1. Etusivu
  2. Auktorisoinnin edellytykset

Auktorisoinnin edellytykset

Kuka voi hakea jäseneksi?

Taloushallinnon palveluyritys – tervetuloa joukkoomme!

Taloushallintoliiton sääntöihin perustuvat auktorisoidun jäsenen edellytykset

  1. Sitoutuu noudattamaan taloushallintopalvelualan hyvää tapaa.
  2. Hyväksyy liiton valvonnan ja toiminnan tarkastukset.

Taloushallintopalvelualan hyvään tapaan perustuvat edellytykset

  1. On vakavarainen
  2. Omaa vahvaa osaamista riittävän laadukkaan talous- ja henkilöstöhallinnon palvelun tuottamisesta.
    • Jäseneksi hakevalla katsotaan olevan vahvaa osaamista, kun yritys nimennyt vastuullisen henkilön, jolla on tuotettuun palveluun soveltuva voimassa oleva KLT-, PHT- tai muu alalla yleisesti tunnustettu asiantuntijatutkinto.​
    • TAI muu selvitys siitä, että osaaminen on riittävää ja sitä ylläpidetään.
  3. On kirjalliset sopimukset toimeksiannoista.
  4. On kirjalliset sopimukset henkilötietojen käsittelystä.
  5. On varallisuusvastuuvakuutus
  6. Tietoturva on toteutettu toimialan parhaiden käytäntöjen mukaisesti
Lue lisää: Tietoturvan käytäntöjä yksityiskohtaisesti
  • Kaikkien organisaation tietoverkon aktiivilaitteiden (reitittimet, palomuurit, kytkimet) pääkäyttäjätunnusten oletussalasanat vaihdettu
  • Tietoverkon aktiivilaitteiden hallintaan käytetään ainoastaan suojattuja (https/ssh) yhteyksiä
  • Organisaation mahdollinen vierasverkko eriytetty organisaation sisäisestä tietoverkosta luotettavalla menetelmällä
  • Mahdollisten langattomien verkkojen salauksessa käytetään vähintään WPA2- protokollaa, tai sitä edistyneempää menetelmää
  • Organisaation palomuureilla on rajoitettu tietoliikennettä asianmukaisesti siten, että haavoittuvat palvelut ja protokollat on estetty tai niitä suojataan VPN-tunneloinnilla
  • Palvelinkäyttöjärjestelmiä suojataan tarkoituksenmukaisella palomuuriratkaisulla
  • Palvelinkäyttöjärjestelmissä käytetään virustorjuntaohjelmistoa tai tarkoituksenmukaista haittaohjelmien torjuntaa
  • Palvelinkäyttöjärjestelmien ja/tai levyjärjestelmien data varmuskopioidaan automatisoidusti vähintään toiseen fyysiseen sijaintiin
  • Varmuuskopiot ovat käytettävissä, vaikka palvelinkäyttöjärjestelmien fyysinen sijainti tuhoutuisi esimerkiksi tulipalossa
  • Palvelinkäyttöjärjestelmät päivitetään säännöllisesti joko automatisoidusti tai asiantuntijan toimesta
  • Palvelimien sovellusohjelmistot päivitetään säännöllisesti joko automatisoidusti tai asiantuntijan toimesta
  • Kaikki palvelinkäyttöjärjestelmät ovat ohjelmistotoimittajan tuen piirissä
  • Palvelinkäyttöjärjestelmien ylläpito on ICT-ammattilaisen jatkuvassa ylläpidossa ja valvonnassa
  • Tietokoneiden paikalliset kiintolevyt on kryptattu, eli salakirjoitettu
  • Kaikissa tietokoneissa on luvaton käyttö estetty salasanalla, suojakoodilla tai biometrisella tunnisteella
  • Kaikissa tietokoneissa on automaattinen näytön lukitus päällä
  • Tietokoneissa käytetään virus- ja haittaohjelmien torjuntaohjelmistoa
  • Tietokoneita suojataan palomuuriohjelmistolla
  • Jos liiketoimintakriittistä tietoa säilytetään tietokoneiden paikallisella kiintolevyllä, on tietojen synkronointi tai varmuuskopiointi keskitettyyn tallennussijaintiin automatisoitu
  • Tietoturvapäivitykset asennetaan säännöllisesti ja automatisoidusti tietokoneiden käyttöjärjestelmiin
  • Tietoturvapäivitykset asennetaan säännöllisesti ja automatisoidusti tietokoneiden sovellusohjelmiin
  • Jos työntekijöiden henkilökohtaisesti omistamiensa tietokoneiden käyttö työtehtäviin kirjallisesti tai muutoin on sallittu, on työntekijöiden henkilökohtaisten tietokoneiden tietoturvasta huolehdittu organisaation omia laitteita vastaavalla tavalla
  • Kaikkien mobiililaitteiden tallennustila ja mahdolliset muistikortit on kryptattu, eli salattu
  • Kaikkien mobiililaitteiden luvaton käyttö on estetty salasanalla, suojakoodilla tai biometrisella tunnisteella
  • Kaikissa mobiililaitteissa on automaattinen näytön lukitus päällä
  • Jos työntekijöiden henkilökohtaisten mobiililaitteiden käyttö työtehtäviin, kuten työsähköpostin lukemiseen on sallittu, on työntekijöiden henkilökohtaisten mobiililaitteiden tietoturvasta huolehdittu organisaation omia laitteita vastaavalla tavalla
  • Sähköpostipalveluun kirjautumisessa on otettu käyttöön monimenetelmäinen todentaminen (2FA/MFA) tai vastaava ratkaisu käyttäjätunnus/salasanaparin lisäksi
  • Kaikkien organisaation käyttämien tietojärjestelmien pääkäyttäjätunnusten oletussalasanat on vaihdettu
  • Kaikkien työntekijöiden kanssa on laadittu kirjallinen salassapitosopimus
  • Työntekijän työsuhteen päättyessä hänen käyttöoikeuksiensa poistamisesta ja käyttäjätunnusten passivoimisesta huolehditaan johdonmukaisella tavalla
  • Asiakkaan tai kolmannen osapuolen edustajat tunnistetaan luotettavalla menetelmällä ennen kuin heille luovutetaan asiakkaan kirjanpitoaineistoja
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja asiakkaalle
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja tilintarkastajalle
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja asiakkaan valtuuttamalle edustajalle
  • Olennaisissa taloushallinnon pilvipalveluissa käytetään ohjelmistotoimittajan tarjoamaa monimenetelmäistä (2FA/MFA) todentamista käyttäjätunnuksen ja salasanan lisäksi, jos se on teknisesti mahdollista.
  1. Täyttää tietosuoja-asetukseen liittyvät velvoitteet
Lue lisää: EU:n yleisen tietosuoja-asetuksen vaatimukset
  • ICT-palveluntarjoajien kanssa on laadittu henkilötietojen käsittelysopimukset, jos ne käsittelevät henkilötietoja
  • Organisaation käyttämien taloushallinnon pilvipalveluiden toimittajien on kanssa laadittu henkilötietojen käsittelysopimus, jos ne käsittelevät henkilötietoja
  • Organisaatio on laatinut henkilötietojen käsittelysopimuksen niiden asiakkaiden kanssa, joiden henkilötietoja se käsittelee
  • Organisaatio on laatinut henkilötietojen käsittelysopimuksen niiden yhteistyökumppaneidensa kanssa, jotka käsittelevät henkilötietoja organisaation lukuun
  • Organisaatio on laatinut tietosuoja-asetuksen mukaisen selosteen käsittelytoimista
  • Lisätietoa löydät Hyvä palkkahallintotapa -oppaasta
  1. Täyttää rahanpesulakiin liittyvät velvoitteet
Rahanpesulainsäädäntöön liittyvät velvoitteet
  • Organisaatio laatinut rahanpesulain mukaisen riskiarvion rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi
  • Organisaatio rekisteröitynyt rahanpesun valvontarekisteriin
  • Organisaatio laatinut riskiarvioon perustuvat kirjalliset toimintaohjeet rahanpesulain velvoitteiden toteuttamiseksi organisaatiossa
  • Organisaatio kouluttanut henkilöstönsä rahanpesun ja terrorismin rahoittamisen estämistä koskevien käytäntöjensä osalta
  • Organisaatio nimennyt johdostaan henkilön, joka vastaa rahanpesulain velvoitteiden noudattamisen sisäisestä valvonnasta yrityksessä
  • Asiakkaan edustajien henkilöllisyys tunnistetaan ja todennetaan rahanpesulain mukaisesti asiakassuhteen alkaessa
  • Asiakkaan tuntemistiedot säilytetään rahanpesulain mukaisesti
  • Asiakkaan tosiasialliset edunsaajat tunnistetaan asiakassuhteen alkaessa
  • Organisaatio pyrkii tunnistamaan poliittisesti vaikutusvaltaiset henkilöt asiakassuhdetta perustettaessa
  • Organisaatiolla on tehokkaat menettelytavat sekä sisäinen valvonta pakotteiden ja jäädyttämispäätösten noudattamisen varmistamiseksi.
  • Lisätietoa aiheesta verkkosivuillamme

Liity jäseneksi
Jäsenmaksut
Jäsenedut

Tilaa Taloushallintoliiton uutiskirje

Tilaamalla uutiskirjeemme saat taloushallintoalaa koskevan uusimman tiedon ensimmäisten joukossa suoraan sähköpostiisi. Lisäksi saat tiedon esimerkiksi uusimmista koulutuksistamme ja tapahtumistamme. Tutustu uutiskirjevalikoimaamme!

Tilaa uutiskirje