Turvallisuus ja luottamus
Miten Aihio AI suojaa tietosi: EU-datakeskukset, salaus, saavutettavuus ja lakivaatimukset.
Turvallisuus ja luottamus
Aihio AI on suomalainen palvelu, joka on rakennettu alusta asti EU:n tietosuoja- ja turvallisuusvaatimusten mukaisesti. Tietosi pysyvät EU:ssa, ja palvelu täyttää GDPR:n, saavutettavuusdirektiivin ja EU:n tekoälysäännöksen vaatimukset.
Vaatimustenmukaisuus
| Vaatimus | Tila | Kuvaus |
|---|---|---|
| GDPR | Noudatetaan | EU:n yleinen tietosuoja-asetus |
| EU:n tekoälyasetus | Noudatetaan | Artikla 50: tekoälyn käytön ilmoittaminen |
| Saavutettavuusdirektiivi (EAA) | Noudatetaan | WCAG 2.2 AA -taso |
| Suomen tietosuojalaki | Noudatetaan | Kansallinen täydennys GDPR:ään |
| ePrivacy | Noudatetaan | Evästeet ja viestintäsuoja |
Data EU:ssa
Kaikki tietosi pysyvät EU:n sisällä. Emme siirrä henkilötietoja EU:n ulkopuolelle.
| Tieto | Sijainti | Palveluntarjoaja |
|---|---|---|
| Käyttäjätilit ja asetukset | EU (Frankfurt) | Supabase (AWS eu-central-1) |
| Keskusteludata | EU (Frankfurt) | Supabase (AWS eu-central-1) |
| Tietopohjan dokumentit | EU (Frankfurt) | Supabase (AWS eu-central-1) |
| Vektoritietokanta | EU (Frankfurt) | Supabase (AWS eu-central-1) |
| Verkkosovellus | EU (useita) | Vercel (fra1, arn1, cdg1) |
Salaus
| Kerros | Menetelmä |
|---|---|
| Siirron aikana | TLS 1.3 (kaikki yhteydet) |
| Levossa | AES-256 (tietokanta ja varmuuskopiot) |
| Salasanat | bcrypt-tiivisteet (ei selväkielisiä salasanoja) |
Käyttäjien ja palvelimen välinen liikenne on aina salattu. Tämä koskee myös chatbot-widgettiä ja API-rajapintaa.
Chatbot-widget ja tietoturva
Chatbot-widget on koodi, jonka asiakas lisää verkkosivuilleen. Koska kyse on kolmannen osapuolen koodista, turvallisuus on erityisen tärkeä.
Mitä widget tekee
| Toiminto | Kuvaus |
|---|---|
| Ladataan | Yksi JavaScript-tiedosto (alle 50 KB) |
| Eristäys | Shadow DOM estää CSS-ristiriidat sivun kanssa |
| Yhteydet | Kommunikoi aihio.ai-palvelimen kanssa. Konfiguroituja resursseja (logo, avatar) voidaan ladata myös muilta verkkotunnuksilta. |
| Evästeet | Ei käytä evästeitä |
| Paikallinen tallennus | Tallentaa keskusteluhistorian selaimeen (localStorage, 24h) |
| Seuranta | Ei seuraa käyttäjiä sivustojen välillä |
Mitä widget EI tee
- Ei asenna evästeitä
- Ei jaa tietoja mainosverkkojen kanssa
- Ei seuraa käyttäjän liikkumista sivustolla
- Ei kerää IP-osoitteita pysyvästi (käsitellään vain yhteyden aikana)
- Ei käynnistä taustaprosesseja sivun sulkemisen jälkeen
Henkilötietojen tunnistus
Widget tunnistaa automaattisesti arkaluonteisia tietoja kuten luottokorttinumeroita, henkilötunnuksia ja IBAN-tilinumeroita. Jos tietoja havaitaan, käyttäjälle näytetään varoitus. Viestiä ei estetä -- kyse on neuvoa-antavasta ilmoituksesta.
CSP-yhteensopivuus
Widget toimii sivuilla, joilla on tiukat Content Security Policy -säännöt. Jos sivuillasi on CSP, lisää:
script-src 'self' https://aihio.ai; connect-src 'self' https://aihio.ai;
Subresource Integrity (SRI)
Widget-tiedostolle luodaan SRI-tiiviste jokaisessa julkaisussa. IT-osastosi voi vahvistaa, että ladattu tiedosto on muuttamaton:
<script src="https://aihio.ai/widget/aihio-widget.js" integrity="sha384-..." crossorigin="anonymous" data-chatbot-id="your-chatbot-id" async ></script>
SRI-tiiviste löytyy osoitteesta https://aihio.ai/widget/aihio-widget.js.integrity.
Tekoäly ja läpinäkyvyys
EU:n tekoälyasetus (AI Act, artikla 50)
Chatbot-widget noudattaa EU:n tekoälysäännöksen vaatimuksia:
- Ilmoitus tekoälyn käytöstä -- Widget näyttää automaattisesti ilmoituksen, että vastaukset ovat tekoälyn tuottamia
- Ei esiinny ihmisenä -- Käyttäjä tietää aina keskustelevansa tekoälyn kanssa
Miten tekoäly käsittelee tietoja
- Vastaukset perustuvat tietopohjaasi -- Chatbot vastaa asiakkaan lisäämän tietopohjan perusteella (RAG-arkkitehtuuri)
- API-rajapinta -- Tekoälymallit (OpenAI, Google) käsittelevät viestit API:n kautta. Data ei tallennu mallien koulutukseen
- Minimointi -- Mallille lähetetään vain keskustelun konteksti ja relevantti tietopohja, ei ylimääräistä
- Ei ristiin oppimista -- Asiakkaiden tietopohja ja keskustelut ovat täysin eristetty toisistaan
Saavutettavuus
Chatbot-widget täyttää WCAG 2.2 AA -tason vaatimukset ja EU:n saavutettavuusdirektiivin (EAA, voimassa 28.6.2025) vaatimukset.
| Ominaisuus | Toteutus |
|---|---|
| Näppäimistönavigaatio | Kaikki toiminnot käytettävissä näppäimistöllä |
| Ruudunlukija | ARIA-merkinnot, live-alueet, roolit |
| Kosketuskohteet | Vähintään 44x44 pikseliala (56px mobiilissa) |
| Fokusindikaattori | Selkeästi näkyvä (vähintään 2px, WCAG 2.2 SC 2.4.11) |
| Liikereduktio | Animaatiot poistuvat, jos käyttäjä on valinnut vähennetyn liikkeen |
| Kontrastisuhde | OKLCH-väriavaruus takaa riittävän kontrastin kaikissa teemoissa |
| Kielituki | Suomi ja englanti, myös ruudunlukijatekstit |
Tarkemmat tiedot: Saavutettavuusseloste
Todennus ja käyttöoikeudet
| Ominaisuus | Kuvaus |
|---|---|
| Monivaiheinen tunnistautuminen (MFA) | Tuettuna kaikilla tileilla |
| Suojatut salasanat | bcrypt-tiivisteet, ei rajoituksia pituudessa |
| Istunnon hallinta | Automaattinen kirjautumisen vanheneminen |
| Tiimikäyttöoikeudet | Omistaja-, ylläpitäjä- ja jäsenroolit |
Tietojen käsittelysopimus (DPA)
GDPR edellyttää, että rekisterinpitäjä (sinä) ja henkilötietojen käsittelijä (Aihio AI) solmivat tietojen käsittelysopimuksen (DPA).
Pyydäthän DPA:n osoitteesta: tietosuoja@aihio.ai
Alikäsittelijät
Aihio AI käyttää seuraavia alikäsittelijöitä:
| Alikäsittelijä | Tarkoitus | Sijainti |
|---|---|---|
| Supabase | Tietokanta, todennus, tiedostotallennus | EU (Frankfurt) |
| Vercel | Verkkosovelluksen hosting | EU (useita) |
| Stripe | Maksujen käsittely | EU / US (PCI DSS) |
| OpenAI | Tekoälyvastausten generointi (API) | US (ei tallenna API-dataa) |
| Google AI | Tekoälyvastausten generointi (API) | US (ei tallenna API-dataa) |
Ilmoitamme muutoksista alikäsittelijöihin vähintään 30 päivää etukäteen.
Tietoturvaloukkaukset
Mahdollisessa tietoturvaloukkauksessa:
- Ilmoitus 72 tunnissa -- GDPR:n mukainen ilmoitus valvontaviranomaiselle
- Ilmoitus asiakkaille -- Jos loukkaus vaikuttaa henkilötietoihin
- Korjaavat toimenpiteet -- Välitön tutkinta ja korjaus
Yhteystiedot
| Asia | Yhteystieto |
|---|---|
| Tietosuoja | tietosuoja@aihio.ai |
| Tietoturva | security@aihio.ai |
| DPA-pyynnöt | tietosuoja@aihio.ai |
Seuraavaksi
Tarkemmat tiedot henkilötietojen käsittelystä
WCAG 2.2 AA -vaatimustenmukaisuus
Ohjeet chatbot-widgetin asentamiseen
Kokeile käytännössä
Testaa chatbottia omalla sisällölläsi — ilmainen paketti riittää kokeiluun.