Säkerhet på Företagsnivå

Kryptering i Vila

• AES-256 Kryptering: All data lagrad i våra databaser är krypterad med Advanced Encryption Standard med 256-bitars nycklar
• Databaskryptering: Firebase Firestore tillhandahåller automatisk kryptering i vila för all lagrad data
• Biometrisk Data: Fingeravtrycksdata hashas med SHA-256 och lagras i krypterat format, vilket gör det omöjligt att återskapa
• Säkerhetskopiering Kryptering: Alla säkerhetskopior är krypterade med samma AES-256 standard
• Fillagring: Alla uppladdade filer (rapporter, dokument) krypteras innan lagring

Kryptering under Överföring

• TLS 1.3: All data som överförs mellan din webbläsare och våra servrar använder Transport Layer Security 1.3
• HTTPS Överallt: Hela vår plattform opererar över HTTPS med HSTS aktiverat
• API-säkerhet: Alla API-anrop är krypterade och autentiserade med säkra tokens
• Certificate Pinning: Våra mobilappar använder certificate pinning för att förhindra man-in-the-middle attacker

Nyckelhantering

• Google Cloud KMS: Krypteringsnycklar hanteras av Google Cloud Key Management Service
• Nyckelrotation: Krypteringsnycklar roteras automatiskt var 90:e dag
• Åtkomstkontroller: Endast auktoriserade system har tillgång till krypteringsnycklar, med fullständig granskningsloggning
• Hardware Security Modules (HSM): Nycklar lagras i FIPS 140-2 Level 3 certifierade HSMs

Tvåfaktorsautentisering (2FA)

• TOTP Stöd: Tidsbaserade engångslösenord via Google Authenticator, Authy eller liknande appar
• E-post 2FA: Alternativ 2FA via e-postverifieringskoder
• Obligatorisk 2FA: Organisationer kan framtvinga 2FA för alla användare
• Backup-koder: Återställningskoder tillhandahålls vid förlust av autentiseringsapparat

Lösenordssäkerhet

• Bcrypt Hashing: Alla lösenord hashas med bcrypt med salt
• Lösenordspolicyer: Minimum 8 tecken, komplexitetskrav framtvingas
• Intrångsdetektering: Lösenord kontrolleras mot kända intrångsdatabaser (Have I Been Pwned)
• Rate Limiting: Misslyckade inloggningsförsök begränsas för att förhindra brute force-attacker
• Sessionshantering: Automatisk utloggning efter inaktivitet, konfigurerbara timeout-perioder

Rollbaserad Åtkomstkontroll (RBAC)

• Granulära Behörigheter: Finkorniga åtkomstkontroller för olika användarroller (Admin, Manager, Anställd)
• Princip om Minsta Privilegium: Användare har endast åtkomst till data som behövs för deras roll
• Organisationsisolering: Multi-tenant arkitektur säkerställer fullständig dataisolering mellan organisationer
• Granskningsloggar: All åtkomst och behörighetsändringar loggas och övervakas

Firebase Autentisering

• Industristandard: Drivs av Googles Firebase Authentication-plattform
• OAuth 2.0: Stöd för social inloggning (Google, Microsoft) med OAuth 2.0
• E-postverifiering: Obligatorisk e-postverifiering för alla nya konton
• Kontoåterställning: Säker lösenordsåterställning via e-post med tidsbegränsade tokens

Molninfrastruktur

• Google Cloud Platform: Hostat på Google Cloud med ISO 27001, SOC 2 och SOC 3 certifieringar
• Multi-region Distribution: Data replikerad över flera geografiska regioner för redundans
• Auto-skalning: Infrastruktur skalar automatiskt för att hantera trafiktoppar
• DDoS Skydd: Google Cloud Armor tillhandahåller automatisk DDoS-mitigering
• Nätverksisolering: Privata VPC-nätverk med brandväggsregler och nätverkssegmentering

Tillgänglighet och Tillförlitlighet

• 99.9% Drifttid SLA: Garanterad tjänstetillgänglighet med ekonomiska krediter för driftstopp
• Automatisk Failover: Redundanta system tar automatiskt över vid fel
• Load Balancing: Trafik fördelad över flera servrar för optimal prestanda
• Hälsoövervakning: 24/7 automatiserad övervakning med omedelbar varning
• Incidentrespons: Dedikerat team svarar på incidenter inom 15 minuter

Säkerhetskopiering och Katastrofåterställning

• Kontinuerliga Säkerhetskopior: Firebase tillhandahåller automatiska, kontinuerliga datasäkerhetskopior
• Point-in-Time Återställning: Återställ data till vilken tidpunkt som helst inom de senaste 35 dagarna
• Geografisk Redundans: Säkerhetskopior lagrade på flera geografiska platser
• Katastrofåterställningsplan: Omfattande DR-plan med Recovery Time Objective (RTO) på 4 timmar
• Säkerhetskopieringstester: Regelbunden testning av säkerhetskopieringsåterställning för att säkerställa dataintegritet

Fysisk Säkerhet

• Google Datacenter: Moderna anläggningar med 24/7 säkerhetspersonal
• Biometrisk Åtkomst: Datacenteråtkomst kontrollerad av biometrisk autentisering
• Videoövervakning: Kontinuerlig övervakning med videoinspelning
• Miljökontroller: Brandsläckning, klimatkontroll och strömredundans

Säker Utveckling

• Säker SDLC: Säkerhet integrerad i varje fas av mjukvaruutvecklingslivscykeln
• Kodgranskningar: Alla kodändringar granskas av flera utvecklare före distribution
• Statisk Analys: Automatiserad kodskanning för säkerhetssårbarheter (SAST)
• Beroendesskanning: Tredjepartsbibliotek skannade för kända sårbarheter
• Säkerhetsträning: Regelbunden säkerhetsträning för alla utvecklingsteammedlemmar

Sårbarhetshantering

• Penetrationstester: Årliga penetrationstester av certifierade säkerhetsföretag
• Bug Bounty-program: Ansvarigt avslöjandeprogram med belöningar för säkerhetsforskare
• Sårbarhetsskanning: Veckovisa automatiserade skanningar för säkerhetssårbarheter
• Patchhantering: Kritiska säkerhetspatchar distribuerade inom 24 timmar
• CVE Övervakning: Kontinuerlig övervakning av Common Vulnerabilities and Exposures

OWASP Top 10 Skydd

• SQL Injection: Parametriserade frågor och ORM förhindrar SQL-injektionsattacker
• XSS Förebyggande: Inputsanitisering och Content Security Policy (CSP) headers
• CSRF Skydd: Anti-CSRF tokens på alla tillståndsändrande operationer
• Autentiseringsfel: Industristandard autentisering via Firebase Auth
• Säkerhetsmisskonfi­guration: Automatiserade konfigurationskontroller och härdning
• Känslig Dataexponering: Kryptering och säker lagring av all känslig data

API-säkerhet

• JWT Tokens: API-autentisering med JSON Web Tokens med utgångstid
• Rate Limiting: API-hastighetsgränser förhindrar missbruk och DDoS-attacker
• Inputvalidering: Alla API-inputs validerade och sanitiserade
• OAuth 2.0: Säker tredjepartåtkomst till API med OAuth 2.0-protokoll

Dataminimering

• Vi samlar endast in data som är nödvändig för tjänstens funktionalitet
• Inga spårningscookies för marknadsföringsändamål
• Biometrisk data lagrad i hashat, icke-reverserbart format
• Valfria funktioner låter dig inaktivera viss datainsamling

Användarrättigheter

• Rätt till Åtkomst: Exportera all din data i standardformat (CSV, JSON, Excel)
• Rätt till Radering: Begär permanent radering av dina data
• Rätt till Rättelse: Korrigera felaktig eller ofullständig data
• Rätt till Dataportabilitet: Överför data till en annan tjänsteleverantör
• Rätt till Invändning: Välj bort marknadsföringskommunikation och analys

Databehandlingsavtal

• Standard Contractual Clauses: EU-godkända SCC:er för internationella dataöverföringar
• GDPR Compliance: Full compliance med GDPR Artikel 28 behandlaransvar
• Underbehandlare Transparens: Offentlig lista över alla underbehandlare med avisering om ändringar
• Dataintrångs­anmälan: Anmälan inom 72 timmar vid dataintrång

Kontinuerlig Övervakning

• 24/7 Övervakning: Dygnet runt övervakning av infrastruktur och applikationer
• SIEM Integration: Security Information and Event Management för hotdetektering
• Anomalidetektering: Maskininlärningsbaserad detektering av ovanlig aktivitet
• Realtidsvarningar: Omedelbara meddelanden för säkerhetsincidenter
• Loggaggregering: Centraliserad loggning med lagring för forensisk analys

Incidentrespons

• Dedikerat Team: Säkerhetsincidentresponsteam tillgängligt 24/7
• Responstid: Inledande respons inom 15 minuter efter detektering av kritisk incident
• Kommunikation: Transparent kommunikation med berörda kunder under incidenter
• Post-incident Genomgång: Detaljerad analys och korrigerande åtgärder efter incidenter
• Regulatorisk Anmälan: Compliance med krav på intrångsanmälan (GDPR, CCPA)

Granskningsloggning

• Omfattande Loggar: Alla användaråtgärder, systemhändelser och säkerhetshändelser loggas
• Oföränderliga Loggar: Loggar kan inte ändras eller raderas, vilket säkerställer granskningsspårets integritet
• Logglagring: Säkerhetsloggar sparade i 2 år för compliance och forensik
• Användaraktivitet: Kunder kan se granskningsloggar för sin organisationsaktivitet

Åtkomstkontroller

• Minsta Privilegium: Anställda har endast tillgång till data som krävs för deras arbetsuppgift
• Bakgrundskontroller: Alla anställda genomgår bakgrundskontroller före anställning
• NDA och Konfidentialitet: Alla anställda undertecknar sekretessavtal
• Åtkomstgranskningar: Kvartalsvisa granskningar av anställdas åtkomstbehörigheter
• Omedelbar Återkallelse: Åtkomst återkallas omedelbart vid uppsägning

Säkerhetsutbildning

• Onboarding-utbildning: Obligatorisk säkerhetsutbildning för alla nya anställda
• Årlig Utbildning: Årlig säkerhetsmedvetenhet­sutbildning med uppdaterade hot
• Phishing-simuleringar: Regelbundna phishing-tester för att upprätthålla vaksamhet
• Incidentresponsövningar: Kvartalsvisa säkerhetsincidentresponsövningar
• Compliance-utbildning: GDPR, SOC 2 och dataskyddsutbildning

Kunddata Åtkomst

• Ingen Standardåtkomst: Anställda har ingen åtkomst till kunddata som standard
• Supportåtkomst: Kundsupport kan endast få åtkomst till data med uttryckligt tillstånd
• Granskningsspår: All anställdåtkomst till kunddata loggas och övervakas
• Dataanonymisering: Ingenjörer arbetar med anonymiserad data för felsökning

Ansvarsfullt Avslöjandeprogram

Vi värdesätter säkerhetsgemenskapen och välkomnar rapporter om säkerhetssårbarheter. Om du upptäcker ett säkerhetsproblem, vänligen rapportera det ansvarsfullt:

Riktlinjer

• Få inte åtkomst till eller ändra kunddata utan auktorisering
• Utför inte denial-of-service attacker eller störande testning
• Ge oss rimlig tid att åtgärda problemet före offentlig avslöjande
• Tillhandahåll detaljerade reproduktionssteg och konsekvensbedömning
• Vi kommer inte att vidta rättsliga åtgärder mot forskare som agerar i god tro