Juridiska dokument

Säkerhet

Vi tar säkerheten på största allvar. Här beskriver vi hur vi skyddar din data och dina kunders information.

Innehåll

  1. Säkerhetsöversikt
  2. Infrastruktur
  3. Kryptering
  4. Åtkomstkontroll
  5. Säker utveckling
  6. Incidenthantering
  7. Ditt ansvar
  8. Rapportera säkerhetsproblem

1. Säkerhetsöversikt

Offertize är byggt med säkerhet i grunden. Vi följer branschstandarder och best practices för att skydda dina data.

256-bit
AES-kryptering
TLS 1.3
Säker överföring
EU
Datalagring

2. Infrastruktur

2.1 Hosting och datacenter

  • EU-baserad hosting: Alla data lagras i datacenter inom EU för att säkerställa GDPR-efterlevnad.
  • Redundans: Data replikeras över flera geografiskt separata platser för hög tillgänglighet.
  • Säkerhetscertifierade datacenter: Våra leverantörer uppfyller ISO 27001 och SOC 2-standarder.

2.2 Nätverkssäkerhet

  • Web Application Firewall (WAF) för skydd mot vanliga attacker
  • DDoS-skydd för att säkerställa tillgänglighet
  • Kontinuerlig övervakning och loggning
  • Regelbundna penetrationstester

3. Kryptering

3.1 Data i transit

All kommunikation mellan din webbläsare och våra servrar är krypterad med TLS 1.3, den senaste standarden för säker kommunikation.

  • HTTPS påtvingat för alla anslutningar
  • HSTS (HTTP Strict Transport Security) aktiverat
  • Moderna cipher suites med forward secrecy

3.2 Data i vila

Lagrad data krypteras med AES-256, samma krypteringsstandard som används av banker och myndigheter.

  • Databaskryptering på servernivå
  • Krypterade säkerhetskopior
  • Säker hantering av krypteringsnycklar

4. Åtkomstkontroll

4.1 Autentisering

  • Säker lösenordshantering med bcrypt-hashing
  • Stöd för tvåfaktorsautentisering (2FA)
  • Automatisk utloggning efter inaktivitet
  • Skydd mot brute force-attacker

4.2 Behörigheter

  • Rollbaserad åtkomstkontroll (RBAC)
  • Principen om minsta behörighet för all personal
  • Regelbunden granskning av behörigheter
  • Loggning av alla administrativa åtgärder

4.3 Vår personal

  • Bakgrundskontroller för nyckelpersoner
  • Sekretessavtal med all personal
  • Regelbunden säkerhetsutbildning
  • Behörigheter återkallas omedelbart vid anställningens slut

5. Säker utveckling

5.1 Utvecklingsprocesser

  • Secure Development Lifecycle (SDL)
  • Kodgranskning för alla ändringar
  • Automatiserade säkerhetstester
  • Separata miljöer för utveckling, test och produktion

5.2 Sårbarhetshantering

  • Automatisk övervakning av säkerhetsbulletiner
  • Snabb patchning av kända sårbarheter
  • Regelbunden uppdatering av beroenden
  • OWASP Top 10-medvetenhet i utvecklingen

5.3 AI-säkerhet och anonymisering

För vår AI-funktionalitet tillämpar vi extra säkerhetsåtgärder med fokus på att skydda personuppgifter:

Automatisk anonymisering

Alla texter anonymiseras automatiskt innan de skickas till AI-tjänster. Personuppgifter ersätts med platshållare:

  • Namn → [NAMN]
  • E-postadresser → [E-POST]
  • Telefonnummer → [TELEFON]
  • Adresser → [ADRESS]
  • Personnummer → [PERSONNUMMER]
  • Organisationsnummer → [ORG.NR]

Vad AI ser

AI-tjänsten ser endast den anonymiserade arbetsbeskrivningen, till exempel:

"[NAMN] önskar offert på målning av vardagsrum och hall, ca 45 kvm. Kontakta via [E-POST] eller [TELEFON]."

Övriga AI-säkerhetsåtgärder

  • AI-leverantörer är bundna av strikta databehandlingsavtal
  • Ingen träning av AI-modeller på kunddata
  • Data lagras inte permanent hos AI-leverantörer
  • API-nycklar roteras regelbundet

6. Incidenthantering

6.1 Vår beredskap

  • 24/7-övervakning av kritiska system
  • Dokumenterade incidenthanteringsrutiner
  • Utsett incidentresponsteam
  • Regelbundna övningar och simuleringar

6.2 Vid en incident

Om en säkerhetsincident inträffar som påverkar dina data kommer vi att:

  1. Omedelbart vidta åtgärder för att begränsa incidenten
  2. Undersöka incidentens omfattning och orsak
  3. Informera dig inom 48 timmar om dina data kan vara påverkade
  4. Rapportera till relevanta myndigheter enligt lag
  5. Vidta åtgärder för att förhindra framtida incidenter

7. Ditt ansvar

Säkerhet är ett delat ansvar. Du kan bidra till att skydda ditt konto genom att:

7.1 Lösenord

  • Använda ett unikt, starkt lösenord
  • Inte dela ditt lösenord med andra
  • Byta lösenord regelbundet
  • Aktivera tvåfaktorsautentisering

7.2 Enheter

  • Hålla din enhet och webbläsare uppdaterade
  • Använda antivirusprogram
  • Logga ut efter användning på delade enheter
  • Vara försiktig med publika nätverk

7.3 Misstänkt aktivitet

  • Kontakta oss omedelbart om du märker ovanlig aktivitet
  • Rapportera phishing-försök eller misstänkta mejl
  • Verifiera alltid att du är på rätt webbplats innan du loggar in

8. Rapportera säkerhetsproblem

8.1 Ansvarsfull rapportering

Vi uppskattar säkerhetsforskare och användare som rapporterar sårbarheter på ett ansvarsfullt sätt. Om du upptäcker ett säkerhetsproblem:

  • Kontakta oss via e-post på security@offertize.se
  • Beskriv problemet i detalj
  • Ge oss rimlig tid att åtgärda problemet innan offentliggörande
  • Undvik att komma åt eller modifiera andras data

8.2 Vad vi förväntar oss

  • Handla i god tro och undvik skadliga åtgärder
  • Inte utnyttja sårbarheten för egen vinning
  • Inte sprida information om sårbarheten innan den är åtgärdad

8.3 Kontakt

För säkerhetsrelaterade frågor, kontakta:

Frågor? Om du har frågor om vår säkerhet, tveka inte att kontakta oss. Vi delar gärna mer information om våra säkerhetsåtgärder.