Tuote
Miten se toimiiTunnistaKvalifioiVaraaSynkronoiJatka Integraatiot Tietoturva & GDPR
Ratkaisut
Osaston mukaan
MyyntiMarkkinointiCustomer SuccessTuoteJohtoRevOps
Toimialan mukaan
SaaSKonsultointiAsiantuntijapalvelutLakitoimistotInsinööritoimistotFinanssipalvelutIT-palvelutB2B-verkkokauppa
Hinnoittelu
Resurssit
Kaikki resurssitBlogiAsiakastarinatOppaatROI-laskuriVertailut
Yritys
Tietoa meistäTiimiUraFaktatYhteystiedot
Lakiasiat
KäyttöehdotTietosuojaselosteTietojenkäsittelysopimusHyväksyttävän käytön ehdotEväste- ja tallennuskäytäntöLoppukäyttäjän tietosuojailmoitusTietoturvakatsausAlikäsittelijälista
Kirjaudu
Varaa demo Aloita
Tietoturva & GDPR

Onko Cloop GDPR-yhteensopiva ja turvallinen EU:n B2B-datalle?

Cloop säilyttää kaiken asiakasdatan Helsingissä, Suomessa, ei koskaan kouluta AI:ta keskusteluillasi ja toimii kokonaan EU:n sisällä vakiomuotoisen tietojenkäsittelysopimuksen alla.

Get started Request a demo

Last updated: Huhtikuu 2026

In one sentence

Cloop on GDPR-yhteensopiva ja vain EU:ssa toimiva arkkitehtuuriltaan, data Helsingissä, päättely Alankomaissa, ei koulutusta datallasi, DPA, alikäsittelijälista ja SSO sisältyvät jokaiseen pakettiin.

Hetzner Helsinki · Nebius Alankomaat · ROFFI Oy EU:n rekisterinpitäjänä

Sitoumuksemme

Kouluttaako Cloop AI-malleja asiakaskeskusteluilla?

Ei. Cloop kieltää sopimuksella AI-mallien kouluttamisen asiakaskeskustelujen datalla. Tämä kielto on kirjattu vakiomuotoiseen tietojenkäsittelysopimukseen (DPA) ja koskee sekä Cloopia että AI-päättelyn palveluntarjoajaa (Nebius B.V.). Seuraa kolme ei-neuvoteltavaa sitoumusta.

🇪🇺

Data vain EU:ssa

Kaikki data säilytetään ja käsitellään Hetznerin infrastruktuurissa Helsingissä, Suomessa. Ei koskaan siirtoja EU:n/ETA:n ulkopuolelle.

🚫

Emme koskaan kouluta AI:ta datallasi

Asiakaskeskustelujasi, CRM-dataasi ja kävijätietojasi ei koskaan käytetä AI-mallien kouluttamiseen, ei meidän eikä kenenkään muun. Nebius AI Studio, päättelyn palveluntarjoajamme, vahvistaa tämän sopimuksella.

📋

Läpinäkyvä tietoturva

Jokainen yksityiskohta infrastruktuuristamme, alikäsittelijöistä ja käsittelystä on julkista. Lue Tietoturvakatsaus, DPA ja Alikäsittelijälista, mitään ei piiloteta.

Datan sijainti

Missä Cloopin asiakasdata säilytetään?

Kaikki Cloopin asiakasdata säilytetään Helsingissä, Suomessa, Hetzner Online GmbH:n infrastruktuurissa (fi-hel-1-vyöhyke). Mikään tuotantodata ei poistu EU:sta missään olosuhteissa. EU-ostajille datan sijainti on vaatimustenmukaisuusvaatimus, Cloop suunniteltiin EU-edellä ensimmäisestä päivästä.

🇫🇮
Ensisijainen konesali
Helsinki, Suomi · Hetzner
Sovelluspalvelimet
Hetzner, Helsinki (hel1)
Tietokanta
Itsehallinnoitu PostgreSQL Hetznerin VPS:llä
Objektivarasto
Hetzner S3-yhteensopiva, Helsinki
AI-päättely
Nebius B.V., EU:n konesalit
Vektorihaku
Paikallisesti palvelimellamme (pgvector), ei ulkoisia kutsuja
Varmuuskopiot
Päivittäin, säilytetään EU:ssa (Helsinki)
Vaatimustenmukaisuus

Onko Cloop Schrems II -yhteensopiva?

Kyllä. Cloop toimii kokonaan EU:n sisällä, ei datasiirtoja Yhdysvaltoihin tai muille riittämättömän suojan lainkäyttöalueille. Hetzner on EU-pohjainen, Nebius on EU-pohjainen ja ROFFI Oy on EU-pohjainen. Schrems II -huolet EU:n ja Yhdysvaltojen välisistä datasiirroista eivät koske meitä. Tietoturvaohjelmamme noudattaa myös ISO 27001-, SOC 2- ja ISO 42001 -vaatimuksia, viralliset sertifioinnit ovat 2026-2027 roadmapillamme.

Yhteensopiva

GDPR

Suomalainen yritys, suoraan EU:n tietosuojalainsäädännön alainen. Täysi DPA saatavilla. Kaikki rekisteröidyn oikeudet tuettu.

Katso DPA →
Prosessiyhteensopiva · Sert. 2026

ISO 27001

Tietoturvan hallintajärjestelmämme on rakennettu ISO 27001 -standardien mukaan. Virallinen sertifiointi suunniteltu vuodelle 2026.

Prosessiyhteensopiva · Sert. 2026-2027

SOC 2

Kontrollit ja prosessit noudattavat SOC 2 Trust Services -kriteerejä (Tietoturva, Saatavuus, Luottamuksellisuus). Type I -auditointi suunniteltu vuodelle 2026.

Prosessiyhteensopiva · Sert. 2027

ISO/IEC 42001:2023

Tekoälyn hallintajärjestelmän standardi. Hallinnoimme tekoälyämme ISO 42001 -kehyksen mukaan, yksi harvoista eurooppalaisista B2B-työkaluista jotka tekevät näin.

Yhteensopiva

ePrivacy-direktiivi

Widget käyttää localStoragea (ei evästeitä) kävijän tunnistamiseen. Ei mainosseurantaa, ei sormenjälkitunnistusta.

Yhteensopiva

Suomen tietosuojalaki

Rekisteröity suomalainen yritys (Y-tunnus 3500046-5), suoraan tietosuojavaltuutetun valvonnassa.

Tekninen tietoturva

Mitä tietoturvan insinöörikäytäntöjä Cloop käyttää?

Cloop ajaa kuusi kerrosta insinöörikontrolleja, salaus, autentikointi, valtuutus, syötteen validointi, nopeusrajoitus ja auditointiloki, ja SSO Microsoft Entra ID:n, Google Workspacen ja SAML 2.0:n kautta tuettuna Team-paketeissa. Tietoturva ei ole loppuun lisätty rasti ruutuun, se on joka kerroksessa, verkosta sovellukseen ja tekoälyyn.

🔒 Salaus

  • TLS 1.2+ kaikille yhteyksille, HSTS pakotettuna
  • Koko levyn salaus levossa (Hetzner VPS)
  • Salatut varmuuskopiot EU:ssa

🔐 Autentikointi

  • OAuth 2.0 / OpenID Connect
  • Google-, GitHub- ja Microsoft-kirjautuminen
  • JWT-tokenit Authorization-otsikoissa
  • Ei istuntoevästeitä = ei CSRF-hyökkäyspintaa

🛡️ Valtuutus

  • Monitenanttieristys: jokainen kysely rajattu tenant-ID:llä
  • Roolipohjainen pääsy (Omistaja, Admin, Jäsen)
  • Ominaisuuksien rajaus pakotettu API-tasolla
  • Sivustokohtaiset widget-upotustokenit

⚙️ Syötteen validointi

  • Parametrisoidut kyselyt (ei SQL-injektiota)
  • SSRF-suojaus web-crawlerissa
  • Sisältötyypin ja koon validointi latauksissa
  • Widget puhdistaa kaiken renderöidyn sisällön (ei XSS:ää)

🚦 Nopeusrajoitus

  • Monitasoiset liukuvan ikkunan rajat per IP
  • Erilliset budjetit per tenant
  • Päivittäinen AI-kustannuskatto estää hallitsemattoman käytön

📝 Auditointiloki

  • Strukturoidut JSON-lokit autentikointitapahtumista
  • Sivustotason muutosten seuranta
  • 12 kuukauden säilytys auditointijäljelle
AI-tietoturva

Miten AI todella näkee datasi.

Olemme selkeitä siitä, mikä ylittää AI-palveluntarjoajan rajan ja mikä pysyy palvelimillamme.

Pysyy EU-palvelimillamme
  • Kävijöiden sähköpostiosoitteet ja tunnisteet
  • Tilien tunnistetiedot ja sisäinen metadata
  • Muiden tenanttien data (monitenanttieristys)
  • Vektoriupotukset ja samankaltaisuushaku (ajetaan paikallisesti pgvectorilla)
  • Istunnon tila, liiditietueet, analytiikka
Lähetetään Nebius AI:lle (EU)
  • Kävijän viestiteksti (nykyinen vuoro)
  • Relevantit sisältöpalat tietopankistasi
  • Järjestelmäohjeet (kieli, persoona, vaihe)
  • Tuore keskustelukonteksti (nykyinen istunto)
Nebius käsittelee ohimenevästi, syötettä/tulostetta ei säilytetä vastauksen jälkeen. Sopimuksella suljettu pois mallien koulutuksesta.
Datasi, oikeutesi

Täydet GDPR-oikeudet, täysin tuettuna.

Jokainen GDPR:n artiklojen 15-22 takaama oikeus on toteutettu Cloopissa, ei vain luvattu käytännössä.

Artikla 15

Oikeus saada pääsy tietoihin

Vie datasi hallintapaneelista milloin tahansa, tai lähetä sähköpostia privacy@cloop.io.

Artikla 16

Oikeus oikaisuun

Muokkaa profiiliasi ja asetuksiasi suoraan hallintapaneelissa.

Artikla 17

Oikeus tietojen poistamiseen

Poista tilisi hallintapaneelissa, kaikki data poistetaan 30 päivän sisällä.

Artikla 18

Oikeus käsittelyn rajoittamiseen

Keskeytä tietyn datan käsittely ottamalla yhteyttä privacy@cloop.io.

Artikla 20

Oikeus siirtää tiedot

Pyydä koneluettava vienti kaikesta datastasi.

Artikla 21

Oikeus vastustaa

Vastusta oikeutettuun etuun perustuvaa käsittelyä milloin tahansa.

Vastaamme kaikkiin rekisteröidyn pyyntöihin 30 päivän sisällä (pidennettävissä 90 päivään monimutkaisissa pyynnöissä, ilmoituksen kanssa).

Häiriötilanteet

Pieni tiimi, suora prosessi, nopea vaste.

Kun jokin menee pieleen, kuulet meiltä nopeasti, puhelimitse kriittisissä häiriöissä, sähköpostitse aina.

0 min

Havaitseminen

Valvontahälytys, lokipoikkeama tai asiakkaan ilmoitus laukaisee välittömän tutkinnan.

1 tunnin sisällä

Asiakasilmoitus alkaa

Dataasi koskevissa kriittisissä häiriöissä soitamme tilin omistajille. Sähköposti seuraa heti.

48 tunnin sisällä

Virallinen tietomurtoilmoitus (DPA)

Jos tietomurto vahvistuu, täydet tiedot, luonne, laajuus, vaikutus, lieventäminen, toimitetaan DPA-vaatimusten mukaan.

72 tuntia

Viranomaisilmoitus (tarvittaessa)

Ilmoitamme tietosuojavaltuutetulle GDPR:n artiklan 33 mukaisesti soveltuvin osin.

Alikäsittelijät

Keitä ovat Cloopin alikäsittelijät?

Useimmat B2B SaaS -palvelut käyttävät 15-30 alikäsittelijää. Me käytämme kolmea, ja jokainen on Euroopassa.

Hetzner Online GmbH

Helsinki, Suomi 🇫🇮

Infrastruktuuripalveluntarjoaja, palvelimet, tietokannan ylläpito, objektivarasto.

Nebius B.V.

Alankomaat 🇳🇱

AI-päättely, upotusten luonti ja LLM-vastausten generointi. Ohimenevä käsittely, ei koulutusta.

Let's Encrypt

Globaali (ISRG)

TLS-varmenteiden myöntäminen. Käsittelee vain verkkotunnuksia, ei henkilötietoja.

Mitä EMME käytä

Ei Google Analyticsia · Ei Cloudflarea · Ei Sentryä · Ei Intercomia · Ei Mailchimpiä · Ei mainosseurantaa · Ei CDN:ää · Ei sormenjälkitunnistusta

Katso täysi alikäsittelijälista DPA-viittauksineen →

Tietoturva-arviointi

Arvioitko Cloopia organisaatiollesi?

Tietoturvatiimisi tarvitsee yksityiskohtia. Kaikki mitä he tarvitsevat on joko tällä sivulla tai yhden linkin päässä.

Tietoturvakatsaus

Täysi tekninen yksityiskohta: infrastruktuuri, sovellusturva, AI-arkkitehtuuri, häiriötilanteet.

Lue →

Tietojenkäsittelysopimus

GDPR-yhteensopiva DPA. Allekirjoitusvalmis. Kattaa käsittelyehdot, alikäsittelijät, tietomurtoilmoitukset.

Lue →

Alikäsittelijälista

Jokainen kolmas osapuoli joka koskettaa dataasi, sijainteineen ja suojatoimineen.

Lue →

Tietosuojaseloste

Tiedonkeruu, oikeusperuste jokaiselle käsittelytoimelle, säilytysajat.

Lue →

Kysymyksiä joihin dokumenttisi eivät vastaa? Lähetä sähköpostia security@cloop.io, vastaamme 24 tunnin sisällä.

Tietoturva joka läpäisee hankintatarkistuksesi.

Varaa demo. Käymme tietoturvatiimisi kanssa pinon läpi suoraan, ja lähetämme mitkä tahansa dokumentit, SIG-Liten tai toimittaja-kyselyvastaukset joita tarvitset.

Varaa demo