Säkerhet

Senast uppdaterad: januari 2025

Transvect strävar efter att tillhandahålla en säker plattform för våra kunder. Denna sida beskriver de säkerhetsåtgärder vi har infört för att skydda er data och vår infrastruktur.

Infrastruktursäkerhet

Datacenter och drift

All Transvect-infrastruktur driftas inom Europeiska ekonomiska samarbetsområdet (EES) för att säkerställa efterlevnad av GDPR:

  • Convex: Egen drift (Stockholm, Sverige)
  • Fly.io: Stockholm, Sverige
  • Clerk: EU
  • Novu: EU
  • Stripe: Irland (EU)

All databehandling sker inom EES, vilket säkerställer efterlevnad av GDPR-krav.

Nätverkssäkerhet

Fly.io-säkerhet

  • DDoS-skydd: Fly.io tillhandahåller DDoS-mitigering och skydd mot distributed denial-of-service-angrepp
  • Nätverkssäkerhet: Säkra nätverkskonfigurationer och brandväggsregler
  • SSL/TLS-kryptering: Automatisk utfärdande och förnyelse av SSL-certifikat för alla domäner

Convex-säkerhet

  • Databassäkerhet: Krypterade databasanslutningar och data i vila
  • Åtkomstkontroll: Rollbaserad åtkomstkontroll och isolering av data per organisation
  • Nätverkssäkerhet: Säkra nätverkskonfigurationer för egen drift

Applikationssäkerhet

Autentisering och auktorisation

  • Clerk-autentisering: Säker autentisering och användarhantering via Clerk (EU)
  • Sessionshantering: Säkra sessionskakor med endast HTTPS och SameSite-skydd
  • Rollbaserad åtkomstkontroll: Granulärt behörighetssystem för olika användarroller

Hastighetsbegränsning (rate limiting)

  • API-gräns: 100 förfrågningar per minut per IP-adress för allmänna endpoints
  • API-nyckel: Konfigurerbara gränser per API-nyckel (standard: 1000 förfrågningar per timme)
  • Autentiseringsgräns: Skydd mot brute force-angrepp

Dataskydd

Kryptering

  • Data under överföring: All data som överförs över nätverket krypteras med TLS 1.2 eller högre
  • Data i vila: Databaskryptering med branschstandard 256-bit AES (Convex egen drift)
  • Betalningsdata: Betalningsinformation behandlas säkert via Stripe Connect (PCI DSS-kompatibelt)

Databassäkerhet

  • Funktionsnivå-åtkomstkontroll: Databasåtkomst styrs via Convex auktorisation på funktionsnivå, så att användare endast ser data de har rätt till
  • Databasisolering: Varje databas isoleras med unika inloggningsuppgifter och åtkomstkontroller
  • Anslutningssäkerhet: Krypterade databasanslutningar
  • Säkerhetskopiering: Regelbundna krypterade säkerhetskopior

API-säkerhet

  • CORS-skydd: Strikta CORS-policyer som begränsar tillåtna ursprung
  • Funktionsauktorisation: Alla Convex-funktioner genomför auktoriseringskontroller
  • Indatavalidering: All API-indata valideras och saneras
  • Ingen SQL injection-risk: Convex använder ett typsäkert API som motverkar SQL injection

Betalningssäkerhet

  • Stripe Connect: All betalningshantering sker via Stripe (Irland, EU), en PCI DSS Level 1-certifierad betalningsleverantör
  • Ingen lagring av kort: Vi lagrar inte kortuppgifter. All betalningsdata behandlas direkt av Stripe
  • Säkra betalningslänkar: Betalningslänkar använder Stripes säkra kassa

Övervakning och incidenthantering

  • Loggning: Omfattande loggning av säkerhetsrelevanta händelser
  • Övervakning: Kontinuerlig övervakning av systemhälsa och säkerhetshändelser via Convex och Fly.io
  • Incidenthantering: Rutiner för att hantera säkerhetsincidenter
  • Anmälan av dataintrång: Vi underrättar berörda parter inom 48 timmar från upptäckt av ett intrång, i enlighet med GDPR

Säker rekommenderad praxis

För organisationer som använder Transvect

  • Använd starka, unika lösenord för era konton
  • Granska API-nycklar regelbundet och återkalla oanvända
  • Håll organisationens användaråtkomst uppdaterad
  • Rapportera säkerhetsfrågor omedelbart till info@transvect.se

För slutkunder

  • Använd starka lösenord om ni skapar konto
  • Var uppmärksam på nätfiskeförsök
  • Rapportera misstänkt aktivitet till den organisation ni handlar med

Säkerhetsuppdateringar

Vi uppdaterar regelbundet våra beroenden och infrastruktur för att åtgärda sårbarheter. Säkerhetspatchar tillämpas så snart de finns tillgängliga.

Rapportering av säkerhetsproblem

Om du upptäcker en sårbarhet, vänligen rapportera ansvarsfullt:

E-post: info@transvect.se

Inkludera gärna:

  • Beskrivning av sårbarheten
  • Steg för att återskapa (om tillämpligt)
  • Möjlig påverkan
  • Din kontaktinformation

Vi uppskattar ansvarsfull offentliggörande och samarbetar för att åtgärda problem.

Efterlevnad

  • GDPR: Full efterlevnad av dataskyddsförordningen
  • Datalagring: All data lagras och behandlas inom EES
  • Integritet: Se vår integritetspolicy för hur vi behandlar personuppgifter

Underleverantörer (biträden)

Fullständig lista över biträden och deras platser finns i vårt personuppgiftsbiträdesavtal.

Kontakt

Säkerhetsrelaterade frågor: info@transvect.se.

Security | Transvect