← Tillbaka till SMEAI

Juridisk information

Säkerhetsöversikt

Senast uppdaterad: 2026-04-11

Säkerhet och dataintegritet är grunden för allt vi bygger på SMEAI. Här är en sammanfattning av de tekniska och organisatoriska åtgärder vi vidtar för att skydda din data.

Kryptering

  • All data krypteras i transit med TLS 1.3
  • Data i vila krypteras med AES-256 (Supabase)
  • Lösenord hashas med bcrypt (aldrig lagrade i klartext)
  • Webhook-signaturer med HMAC-SHA256

Åtkomstkontroll

  • Row-Level Security (RLS) på all data i databasen
  • Rollbaserad åtkomstkontroll (ägare, admin, revisor, anställd)
  • Tvåfaktorsautentisering (TOTP) tillgänglig för alla konton
  • Obligatorisk 2FA för administratörskontot
  • Sessionstimeout: 30 dagar (användare), 4 timmar (admin)

Övervakning och audit

  • Fullständig audit-logg för alla känsliga operationer
  • Inaktiva sessioner loggas och varnas
  • Brute-force-skydd: 5 misslyckade inloggningar → 1h spärr
  • Realtidsövervakning via Sentry
  • Syntetiska upptime-tester var 5 minut

Infrastruktur

  • Hostat på Vercel (webbapp) + Supabase (databas) i EU-region
  • Dagliga säkerhetskopior med verifiering
  • Nätverksisolering: AI-agenter exponeras inte publikt
  • Dependency-scanning vid varje deploy

Operationell säkerhet

  • Secrets roteras kvartalsvis
  • Dependency-uppdateringar via automatiserade PR:s
  • Penetrationstester planeras inför GA-lansering
  • OWASP Top 10 granskas vid varje större release

Incidenthantering

  • Incidenter publiceras på /status inom 15 minuter
  • GDPR-brott anmäls till IMY inom 72 timmar (Art. 33)
  • Postmortem-dokument publiceras för kritiska incidenter
  • Berörda kunder notifieras via e-post

Säkerhetsproblem

Har du hittat en säkerhetsbrist? Kontakta oss omedelbart på security@smeai.se. Vi strävar efter att bekräfta mottagande inom 24 timmar och åtgärda kritiska problem inom 48 timmar.