HeqticTill appen

Säkerhet & efterlevnad

Tekniska och organisatoriska skyddsåtgärder Heqtic har på plats för att skydda kund- och prospect-data. Beskrivningen följer GDPR Art. 32 och NIS2 Art. 21.

1. Datakryptering

  • Transport: TLS 1.2+ obligatoriskt mellan klient, Vercel edge och Supabase. HSTS aktiverat.
  • Vila: AES-256 på databasen via Supabase. Filsystem krypterat på Vercels infrastruktur.

2. Åtkomstkontroll

  • Kundkonton: Lösenordsautentisering via Supabase Auth. Registrering är avstängd — konton skapas manuellt vid avtal.
  • Adminkonton: Hårdkodad lista i miljövariabler. Middleware blockerar all admin-åtkomst på edge-nivån; serverkod dubbelvalidera.
  • Service-credentials: Lagras endast som server-miljövariabler; aldrig exponerade i klientbundlar eller versionskontroll.

3. Audit och spårbarhet

Varje administrativ åtgärd på kunddata loggas i en oföränderlig audit-tabell (genererat, godkänt, ändrat, raderat, GDPR-export, GDPR-radering, spärrlista). Logger innehåller aktör, åtgärd, mål och tidsstämpel.

4. Datalagring och radering

  • Admin kan sätta automatisk retention (3–24 mån) på varje ICP. En nattlig städning raderar utgångna poster och loggar händelsen.
  • Kunder kan begära fullständig radering — se integritetspolicyn.
  • Spärrlista (suppressions) garanterar att en prospect som invänt mot behandling aldrig återkommer i framtida genereringar.

5. Incidenthantering (NIS2 Art. 23)

Misstänkta säkerhetsincidenter rapporteras till sam@heqtic.se. Vid betydande incidenter (obehörig åtkomst till kunddata, leak av prospect-data, underbiträdes-incident):

  • Påverkade kunder informeras inom 72 timmar.
  • Vid behov anmäls händelsen till IMY (dataskyddsincident).
  • Vid behov anmäls händelsen till MSB (NIS2-incident).
  • Vi skickar en uppföljande incidentrapport med rotorsaksanalys och åtgärder inom 30 dagar.

6. Sårbarheter och beroenden

  • Tredjepartsbibliotek granskas vid uppdateringar. Säkerhetsrelaterade patchar prioriteras.
  • Säkerhetsbrister kan rapporteras konfidentiellt till sam@heqtic.se.

7. Sub-processors

Underbiträden vi förlitar oss på listas på underbiträdes-sidan, inklusive regioner och länk till respektive databehandlaravtal (DPA).

8. Öppna förbättringar

Vi arbetar med följande tillägg som ännu inte är obligatoriska men höjer baslinjen:

  • Tvåfaktorsautentisering (MFA) för adminkonton.
  • Självservice-UI för kunder att exportera och radera data.
  • Formell sårbarhetsupplysningspolicy (vulnerability disclosure).