Säkerhet & GDPR

1. Tekniska säkerhetsåtgärder

1.1 Kryptering

All data skyddas med branschledande kryptering:

• Kryptering i vila (At Rest): All data som lagras i vår databas och fillagring krypteras med AES-256, samma standard som används av banker och myndigheter.
• Kryptering under överföring (In Transit): All kommunikation mellan din webbläsare och våra servrar skyddas med TLS 1.3, det senaste och säkraste protokollet.
• Lösenordskryptering: Användarnas lösenord hashas med bcrypt, en beprövad och säker enkelriktad krypteringsmetod. Vi kan aldrig se ditt faktiska lösenord.
• End-to-End säkerhet: Känsliga dokument krypteras med separata nycklar per organisation.

1.2 Infrastruktur och hosting

• EU-baserad lagring: All data lagras inom EU/EES i enlighet med GDPR. Vi använder datacenter i [specificera region, t.ex. Frankfurt, Tyskland].
• Redundans: All data replikeras automatiskt över flera servrar för att garantera tillgänglighet och förhindra dataförlust.
• DDoS-skydd: Våra servrar skyddas mot distribuerade överbelastningsattacker (DDoS) genom avancerade nätverksskyddslösningar.
• Brandväggar: Flera lager av brandväggar skyddar mot obehörig åtkomst.
• Isolerade miljöer: Varje organisations data är logiskt isolerad med Row Level Security (RLS).

1.3 Åtkomstkontroll

• Rollbaserad åtkomst (RBAC): Användare tilldelas roller (ägare, admin, medlem, läsare) med specifika behörigheter.
• Row Level Security (RLS): Databasen tillämpar strikta säkerhetsregler som garanterar att användare endast kan se data de har behörighet till.
• Tvåfaktorsautentisering (2FA): Stöd för 2FA via authenticator-appar för extra säkerhet (rekommenderas starkt).
• Session management: Automatisk utloggning efter inaktivitet och säker sessionhantering.
• API-nycklar: All API-åtkomst kräver säkra nycklar med begränsade behörigheter.

1.4 Säkerhetskopiering och disaster recovery

• Automatiska backups: Dagliga automatiska säkerhetskopior av all data.
• Point-in-Time Recovery (PITR): Möjlighet att återställa data till vilken tidpunkt som helst under de senaste 7 dagarna.
• Geografisk redundans: Backups lagras i separata datacenter för att skydda mot katastrofsscenarier.
• Krypterade backups: Alla säkerhetskopior krypteras med samma standard som produktionsdata.
• Återställningstid: RTO (Recovery Time Objective) på under 4 timmar, RPO (Recovery Point Objective) på under 1 timme.

2. Organisatoriska säkerhetsåtgärder

2.1 Personal och utbildning

• Bakgrundskontroller: All personal som har åtkomst till kunddata genomgår bakgrundskontroller.
• Sekretessavtal: All personal har undertecknat strikta sekretessavtal (NDA).
• Säkerhetsutbildning: Regelbunden utbildning i informationssäkerhet och dataskydd för all personal.
• Minsta behörighet (Least Privilege): Personal ges endast åtkomst till de system och data de absolut behöver för sitt arbete.
• Åtkomstloggning: All personalåtkomst till produktionssystem loggas och granskas regelbundet.

2.2 Säkerhetsprocesser

• Incidenthantering: Etablerade rutiner för att upptäcka, rapportera och hantera säkerhetsincidenter.
• Sårbarhetshantering: Kontinuerlig övervakning av kända sårbarheter och snabb patchning.
• Kodgranskning: All kod genomgår peer review och automatiserade säkerhetstester innan driftsättning.
• Penetrationstester: Regelbundna externa säkerhetstester av kvalificerade experter.
• Dependency scanning: Automatisk skanning av tredjepartsberoenden för kända sårbarheter.

2.3 Certifieringar och standarder

Vi följer etablerade säkerhetsstandarder och ramverk:

• ISO 27001: [Status - under implementering/planerad certifiering]
• SOC 2 Type II: [Status - under implementering/planerad certifiering]
• OWASP Top 10: Vi följer OWASPs riktlinjer för att skydda mot de vanligaste sårbarhete rna
• CIS Controls: Implementering av Center for Internet Security (CIS) säkerhetskontroller

3. GDPR-efterlevnad

3.1 Personuppgiftsansvar

[Företagsnamn] är personuppgiftsansvarig för behandlingen av personuppgifter i Valv1. Vi tar vårt ansvar enligt GDPR på största allvar och har implementerat omfattande åtgärder för att säkerställa efterlevnad.

3.2 Dataskyddsprinciper

Vi följer GDPR:s grundläggande principer:

• Laglighet, korrekthet och öppenhet: Vi behandlar personuppgifter lagligt, rättvist och transparent.
• Ändamålsbegränsning: Vi samlar endast in data för specifika, uttryckligt angivna och berättigade ändamål.
• Uppgiftsminimering: Vi samlar endast in de personuppgifter som är nödvändiga för ändamålet.
• Korrekthet: Vi säkerställer att personuppgifter är korrekta och uppdaterade.
• Lagringsbegränsning: Vi lagrar personuppgifter endast så länge som nödvändigt.
• Integritet och konfidentialitet: Vi skyddar personuppgifter med lämpliga säkerhetsåtgärder.
• Ansvarsskyldighet: Vi kan visa att vi efterlever alla dataskyddsprinciper.

3.3 Rättsliga grunder för behandling

Vi behandlar personuppgifter baserat på följande rättsliga grunder:

• Avtal (art. 6.1.b): För att tillhandahålla Tjänsten enligt vårt avtal med dig
• Rättslig förpliktelse (art. 6.1.c): För att uppfylla juridiska skyldigheter (t.ex. bokföring)
• Berättigat intresse (art. 6.1.f): För att förbättra Tjänsten, säkerhet och support
• Samtycke (art. 6.1.a): För marknadsföring och icke-nödvändiga cookies

3.4 Registrerades rättigheter

Vi respekterar och underlättar utövandet av dina rättigheter enligt GDPR:

• Rätt till tillgång: Begär en kopia av dina personuppgifter
• Rätt till rättelse: Korrigera felaktiga uppgifter
• Rätt till radering: "Rätten att bli glömd" under vissa villkor
• Rätt till begränsning: Begränsa behandlingen under vissa omständigheter
• Rätt till dataportabilitet: Få dina data i maskinläsbart format
• Rätt att invända: Invända mot viss behandling
• Rätt att inte omfattas av automatiserat beslutsfattande: Vi använder AI endast som verktyg, aldrig för automatiska beslut

För att utöva dessa rättigheter, kontakta oss på privacy@valv1.se. Vi svarar inom 30 dagar.

3.5 Personuppgiftsbiträdesavtal

Vi har personuppgiftsbiträdesavtal (DPA - Data Processing Agreement) på plats med alla våra underleverantörer som behandlar personuppgifter på vårt uppdrag, inklusive:

• Supabase (databas, autentisering, lagring)
• Anthropic/OpenAI/Azure (AI-tjänster)
• Vercel/Netlify (hosting)
• E-posttjänster
• Betalningsleverantörer

4. Hantering av säkerhetsincidenter

4.1 Incidentdetektering

Vi har system för att upptäcka säkerhetsincidenter:

• 24/7 automatisk övervakning av system och nätverk
• Intrångsdetekteringssystem (IDS)
• Logganalys och anomalidetektering
• Säkerhetsaviseringar från leverantörer

4.2 Incidenthantering

Vid en säkerhetsincident följer vi en etablerad process:

1. Identifiering: Snabb identifiering och klassificering av incidenten
2. Inneslutning: Omedelbar åtgärd för att begränsa skadan
3. Utredning: Analys av orsak, omfattning och påverkan
4. Åtgärd: Eliminera hotet och återställ normal drift
5. Återhämtning: Säkerställ att systemet är säkert
6. Lärdomar: Dokumentera och implementera förbättringar

4.3 Anmälan av personuppgiftsincident

Vid en personuppgiftsincident som innebär en risk för individers rättigheter och friheter kommer vi att:

• Anmäla till tillsynsmyndigheten (IMY): Inom 72 timmar från det att vi blev medvetna om incidenten
• Informera drabbade användare: Utan onödigt dröjsmål om incidenten innebär en hög risk
• Dokumentera incidenten: Inklusive fakta, effekter och vidtagna åtgärder

5. Audit och compliance

5.1 Interna revisioner

• Regelbundna interna säkerhetsrevisioner
• Granskning av åtkomstloggar
• Kontroll av personuppgiftsbehandling
• Verifiering av säkerhetsåtgärder

5.2 Externa revisioner

• Årliga externa penetrationstester
• Oberoende säkerhetsbedömningar
• GDPR-compliance audits

5.3 Dokumentation och register

Vi upprätthåller:

• Behandlingsregister: Detaljerad dokumentation av alla personuppgiftsbehandlingar
• Konsekvensbedömningar (DPIA): För behandlingar med hög risk
• Säkerhetspolicy: Omfattande säkerhetspolicydokument
• Incidentlogg: Register över alla säkerhetsincidenter

6. Din roll i säkerheten

Säkerhet är ett delat ansvar. Du kan bidra genom att:

6.1 Skydda ditt konto

• Använd ett starkt, unikt lösenord
• Aktivera tvåfaktorsautentisering (2FA)
• Logga ut när du är klar, särskilt på delade enheter
• Dela aldrig dina inloggningsuppgifter
• Rapportera misstänkt aktivitet omedelbart

6.2 Hantera behörigheter

• Ge användare endast de behörigheter de behöver
• Granska användarroller regelbundet
• Ta bort åtkomst för användare som lämnar organisationen
• Använd delningsfunktionen med omdöme

6.3 Dataskydd

• Ladda endast upp dokument som är avsedda för Tjänsten
• Granska och validera AI-extraherad data
• Radera dokument och data som inte längre behövs

7. Säkerhetsrapportering

7.1 Responsible Disclosure

Vi uppmuntrar säkerhetsforskare att rapportera sårbarheter till oss genom ansvarsfull avslöjande. Om du upptäcker en säkerhetsbrist i Valv1:

• Kontakta oss omedelbart på security@valv1.se
• Ge oss rimlig tid att åtgärda problemet innan offentliggörande
• Undvik att exploatera sårbarheten eller åtkomst mer data än nödvändigt för att påvisa problemet
• Vi förbinder oss att inte vidta rättsliga åtgärder mot forskare som följer responsible disclosure

7.2 Bug Bounty Program

[Status: Planerad] Vi planerar att lansera ett bug bounty-program för att belöna säkerhetsforskare som hjälper oss förbättra säkerheten.

8. Transparens och kommunikation

Vi är öppna om vår säkerhet och dataskydd:

• Säkerhetsstatus: [Överväg att länka till en public status page]
• Incidenthistorik: Vi publicerar information om större incidenter
• Ändringslogg: Vi meddelar om betydande säkerhetsuppdateringar
• Policyer: Alla våra policyer är publikt tillgängliga

9. Kontakta oss

För säkerhets- och integritetsfrågor, kontakta oss:

10. Relaterade dokument

• Integritetspolicy - Detaljerad information om personuppgiftsbehandling
• Användarvillkor - Villkor för användning av Tjänsten
• Cookie-policy - Information om cookies och spårning
• Acceptable Use Policy - Regler för korrekt användning