Styrning & efterlevnad
Informationssäkerhet
Version: 2.0 · Senast uppdaterad: 2026-02-24
Översikt
Verca AB tillämpar tekniska och organisatoriska kontroller för att skydda kundinformation. Arbetet utgår från principerna om konfidentialitet, integritet och tillgänglighet — och styrs av interna policyer, riskbedömningar och löpande uppföljning.
Kryptering
| Lager | Metod |
|---|---|
| I vila | AES-256 — databaser, filer och backuper |
| Under överföring | TLS 1.2 eller senare — all kommunikation mellan klient och server |
| Nyckelhantering | Krypteringsnycklar lagras separat från data och roteras enligt fastställda intervall |
Åtkomstkontroll
- Rollbaserad åtkomstkontroll (RBAC) med principen om lägsta nödvändiga behörighet
- Tenant-isolering — varje organisations data är strikt separerad på databasnivå
- Sessioner med definierade tidsgränser som ogiltigförklaras vid inaktivitet
- Intern åtkomst till produktionsmiljöer begränsad till behörig personal med individuella konton och MFA
- SSO via SAML 2.0/OIDC för organisationer med centraliserad identitetshantering (Enterprise)
Datalagring
All data lagras och hanteras inom EU/EES. Hosting och serverpartners är utvalda utifrån krav på datasäkerhet, driftstabilitet och regulatorisk efterlevnad. Ingen överföring av personuppgifter eller tekniska filer sker till tredje land utan laglig grund.
Backup och återställning
- Dagliga automatiserade backuper av all kunddata
- Backuper krypterade och geografiskt separerade inom EU/EES
- Återställningsrutiner testade regelbundet
- Definierade mål för återställningstid (RTO) och acceptabel dataförlust (RPO)
Incidenthantering
Verca AB har dokumenterade rutiner för att upptäcka, klassificera, åtgärda och rapportera säkerhetsincidenter. Vid incident med påverkan på kunddata:
- Omedelbara åtgärder för att begränsa påverkan
- Kunden informeras utan onödigt dröjsmål
- Rapportering till tillsynsmyndighet inom 72 timmar vid personuppgiftsincident (artikel 33 GDPR)
- Incidenten dokumenteras och följs upp
Säkerhetstestning och övervakning
- Regelbunden sårbarhetsscanning av infrastruktur och applikation
- Periodiska penetrationstester
- Kontinuerlig loggning och övervakning med fullständig revisionslogg
- Beroenden och tredjepartskomponenter granskas och uppdateras löpande
Utvecklingssäkerhet
Säkerhet är integrerat i utvecklingsprocessen. Produktionsmiljöer är separerade från utvecklings- och testmiljöer.
- Kodgranskning före sammanslagning till produktionsgrenar
- Automatiserade tester som del av leveransprocessen
- Känslig konfiguration och hemligheter hanterade via dedikerade tjänster — aldrig i källkod
- MASTERLOCK-skydd på säkerhetskritiska filer — auth, audit trail, validering och kryptering kan inte ändras utan explicit godkännande
Underbiträden
Externa leverantörer för drift, backup eller annan teknisk funktion anlitas under personuppgiftsbiträdesavtal. Samtliga underbiträden granskas för säkerhets- och integritetskrav. En aktuell lista över underbiträden finns i biträdesavtalet (DPA).