Tehty suomalaiseen sääntely­ympäristöön.

• Kaikki inference-liikenne ajetaan EU:ssa (Helsinki, Frankfurt).
• Self-hosted -mallit (Llama 3.3, Qwen 2.5) ajetaan omilla GPU-koneilla Suomessa.
• Vain EU-omistetut providerit ovat oletuksena käytössä.
• US-providerit (esim. OpenAI EU-endpointit) ovat opt-in ja merkitty selvästi.

• Toimimme käsittelijänä (Art. 28). Allekirjoitettu DPA on saatavilla.
• Rekisteröidyn oikeudet: pääsy, poisto, siirto, vastustaminen.
• Lokit säilytetään 30 päivää; ei prompt-sisällön tallennusta oletuksena.
• Alikäsittelijälistaa päivitetään julkisesti; muutoksista ilmoitetaan 30 päivää etukäteen.

• Jokainen malli on luokiteltu (general-purpose / limited risk).
• Tarjoamme läpinäkyvyysrivin: mallin nimi, koulutusdata-yhteenveto, datasijainti.
• Vastuun jakautuminen tarjoaja/käyttöönottaja dokumentoitu DPA:n liitteessä.
• Kielletyt AI-käyttötarkoitukset (Art. 5) eivät ole sallittuja palvelussa.

• API-avaimet tallennetaan vain hashattuna (SHA-256, ei palautettavissa).
• TLS 1.3 päästä päähän. Sisäverkot mTLS-suojattuja.
• RBAC: owner / admin / developer.
• Auditlokit yritystoimista (avaimet, jäsenet, asetukset).

• ISMS käyttöönotettu Q4/2025.
• ISO 27001 -sertifiointi: tähtäin Q2/2026, auditoija Bureau Veritas.
• SOC 2 Type I: tähtäin Q3/2026, auditoija A-LIGN.
• Statuspäivitykset julkaistaan tällä sivulla.

Tietoturvahaavoittuvuudet: security@tokenholvi.fi (PGP-avain pyynnöstä). Vastausaika 1 arkipäivä, koordinoitu julkaisuaika 90 päivää.