Windows Phone -puhelinten tietosuojasta

Windows Phone -puhelinten tietosuojasta

  • Comments 15
  • Likes

Viime päivinä on mediassa nähty artikkeleita, joissa on virheellisesti syytetty Microsoftia yhteistyöstä USA:n kansallisen turvallisuusviraston NSA:n kanssa ja Nokian asiakkaiden tietojen vuotamisesta Yhdysvaltain viranomaisille. Jutuissa jää epäselväksi lisäksi se, millaisia tietoja Microsoft vastaanottaa tuottaakseen palveluita, joita sen asiakkaat laitteillaan käyttävät ja niiltä toivovat.

Haluamme tällä blogikirjoituksella korjata näitä virheellisyyksiä väärinkäsitysten välttämiseksi, ja kerromme mieluusti jatkossakin lisää taustatietoja kaikille halukkaille.

Kaikki älypuhelimet välittävät tietoja konesaleissa oleviin palvelimiin voidakseen tuottaa asiakkaiden toivomia palveluita - myös Windows Phone -puhelimet. Tietosuojatiedoissa kerromme selvästi mitä tietoja vastaanotamme, ja kerromme avoimesti, että tämä tieto tallennetaan ja käsitellään eri puolilla maailmaa – myös Yhdysvalloissa – sijaitsevissa konesaleissa. Tarjoamme asiakkaillemme välineet, joilla he voivat helposti hallita käyttämiään palveluita sekä sitä, millaista informaatiota he haluavat jaettavan. On siis virheellistä ja harhaanjohtavaa kutsua toimivaa älypuhelinta ”tietoa vuotavaksi”.

Ilman tietojen tallentamista pilveen eivät monet elämää helpottavat palvelut, kuten paikannus- tai joukkoliikennevälineiden aikataulupalvelut, olisi mahdollisia. Pilveen yhteydessä olevat, tietoa hyödyntävät palvelut ovat oleellinen osa nykyaikaisten älypuhelinten käyttökokemusta. Kuluttajat vaativat ja edellyttävät näitä palveluita niin Microsoftilta kuin muiltakin teknologiayhtiöiltä. Kun asiakas haluaa paikannusohjeita puhelimellaan, laitteen sijainti lähetetään palvelimelle, joka suunnittelee reitin. Kun käyttäjä haluaa varmuuskopioida valokuvia tai yhteystietoja pilveen, tiedot tallentuvat palvelimille, joista ne voidaan myöhemmin palauttaa. Kun asiakas toivoo nopean pääsyn verkkosivuille, palveluntarjoajat käyttävät välityspalvelimia varmistaakseen toimivan selailukokemuksen.

Asiakkaidemme yksityisyyden- ja tietosuoja on etusijalla palveluissamme. Asiakkaillamme on aina kontrolli tiedoistaan ja siitä, miten tietoja käytetään. Tarkemmat yksityiskohdat Windows Phone -tietosuojasta on luettavissa verkkosivuiltamme. Tietosuojatiedoista ilmenee, mitä informaatiota kerätään ja mihin sitä käytetään. Tietosuojatiedoissa kerromme selvästi myös sen, että kansainvälisenä yhtiönä tuotamme palveluita eri puolella maailmaa olevista konesaleista.

Julkisuudessa nähtiin myös myös väite siitä, että asiakkaidemme matkapuhelimella ja muilla laitteilla ottamia valokuvia aktiivisesti tarkkailtaisiin. Tämäkään ei pidä paikkaansa. Microsoft osallistuu kuitenkin kansainväliseen yhteistyöhön, jonka tarkoituksena on vähentää lapsiin kohdistuvia verkkorikoksia. Pilvipalveluihin tallennettujen kuvien osalta tämä toteutetaan automaattisesti ja koneellisesti PhotoDNA-kuvantunnistusteknologialla. Lisätietoja tästä teknologiasta on luettavissa blogikirjoituksestamme ”Child Exploitation Crimes – Protecting children from technology-facilitated crimes”.

Microsoft siis hallinnoi ja tallentaa asiakkaiden tietoja tuottaakseen palveluita tietosuojatiedoissamme kuvatulla tavalla. Haluamme kuitenkin asiakkaidemme tietävän, että Microsoft ei salli minkään maan viranomaisille – NSA mukaan lukien – suoraa tai rajoituksetonta pääsyä Microsoftin asiakkaiden tietoihin. Microsoft luovuttaa asiakkaiden tietoja viranomaisille ainoastaan oikeudellisesti pätevien, yksilöityihin käyttäjätileihin tai käyttäjätunnisteisiin kohdistuvien tietopyyntöjen perusteella. Julkaisemme säännöllisesti tietoja eri maiden viranomaisilta saamistamme tietopyynnöistä verkkosivuillamme.

Lisäksi Microsoft on yhdessä teknologia-alan muiden merkittävien yhtiöiden kanssa vaatinut Yhdysvalloissa oikeuden kertoa kansalliseen turvallisuuteen liittyvistä viranomaisten tietopyynnöistä. Saimme luvan julkaista tietoja äskettäin ja olemme julkaisseet näitä tietoja blogikirjoituksessamme.

On myös tärkeä selventää, että ainoastaan prosentin murto-osa asiakkaistamme on koskaan joutunut rikostutkintaan tai kansalliseen turvallisuuteen liittyvän oikeudellisen tietopyynnön kohteeksi.

On totta, että asiakkaidemme laitteet kommunikoivat muualla sijaitsevien palvelimien kanssa ja joskus tallentavat niihin tietoa käyttäjän tilaamien palveluiden mahdollistamiseksi. Sama koskee muita vastaavia palveluntarjoajia. Olemme kuitenkin olleet avoimia asiakkaillemme sen osalta, mitä tietoja saamme ja miten niitä käytetään tuomaan runsaasti erilaisia ominaisuuksia ja palveluita nykyaikaisiin älypuhelimiin.

Aki Siponen, teknologiajohtaja, Microsoft Oy

Max Mickelsson, tietoyhteiskuntasuhteiden johtaja, Microsoft Oy

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • Windows Phonen käyttöönotosta ja sen käytöstä löytyy hyvät suomenkieliset ohjeet Windows Phone -sivustolta. Sivuilla kerrotaan miten paikantaminen tai varmuuskopiointo toimii ja miten saat ne halutessasi myös pois päältä. Tutustu ohjeisiin ja käyttövinkkeihin, niin saat Windows-puhelimestasi kaiken irti. http://www.windowsphone.com/fi-fi/how-to/wp8

  • Kiitos vastineesta. Opiskelijani tiedustelevat sitä kuinka luotettavaa tämä informaatio on, koska ohjelmistojen koodia ja niihin liittyvää toiminnallisuutta ei voida tarkistaa? Toisin sanoen, onko luotettavuuden takeeksi muita vakuuksia kuin asiakastiedotteita?

    Esimerkiksi koulumaailmassa opinnäytteitä tehdessä, väitteet pitää osoittaa todeksi, jotta ne eivät edusta uskomusta. Voidaanko vastaavaa menetelmää käyttää arvioidessa teknoloigoita ja tuotteita, mitä Microsoft toimittaa?

    Ystävällisin terveisin
    Tuomo Ryynänen,
    Lehtori

  • Kulttuurit kohtaavat. Amerikkalainen yritys määrittelee Suomalaisen Saunakultuuriin kuuluvan mökkirannassa alastoman pulikoimisen pornokrafiaksi ?!

  • Voisitteko lisätä ohjeisiin sallitut kuvausaiheet ettei tule vahingossa otettua jonkun ulkomaan kieltämiä kuvia ml pukeutumisohjeet lapsille

  • Onko pilveen tallennetut tiedot anonyymejä vai voiko ne jäljittää tiettyyn laitteeseen/käyttäjään?

  • Ovatko aktiivinen ja automaattinen seuranta toisensa vastakohtia? Eikö ole mahdollista että automaattinen valvonta antaa virheitä kuten ilmeisesti on käynyt. Automaattinen ilmoitus poliisille ? onko mahdollista. Jos Ms pääsee käsiksi puhelimen / pilven sisältöön niin silloin vuotaminen on mahdollista vaikka epärehellisen työntekijän toimesta. Eli kirjoituksen perusteella Ms seuraa käyttäjiä automaattisesti.

  • "Tarjoamme asiakkaillemme välineet, joilla he voivat helposti hallita käyttämiään palveluita sekä sitä, millaista informaatiota he haluavat jaettavan."

    1. Miten toimia kun en halua hallita mitään kopiointeja tai ja varsinkaan en edes halua luoda mitään microsoft-tiliä! Eli miten on mahdollista olla olematta mitenkään tekemisissä m$ kanssa? Minusta ei kuulu mitenkään microsoftille mitä teen luurillani tai missä ja mihin sitä käytän.
    2. En halua yhteystietojani pilveen, haluaisin kopioida ne ainoastaan omalle koneelleni. Miten tämä tapahtuu?

  • "Ilman tietojen tallentamista pilveen eivät monet elämää helpottavat palvelut, kuten paikannus- tai joukkoliikennevälineiden aikataulupalvelut, olisi mahdollisia."
    - miksi muka pitäisi johonkin tallentaa sekin tieto jos joku pyytää / saa aikataulun luuriin? Tekosyy sille että yritätte saada mahdollisimman kattavan rekisterin käyttäjien toimista...

  • Tämä on virheellinen väittämä:
    Julkaisemme säännöllisesti tietoja eri maiden viranomaisilta saamistamme tietopyynnöistä verkkosivuillamme.

    Totuus:
    Microsoftilla ei ole oikeutta kertoa yhtään mitään NSA:n tietopyynnöistä, ei juuta, ei jaata. Ei edes sitä että onko pyyntöä tullut vai ei. Ne puuttuvat tuosta listauksesta ja tulevat aina puuttumaan. Ainoa asia jonka MS voi kertoa on että 0-1998 kertaa se antaa näitä tietoja vuoden aikana NSA:lle

  • On hyvä muistaa että NSA tietosuoja kyselyn paljastaminen on kielletty ja voi johtaa jopa elinikäiseen tuomioon.

  • Varmuuskopiointi voitaisiin tehdä niin että tiedot salataisiin puhelimessa ennen lähetystä. Herää kysymys että mistä syystä Windows Phone tämä ominaissus on tiputettu pois.

  • Tuomo, tähän tule tulevaisuudessa helpostusta: http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/01/31/microsoft-announces-brussels-transparency-center-at-munich-security-conference.aspx

  • Kiitos runsaasta palautteesta. Koetan tässä vastata tai linkata mielestäni palautteeseen tai kysymykseen vastaavaan materiaaliin.

    • (K) Varmuuskopiointi voitaisiin tehdä niin että tiedot salataisiin puhelimessa ennen lähetystä. Herää kysymys että mistä syystä Windows Phone tämä ominaissus on tiputettu pois.
    (K) Onko pilveen tallennetut tiedot anonyymejä vai voiko ne jäljittää tiettyyn laitteeseen/käyttäjään?

    (V) Varmuuskopioinnin yhteydessä tallentuu myös tietoja joiden perusteella käyttäjä on tunnistettavissa. Esimerkkeinä puhelimen asetuksiin kuuluvat sähköpostitilien nimet, tekstiviesti ja selaimen talletetut suosikit.

    Varmuuskopiodut tiedot tallentuvat Microsoft-tilin alle ja tiedot on suojattu ko. tilin käyttäjätunnistuksen avulla muilta käyttäjiltä. Tiedot siirretään salatun yhteyden kautta, mutta niitä ei ole salattu palvelinkeskuksessa käyttäjäkohtaisella avaimella.

    Tietojen salaaminen palvelinkeskuksessa käyttäjäkohtaisella avaimella tuo mukanaan haasteita avainten hallinnan kannalta. Palvelu on ainakin toistaiseksi haluttu pitää yksinkertaisena.

    Windows Phone tietoturvaominaisuuksien yleiskatsaus yritysnäkökulmasta löytyy tästä dokumentista: http://go.microsoft.com/fwlink/?LinkId=266838. Varmuuskopioinnin (puhelimessa Asetukset-> varmuuskopiointi) varmistamat tiedot on kuvattu tarkemmin tietosuojatiedoissa: http://www.windowsphone.com/fi-FI/legal/wp8/windows-phone-privacy-statement#backup.

    • (K) On hyvä muistaa että NSA tietosuoja kyselyn paljastaminen on kielletty ja voi johtaa jopa elinikäiseen tuomioon
    (K) Microsoftilla ei ole oikeutta kertoa yhtään mitään NSA:n tietopyynnöistä, ei juuta, ei jaata. Ei edes sitä että onko pyyntöä tullut vai ei. Ne puuttuvat tuosta listauksesta ja tulevat aina puuttumaan. Ainoa asia jonka MS voi kertoa on että 0-1998 kertaa se antaa näitä tietoja vuoden aikana NSA:lle.

    (V) On totta että Yhdysvaltain lainsäädäntö kieltää kertomasta yksittäisistä kansallisen turvallisuuden perusteella tehdyistä tietopyynnöistä. Meillä on kuitenkin lupa kertoa tietopyyntöjen ja niiden vaikutuspiiriin kuuluvien käyttäjätilien määrä. Aikaisemmin saimme julkaista tuhannen tarkkuudella vain FBI:n toimivaltaan kuuluvien National Security Letter -määräysten lukumäärän. Viime kesänä haastoimme Yhdysvaltain liittovaltion oikeuteen yhdessä Googlen ja muiden palvelutuottajien kanssa ja saimme alkuvuodesta oikeuden julkaista tuhannen tarkkuudella tietoa aikaisemmin salaisista Foreign Intelligence Surveillance Act (FISA) -lain perusteella annettavista määräyksistä. Eli lukumäärät ja vaikutuspiiriin kuuluvien käyttäjätilien määrät on näistä kaikista tiedossa. Päivitettyja lukuja on julkaistu Brad Smithin blogissa: http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/02/03/providing-additional-transparency-on-us-government-requests-for-customer-data.aspx.

    Pasi Mäkinen, Microsoft

  • • (K) "Ilman tietojen tallentamista pilveen eivät monet elämää helpottavat palvelut, kuten paikannus- tai joukkoliikennevälineiden aikataulupalvelut, olisi mahdollisia." - miksi muka pitäisi johonkin tallentaa sekin tieto jos joku pyytää / saa aikataulun luuriin? Tekosyy sille että yritätte saada mahdollisimman kattavan rekisterin käyttäjien toimista...

    (V) Palvelujen toiminnan varmistamiseksi ja kehittämiseksi kerätään siihen vaaditussa laajuudessa tietoja. Puhelimen tietosuojatiedoissa (http://www.windowsphone.com/fi-FI/legal/wp8/windows-phone-privacy-statement) on edelleen tarkempia linkkejä kunkin taustapalvelun tietosuojatietoihin, joissa kuvataan tarkemmin mitä tietoja kyseinen toiminto kerää. Kysymyksessä mainitun paikannus- ja aikataulutietojen tietosuojalausunto linkittää Bing-tietosuojalausuntoon: http://www.microsoft.com/privacystatement/fi-fi/bing/default.aspx. Jos kyseine toiminto tai mobiilisovellus on muun kuin Microsoftin toteuttama, esimerkiksi Nokian Here Maps, on sovelluksen itsessään sisällettävä linkki tietosuojalausuntoon.

    • (K) "Tarjoamme asiakkaillemme välineet, joilla he voivat helposti hallita käyttämiään palveluita sekä sitä, millaista informaatiota he haluavat jaettavan."
    1. Miten toimia kun en halua hallita mitään kopiointeja tai ja varsinkaan en edes halua luoda mitään microsoft-tiliä! Eli miten on mahdollista olla olematta mitenkään tekemisissä m$ kanssa? Minusta ei kuulu mitenkään microsoftille mitä teen luurillani tai missä ja mihin sitä käytän.
    2. En halua yhteystietojani pilveen, haluaisin kopioida ne ainoastaan omalle koneelleni. Miten tämä tapahtuu?

    (V) Puhelinta käyttöönotettaessa on mahdollista ohittaa Microsoft-tilillä kirjautuminen tai tilin luominen. Tällöin puhelimessa ei kuitenkaan ole mahdollista käyttää tiliä tunnistamiseen käyttäviä palveluja kuten Kauppa, Xbox Live tai Xbox Music. Yrityskäytössä on toki edelleen mahdollista ladata yrityksen itse jakelemia sovelluksia.

    • (K) Voisitteko lisätä ohjeisiin sallitut kuvausaiheet ettei tule vahingossa otettua jonkun ulkomaan kieltämiä kuvia ml pukeutumisohjeet lapsille
    (K) Kulttuurit kohtaavat. Amerikkalainen yritys määrittelee Suomalaisen Saunakultuuriin kuuluvan mökkirannassa alastoman pulikoimisen pornokrafiaksi ?!
    (K) Ovatko aktiivinen ja automaattinen seuranta toisensa vastakohtia? Eikö ole mahdollista että automaattinen valvonta antaa virheitä kuten ilmeisesti on käynyt. Automaattinen ilmoitus poliisille ? onko mahdollista. Jos Ms pääsee käsiksi puhelimen / pilven sisältöön niin silloin vuotaminen on mahdollista vaikka epärehellisen työntekijän toimesta. Eli kirjoituksen perusteella Ms seuraa käyttäjiä automaattisesti.

    (V) Lapsiin kohdistuvien verkkorikosten ehkäiseminen on arvokasta toimintaa, johon osallistuu myös monia yrityksiä. Lista Yhdysvaltain National Center for Missing & Exploited Children kanssa yhteistyötä tekevistä yrityksistä löytyy täältä: http://www.missingkids.com/ProgramPartners.

    Pasi Mäkinen, Microsoft

  • Vastauksena kysymykseen väitteiden todentamisesta.

    (K) Kiitos vastineesta. Opiskelijani tiedustelevat sitä kuinka luotettavaa tämä informaatio on, koska ohjelmistojen koodia ja niihin liittyvää toiminnallisuutta ei voida tarkistaa? Toisin sanoen, onko luotettavuuden takeeksi muita vakuuksia kuin asiakastiedotteita? Esimerkiksi koulumaailmassa opinnäytteitä tehdessä, väitteet pitää osoittaa todeksi, jotta ne eivät edusta uskomusta. Voidaanko vastaavaa menetelmää käyttää arvioidessa teknologioita ja tuotteita, mitä Microsoft toimittaa?

    (V) Ohjelmistotuotteen toiminnallisuuden vaatimustenmukaisuutta voidaan lähestyä eri tavoin. Yksi tapa on tarkastella lähdekoodia, mutta tämä on varsin työläs tapa.

    Lähdekoodin tarkastelu ei myöskään ole kovin tehokasta. Esimerkkinä voi vaikkapa mainita OpenSSL paketin satunnaislukugeneroinnin heikkous, joka havaittiin vasta 18 kuukauden kuluttua vaikka lähdekoodi oli vapaasti tarkasteltavissa. Aiheesta lähteitä:
    http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=4639029&isnumber=4639007&tag=1
    http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4639029 ( same as pdf download)
    http://lukenotricks.blogspot.be/2008/07/blackish-swan-for-debian-crypto.html

    Microsoft ymmärtää lähdekoodin tarkastelun arvon osana vaatimustenmukaisuuden varmistamisessa sekä virheenselvityksen ja yhteentoimivuuden apuna. Tämän vuoksi meillä on ollut vuodesta 2001 tarjolla asiakkaillemme Shared Source Initiative –ohjelma sekä julkishallinnolle tarkoitettu Government Security Program, joiden puitteissa asiakkaillamme on mahdollisuus tarkastaa tuotteidemme lähdekoodia. Lähdekoodin tarkastettavuutta ollaan entisestään helpottamassa perustamalla kuluvan vuoden aikana Brysseliin Transparency Center.
    Suomen valtio on mukana Government Security Program –ohjelmassa, joten valtion tietoturvallisuudesta vastaavilla tahoilla on mahdollisuus perehtyä Microsoftin ohjelmistotuotteiden lähdekoodiin.

    Jotta ohjelmistotuotteen kehittämisessä otettaisiin tarpeeksi hyvin huomioon tietoturvallisuuteen liittyvät ei-toiminnalliset vaatimukset, tulee koko ohjelmistotuotteen elinkaaren hallinta järjestää turvallisuuden lähtökohdasta käsin. Microsoft on perustanut ohjelmistokehityksensä turvallisuuteen jo runsaan kymmenen vuoden ajan. Käytämme ohjelmistokehitysprosessistamme nimeä ”Security Development Lifecycle” (SDL). SDL:ää pidetään yhtenä parhaista käytännöistä ohjelmistokehityksen saralla. Monet suomalaisetkin organisaatiotkin ovat omaksuneet osia siitä omiin ohjelmistokehitysprosesseihinsa. Myös kansainväliset standardointiorganisaatiot ovat tarttuneet teemaan. ISO/IEC 27034 standardi julkaistiin vuonna 2011. SDL on yhteensopiva tämän standardin kanssa.

    Aki Siponen

Yhteystiedot


Camilla Lindfors
Viestintäjohtaja
camillal(a)microsoft.com
Puhelin 040 838 6686
Asiakaspalvelu

Aukioloajat ma - pe:
klo 8.30 -17.00
Puhelin (09) 8171 0400
finland[a]microsoft.com

Lisätietoja