Kaikki artikkelit
Tietoturva 5 minPäivitetty 2026-07-08

Miten Vantnod suojaa taloustiedot ja miksi kirjausketjuun voi luottaa

Nuori tuote ei voi pyytää sokeaa luottamusta. Siksi näytämme arkkitehtuurin: missä data sijaitsee, kuka saa muuttaa mitä ja mikä on tarkoituksella vielä pois päältä.

Tietokanta on Frankfurtissa ja palautus onnistuu haluttuun ajanhetkeen, pääsy rajataan tietokannassa rivitasolla, jokainen rahapäätös leimataan palvelimella ja riskialttiit integraatiot pysyvät pois päältä kunnes ne ovat oikeita. Tietoturvamalli ilman teatteria.

01

Kysymys, joka kannattaa esittää ääneen

Miksi antaisin yritykseni kirjanpidon nuorelle tuotteelle? Yrittäjät kysyvät tämän meiltä suoraan, ja kirjanpitäjät kysyvät sen vielä terävämmin. Kysymys on oikea, ja se ansaitsee konkreettisen vastauksen, ei sivullista logoja.

Vantnodin takana on espoolainen Impact Node Oy, joka rakentaa ja operoi tuotetta. Emme voi vedota vuosikymmenten historiaan, joten vetoamme arkkitehtuuriin: missä data sijaitsee, mitä tietokanta itse pakottaa, miten historia kirjoitetaan ja mitkä ominaisuudet pysyvät pois päältä kunnes ne ovat turvallisia. Kaikki alla oleva kuvaa tuotetta sellaisena kuin se pyörii tuotannossa tänään.

Yksi perussääntö ohjaa kokonaisuutta: tuotteessa ei ole yhtään keksittyä lukua. Jokainen luku johtaa lähdekirjaukseen, ja esimerkkidata on aina merkitty esimerkkidataksi. Saman vaatimuksen pitää päteä myös siihen, mitä kerromme tietoturvasta.

02

Missä data sijaitsee

Kirjanpitodata sijaitsee EU:ssa. Tietokanta toimii Frankfurtissa (eu-central-1) hallinnoidussa ja salatussa infrastruktuurissa, ja kaikki liikenne kulkee TLS-salattuna.

Varmuuskopiot otetaan päivittäin, ja palautus onnistuu myös haluttuun ajanhetkeen, ei vain edellisen yön kopioon. Kirjanpidossa tällä on väliä: ero nollan minuutin ja kokonaisen päivän kirjausten menetyksen välillä on ero harmin ja oikean ongelman välillä.

Emme heiluta tässä sertifikaattia. Datan sijainti EU:ssa ja nämä suunnitteluvalinnat tukevat eurooppalaisia yksityisyysodotuksia, ja kuvaamme mieluummin mekanismit kuin väitämme leimaa.

  • 01Tietokanta Frankfurtissa (eu-central-1), EU:n sisällä.
  • 02Päivittäiset varmuuskopiot ja palautus haluttuun ajanhetkeen.
  • 03Hallinnoitu ja salattu infrastruktuuri, TLS kaikissa yhteyksissä.
03

Kirjausketju, jota selain ei voi kirjoittaa uusiksi

Jokainen rahaan liittyvä päätös kirjataan palvelimella: kuka teki, mitä muuttui ja milloin. Selain ei koskaan kirjoita historiaa suoraan eikä voi muokata sitä jälkikäteen. Vaikka asiakasohjelma olisi murrettu tai vain buginen, se ei pysty väärentämään jälkeä.

Lähetetty lasku on muuttumaton versio. Kun jotain pitää korjata, korjaus on uusi kirjaus, joka viittaa vanhaan, juuri niin kuin kunnollisessa kirjanpidossa on aina tehty. Tilikauden sulkeminen noudattaa samaa kuria: suljettua kautta ei muokata hiljaa, vaan se puretaan ja suljetaan uudelleen laillisilla vastakirjauksilla.

Käytännössä tämä tarkoittaa, että kysymykseen 'kuka hyväksyi tämän, minkä perusteella ja milloin' löytyy vastaus ilman että meiltä pitää pyytää lokia, jota et itse näe.

  • 01Palvelin leimaa jokaiseen rahapäätökseen tekijän, muutoksen ja ajan.
  • 02Historiaa ei voi kirjoittaa eikä muokata selaimesta.
  • 03Lähetetyt laskut ovat muuttumattomia versioita, korjaukset uusia kirjauksia.
  • 04Suljettu tilikausi muuttuu vain purku- ja uudelleensulkukirjauksilla.
04

Kuka saa tehdä mitä, ja missä se pakotetaan

Pääsyrajat pakotetaan tietokannassa itsessään, rivi riviltä, ei pelkästään sovelluskoodissa. Vaikka sovelluskoodissa olisi virhe, tietokanta kieltäytyy silti antamasta yhden yrityksen rivejä toisen yrityksen käyttäjälle. Roolipohjaiset oikeudet määrittävät sen päälle, mitä kukin näkee ja tekee.

Tekoälyllä on sama raja kuin ihmisillä, vain tiukempana: Noa ehdottaa, ihminen hyväksyy. Mikään ei ilmoita, maksa tai kirjaa yksin. Ylläpidon ohjaus on kokonaan erillinen pinta omalla pääsykerroksellaan, ja ylläpitäjien identiteetit ja roolivaltuudet ovat tietokannassa, missä ne ovat auditoitavissa siinä missä kaikki muukin.

Myös selainpuoli on rajattu. Content Security Policy on pakotettu, ei pelkkä raportointitila: skriptit ja verkkoyhteydet on rajattu erikseen sallittujen listaan, ja tietokantayhteys on kiinnitetty projektin omaan osoitteeseen.

  • 01Rivitason suojaus tietokannassa, yritys kerrallaan.
  • 02Noa ehdottaa, ihminen hyväksyy. Mikään ei kirjaudu yksin.
  • 03Erillinen ylläpitopinta, ylläpitäjien roolit tietokannassa.
  • 04Pakotettu CSP ja sallittujen lista, tietokantayhteys kiinnitetty projektin osoitteeseen.
05

Mitä emme tarkoituksella vielä tee

Kaksi ominaisuutta puuttuu näkyvästi, ja se on tarkoitus. ALV-ilmoitus verottajalle on rakennettu ja testattu, 31/31 päätepistettä, eikä sitä silti ole kytketty tuotantoon. Toisen yrityksen verojen ilmoittaminen ei ole ominaisuus, jota kokeillaan tuotannossa varovasti. Se pysyy pois päältä, kunnes koko ketju sen ympärillä on todistetusti kunnossa.

Pankkiyhteydet ovat tulossa PSD2-toimiluvallisen välittäjän, Enable Bankingin, kautta. Ennen kuin yhteys on oikea, tuote ei näytä yhtään yhdistettyä pankkia. Kun yhteydet tulevat, verkkopankkitunnukset pysyvät pankilla ja välittäjällä. Vantnod ei näe niitä koskaan.

Pidättyvyys on tietoturvaominaisuus. Tuote, joka julkaisee jokaisen integraation heti kun se kääntyy, pyytää sinua kantamaan sen riskin. Näytämme mieluummin rehellisen 'ei vielä' kuin valintaruudun, joka tekee hiljaa vähemmän kuin lupaa.