Projektiryhmä
Aika 8.5.2015 klo 13.30 - 14.30
Paikka Liity Lync-kokoukseen
Läsnä:
Muistio
- Avaus
- Kehityksen tilannekatsaus
- Määritysten tarkentaminen / avoimia kysymyksiä
- Tietoturvatyöpaja 7.5.2015
- Koodistojen päivitys
- Tehdäänkö automaattisesti vai halutaanko hyväksymisprosessi?
- Riittäisikö, että pääkäyttäjälle tulee ilmoitus, kun joku koodisto on päivitetty / päivittynyt?
- Projektiryhmä:
- täytyy tehdä pääkäyttäjän vahvistus eli kun tieto on päivittynyt, täytyy olla hyväksyntä, "otetaanko käyttöön" tms.
- SQL-hakutuki
- Tietoturvakonsultin näkemyksen mukaan missään nimessä operatiiviseen kantaan ei SQL-kyselyitä; ottaa kantaa asiaan raportissaan, miten olisi hyvä edetä
- Projektiryhmä: odotetaan Teron kommentteja ja tehdään päätös sen jälkeen
- Turvakielto
- Lähiomaisten turvakielto
- Henkilötietojen hallinnassa oma kokonaisuus lähiomaisille. Lähiomaisella voi olla kuitenkin turvakielto.
- VTJ:stä voisi käydä niin haluttaessa tarkistamassa myös lähiomaisten tiedot, mutta onko tavoiteltavaa?
- Projektiryhmä:
- ei perustetta hakea lähiomaisten tietoa VTJ:stä (ei aktiivista suhdetta korkeakouluun)
- ominaisuus lähinnä toista astetta varten, mutta korkeakouluilla voi olla eri käytäntetitä
- Päätös: ominaisuuden täytyy olla piilotettavissa niin haluavilla organisaatioilla
- Opiskelijan turvakielto
- Näytetäänkö turvakiellon alaisia tietoja edes opiskelijalle itselleen / mille kaikille rooleille?
- Henkilön/opiskeluoikeuksien lisätiedot
- Päätös:
- Opiskelijan pitää nähdä omat tietonsa (tulee erottaa toki mitä näytetään suoraan vs. mitä kerrotaan / näytetään erikseen pyydettäessä)
- Muut eivät näe - ainoastaan, mikäli erikseen asetettu matriisissa, että saa nähdä turvakiellon alaiset tiedot; nämä pääkäyttäjän määriteltävissä
- Huom. Täytyy valmistautua tuottamaan raportti siitä, mitä kaikkea tietoa opiskelijasta on kirjattu järjestelmään (tässä vaiheessa scopen ulkopuolella)
- Opiskelijan pitää nähdä omat tietonsa (tulee erottaa toki mitä näytetään suoraan vs. mitä kerrotaan / näytetään erikseen pyydettäessä)
- Lähiomaisten turvakielto
- Ehdotus, että ohjeistus henkilön terveydentilaan tai persoonaan liittyvistä tiedoista näkyvissä koko ajan esimerkiksi tekstialueen ylä- tai alapuolella (ei tooltipin takana)
- Päätös: tehdään ehdotuksen mukaan
- Vanhojen (raportoitujen) suoritusten arvosanojen muuttaminen
- Täytyy olla vahvojen oikeuksien takana jos lainkaan (vahvojen oikeuksien taakse tehdään rajaus); tarkoittaa siis lukittuja suorituksia (huom. vahvempi lukitus vielä, kun opiskelija valmistunut)
- Päätös: ehdotuksen mukaan
- Lokitus
- Miten prosessimielessä varmistetaan, että lokeja seurataan? Lokiin saadaan kertymään kaikki toiminta järjestelmässä, mutta siitä ei itsessään hyötyä, jos ei ole sovittu seurantakäytänteistä
- Päätös:
- pääkäyttäjän työpöydälle tulee nostaa epätyypillisiä tapahtumia (esim. käyttäjät runsaissa määrin ulkomaisista ip-osoitteista), runsaat massatoiminnot, ts. lokin analysointityökalu
- pääkäyttäjät pohtivat tarpeita tätä varten
- Kysymys:
- Lokien siivousrutiinit arkistoon täytyy suunnitella vrt. keskustelu Pepin puolella
- Selainistuntojen kesto
- Käyttömukavuus vs. tietoturva: mihin säädetään uudelleenkirjautuminen?
- Päätös:
- Ratkeaa SSO-istunnon kestosta - voidaan lisätä laskuri näkyviin
- Huom. onko sama vanhenemiskäytäntö arviointipalvelussa, jossa määritelty uudelleen kirjautuminen - kyllä todennäköisesti
- Hetut raporteissa
- Nyt käyttäjä, jolla ei muuten olisi oikeutta nähdä hetua, pääsee valitsemaan raporttikohtaisesti näytetäänkö hetu vai ei (eli raportin kautta pääsee sellaisiin tietoihin käsiksi, joihin ei muuten pääsisi; esim. opettaja tulee opiskelijan tietoihin ja ottaa raportin Opiskelutodistus)
- Miten asiassa tulisi edetä?
- Päätös:
- ei saa tulostaa hetua jos ei muutenkaan oikeutta nähdä
- Muuta
- Opiskelijoiden OILI-tuonti
- Tulee paljon tietoa, halutaanko kirjata kaikki hakukohteeseen liittyvät tiedot? Palataan tähän vielä myöhemmin.
- Opiskelijoiden OILI-tuonti
- Koodistojen päivitys
- Tietoturvatyöpaja 7.5.2015
- Testi-ikkuna 5 - tilannekatsaus
- Annetut palautteet 8.5. klo 12.00
- Pääkäyttäjä 0 valmista, 4 keskeneräistä (osa toiminnoista testauksessa ensi viikolla)
- Korkeakoulupalvelut 1 valmis
- Opettaja/ohjaaja 2 valmista, 0 keskeneräistä
- Pakki opiskelija
- Metropolia 4 valmista, 1 keskeneräinen
- Yleinen 10 valmista, 0 keskeneräistä
- Ensimmäisiä havaintoja
- Perusrekisterissä hienosäätöä riittää runsaasti; muutostarpeet rekisteröity pitkälti jo aiemmin, mutta erittäin hyvät sanalliset kuvaukset ongelmista auttavat ratkaisuissa
- Pakissa vähemmän korjattavaa, tiettyä epästabiiliutta havaittu toiminnoissa
- OILI-tuonnin testaaminen
- Voi aloittaa testaamisen
- Staging-ympäristössä testaaminen
- Sotkemattomalla datalla pääsee testaamaan tiistaina. Pääsy rajataan asiakkaan ilmoittamille henkilöille.
- CSV-muotoisesti opiskelijan tietojen tuomista testataan staging-ympäristössä, koska edellyttäisi muutoksia kesken testi-ikkunan demo-asennuksiin.
- Annetut palautteet 8.5. klo 12.00
- Muut asiat
- FAQ-palsta wikissä, ensimmäiset kysymykset ja vastaukset lisätty
- Viikon aika keskusteltu runsaasti ahotoinnista (ja osa-ahotoinneista) - mahdollisesti henkilökohtaisen opintojakson kautta voitaisiin hoitaa tämä ongelma
- Lukuvuosi-ilmoittautumisen toiminto
- Oilin kehittymisestä huolimatta otettava kantaa, toteutetaanko ominaisuus erikseen Perusrekisteriin
- Huom. säännöstöä täytyy päästä testaamaan lukuvuosi-ilmoittautumisten osalta projektin aikana riippumatta lopullisesta toteutustavasta
- Hyväksyntätestaukset kesä- ja elokuussa - onko testaajia tarpeeksi?
- Tampereella kesätyöntekijöitä, samoin Metropolialla varattu opiskelijatestaajia
- Huomioitavaa tietenkin, että virheet korjataan vaikka havaittaisiin myöhemmin syksyllä
- Ensi viikon projektiryhmä ja sprintin päätös (väliaikatilanne) siirretään keskiviikolla helatorstain vuoksi
- Ulkopuolisia testaajia mukana
- FAQ-palsta wikissä, ensimmäiset kysymykset ja vastaukset lisätty
- Päätös