaalsuskohustus ei laiene osas, kus andmete avaldamise kohustus tuleneb kehtivast

õigusaktist. Sellisel juhul tuleb tagada, et kolmandalt osapoolt informeeritakse konfidentsiaalsuse

järgimisest.

8. Pärast andmete töötlemise lõppemist isikuandmed tagastab volitatud töötleja Litsentsisaajale andmed

niivõrd, kuivõrd see on võimalik, või kustutab need vastavalt Litsentsisaaja korraldusele.

Lepingu lisa 2

Isikuandmete töötlemise kirjeldus

1. Töötlemise eesmärk: Softexpert OÜ värbamistarkvara Talendipank (Teenus) kasutamise eesmärk

on töökohale parima kandidaadi konkursi läbiviimine.

2. Töötlemise aeg: Lepingu kehtivuse aeg

3. Andmesubjektide kategooriad: Kandideerijad, Hindajad

4. Isikuandmete liigid:

4.1 Isiku üldandmed (nt eesnimi, perenimi, sünniaeg; e-post, telefon;

4.2 Isiku esitatud dokumendid (nt elulookirjeldus koos varasemate töökohtade, hariduse jms, isiku pilt,

esitatud kodutööd;

4.3 Staatus: Värbaja eelvalitud, äraütlemisel, ära öeldud, edastatud kliendile, ootel, saadeti e-mail,

intervjueeritud (online), intervjueeritud (telefon), kutsuda vestlusele, vestlus, taust kontrollitud, saata

kodutöö, kodutöö, kutsuda testimisele, testitud, kutsuda grupitööle, grupitöö, kutsuda proovipäevale,

proovipäev, lõppvalikus, tööpakkumine saadetud, tööleping sõlmimisel, kandidaat loobus, tööle võetud,

lõpetatud, arhiveeritud.

4.4 Märkused, kommentaarid ja hinnangud kandideerija kohta;

4.5 Konkreetse konkursi andmed;

4.6. Konkursiga seotud toimingud.

5. Andmed ja logid

5.1 Andmeid ja logisid säilitatakse kandidaadi nõuete esitamise tähtaja lõpuni (kuid mitte rohkem kui 1

aasta).

5.2 Andmed ja logid on kättesaadavad vastutava töötleja õigustatud isikutele.

6. Tehniliste ja korralduslike turvameetmete üldine kirjeldus

Softexpert OÜ on kasutusele võtnud asjakohased meetmed isikuandmete kogumiseks, töötlemiseks ja

salvestamiseks ning kaitseks eelkõige volitamatu ligipääsu, muutmise, kustutamise ja avalikustamise

eest.

6.1 Serverite turvalisus

6.1.1 Softexpert OÜ poolt pakutav teenus Talendipank ( https://talendipank.ee ) on paigaldatud

Softexpert OÜ’le kuuluvatesse serveritesse, mis asuvad Telia serveriruumis Tallinnas.

Telia serveriruum on:

• juurdepääsukontrolliga ning varustatud videovalvega;

• varustatud sisenemisi ja väljumisi logiva uksesüsteemiga;

• varustatud automaatse gaaskustutussüsteemiga, koos muust valveseadmestikust sõltumatu

signalisatsioonisüsteemi ja anduritega.

6.1.2 Serveritesse on volitatud töötleja administraatoritel ligipääs vaid üle SSH (ingl Secure Shell).

6.2 Teenuse turvalisus

6.2.1 Andmevahetus kliendi ja Teenuse vahel on krüpteeritud.

6.2.2 Teenust on võimalik kasutada vaid veebilehitsejas, mis toetab protokolli TLS (ingl Transport

Layer Security) v1.2.

6.2.3 Kõik vanemad SSL (ingl Secure Sockets Layer) ja TLS versioonid on keelatud.

6.2.4 Kasutusel on HSTS (ingl HTTP Strict Transport Security) mis keelab veebilehitsejal ühenduse

loomise üle HTTP (ingl Hypertext Transfer Protocol).

6.2.5 Kasutusel on tulemüüri tarkvara, mis keelab vaikimisi kõik ühendused ning lubatud on vaid

teenuse pakkumiseks vajalikud TCP (ingl Transmission Control Protocol) ja UDP (ingl User Datagram

Protocol) pordid.

6.2.6 Teenust skaneeritakse kord kvartalis välise teenusepakkuja poolt turvavigade avastamiseks.

6.2.7 Teenuse andmebaasist tehakse varukoopiaid iga päev. Vähemalt kord kvartalis toimub andmete

varukoopiast taastamine, kontrollimaks süsteemi toimimist.

6.2.8 Kasutajate poolt tehtud tegevusi logitakse (näit. andmete vaatamine, lisamine, muutmine,

kustutamine).

6.2.9 Kasutusel on SPF (ingl Sender Policy Framework) kirje, mis lubab Teenuse kirju vastu võtta vaid

volitatud serveritest.

6.2.10 Kasutusel on DKIM (ingl DomainKeys Identified Mail) signeerimine, mis annab e-posti

serveritele teada, et kirjad on pärit just Teenusest.

6.3. Turvaline tarkvara arendus 6.3.1 Tarkvara arenduse käigus jälgitakse OWASP (https://www.owasp.org) soovitusi.

6.3.2 Kasutusel on meetmeid vältimaks XSS (ingl Cross-Site Scripting) ründeid.

6.3.3 Andmebaasis kasutatud SQL moodul on nii koostatud, et SQL-süstimine (ingl SQL injection) ei

ole võimalik.

6.4 Kasutatud tarkvara

6.4.1 Teenuse lahenduses on kasutuses: MariaDB, PHP, Javascript, Linux CentOS, Apache, Squid,

Sendmail.

6.4.2 Volitatud töötleja jälgib CVE (ingl Common Vulnerabilities and Exposures) andmebaasi ning

uuendab vajadusel kasutusel olevat tarkvara.