Din data, trygt beskyttet
SVING er bygget med sikkerhet som grunnprinsipp. Vi beskytter dine kundedata og forretningsinformasjon med bransjens beste praksis.
Sikkerhet på alle nivåer
Kryptering i transit og hvile
All data krypteres med TLS 1.3 under overføring og AES-256 ved lagring. Ingen data overføres ukryptert.
Norske datasentre
All data lagres på sikre servere i Norge, hos sertifiserte leverandører som oppfyller ISO 27001.
Sikker autentisering
Støtte for sterk autentisering med BankID og tofaktorautentisering (2FA) for alle brukere.
Automatisk backup
Kontinuerlig backup av all data med mulighet for punkt-i-tid gjenoppretting. Backup lagres geografisk adskilt.
Logging og overvåking
All tilgang logges og overvåkes 24/7. Mistenkelig aktivitet varsles umiddelbart til sikkerhetssteamet.
Tilgangskontroll
Rollebasert tilgangsstyring sikrer at brukere kun har tilgang til data de trenger. Audit trail på alle handlinger.
Sertifiseringer og etterlevelse
GDPR-kompatibel
Full etterlevelse av EUs personvernforordning (GDPR) og norsk personopplysningslov.
ISO 27001-basert
Våre sikkerhetsprosesser er basert på ISO 27001-standarden for informasjonssikkerhet.
BankID-sertifisert
Godkjent leverandør for elektronisk signering med BankID i Norge.
Våre sikkerhetstiltak
En detaljert oversikt over hvordan vi beskytter systemet og dine data.
Infrastruktur
- Redundante systemer med automatisk failover
- DDoS-beskyttelse på alle tjenester
- Brannmur og intrusjonsdeteksjon (IDS)
- Isolerte nettverk for sensitive data
- Regelmessig penetrasjonstesting
Applikasjon
- OWASP Top 10 sikkerhetsprinsipper
- Automatisk sikkerhetsscanning av kode
- Sikker utviklingslivssyklus (SDLC)
- Regelmessige sikkerhetsoppdateringer
- Input-validering og output-encoding
Organisasjon
- Sikkerhetsopplæring for alle ansatte
- Bakgrunnssjekk av personell
- Streng tilgangskontroll til produksjonsmiljø
- Dokumenterte sikkerhetsprosedyrer
- Årlig sikkerhetsrevisjon
Hendelseshåndtering
- Dokumentert hendelsesprosedyre
- Varsling innen 72 timer ved databrudd
- 24/7 overvåking av kritiske systemer
- Regelmessig øvelse på hendelseshåndtering
- Kontinuerlig forbedring etter hendelser
Hvor data behandles
Oversikt over tredjeparter som behandler data på våre vegne.
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Microsoft Azure | Hosting og database | Norge |
| Stripe | Betalingsbehandling | EU (Irland) |
| Signicat | BankID-signering | Norge |
| Twilio | SMS-utsendelse | EU (SCC) |
| OpenAI | AI-funksjoner | EU (SCC) |
SCC = EU Standard Contractual Clauses for lovlig overføring utenfor EU/EØS
Vanlige spørsmål om sikkerhet
Hvor lagres dataene mine?
All data lagres på sikre servere i Norge. Vi bruker Azure Norway East som primær region, med backup i Azure Norway West. Data forlater aldri norsk jurisdiksjon med mindre du eksplisitt godkjenner det.
Hvem har tilgang til mine data?
Kun autorisert personell med tjenestlig behov har tilgang til kundedata. All tilgang logges og overvåkes. Vi følger prinsippet om minste privilegium, som betyr at ansatte kun har tilgang til det de absolutt trenger.
Hva skjer ved et databrudd?
Ved et bekreftet databrudd varsler vi berørte kunder og Datatilsynet innen 72 timer, i henhold til GDPR. Vi har en dokumentert hendelsesprosedyre som sikrer rask og effektiv håndtering.
Hvordan sikres BankID-signering?
BankID-signering håndteres av sertifiserte leverandører (Signicat) og følger alle krav i eSignaturloven. Signaturer verifiseres mot Folkeregisteret og har full juridisk gyldighet.
Kan jeg få en databehandleravtale?
Ja, alle kunder får automatisk en databehandleravtale (DPA) som del av kontrakten. Denne oppfyller GDPR artikkel 28 og definerer hvordan vi behandler personopplysninger på dine vegne.
Testes systemet for sårbarheter?
Ja, vi gjennomfører regelmessig penetrasjonstesting med eksterne sikkerhetseksperter, automatisk sårbarhetsskanning av kode, og deltar i et responsible disclosure-program.
Spørsmål om sikkerhet?
Vi tar gjerne en samtale om sikkerhet og kan tilby mer detaljert dokumentasjon for Enterprise-kunder.
sikkerhet@sving.no