Säkerhet och certifieringar
EU-hostad webbanalys, byggd för svensk procurement
Vi gör säkerhetsval som passar IMY:s vägledning, Schrems II-kraven, och vad procurement-officerare faktiskt ber om i RFP:er.
Certifieringar
Infrastrukturen vi använder är auditerad och certifierad. Spårlös ärver dessa kontroller automatiskt genom att enbart köra på certifierade leverantörer.
Informationssäkerhet
Internationell standard för informationssäkerhetshantering. Datacenter där Spårlös körs är ISO 27001-certifierat.
Molnsekretess
Skydd av personuppgifter i publika molntjänster. Reglerar hur leverantören får hantera kundens data.
Auditerad molntjänst
Vår managerade kontodata-leverantör är SOC 2 Type II-certifierad. Säkerhetspraktik kontrolleras av extern revisor över 12 månader.
Dataflöde
Så här rör sig en händelse från besökarens browser till vår databas. Inga US-subprocessorer finns i datavägen.
Browser → ingest-API
Spårlös skickar en HTTPS POST med pageview-data. Inga cookies sätts. Datatransport är TLS 1.3.
Ingest-API (EU)
IP-adress används i minnet för länder-uppslag via en lokal geo-databas, sedan släpps IP omedelbart. Visitor-hashen beräknas och innehåller en daglig salt.
Lagring i EU
Anonymiserad händelse skrivs till vår event-databas i ISO 27001-certifierat EU-datacenter. Kontodata lagras separat i en SOC 2-certifierad managerad databas i EU.
Säkerhetspraktik
- All data lagras i EU. Inga US-subprocessorer i datavägen.
- TLS 1.3 mellan tracker och ingest-API. HTTPS påtvingat via HSTS.
- Lösenord hashas med bcrypt (12 rundor) innan lagring.
- Sessions-token är 256-bit kryptografiskt slumpad. HttpOnly-cookie. SameSite=Lax.
- IP-adresser är aldrig persisterade. Endast länder-lookup i minnet.
- Daily-rotating visitor-hash gör cross-day spårning omöjlig.
- Site-isolerad visitor-hash gör cross-site spårning omöjlig.
- Daglig backup av både kontodata och händelsedata till EU-baserad backup-leverantör.
- Security.txt under /.well-known/ med säkerhetsforskar-kontakt.
- Säkerhetsincident-rutiner enligt GDPR Art. 33 (72-timmars notifiering).
Rapportera sårbarhet
Vi värdesätter säkerhetsforskare. Hittar du ett problem, mejla [email protected] eller läs vår security.txt. Vi svarar inom 48 timmar och håller dig informerad genom hela åtgärdsförloppet. Vi publicerar inte en bug bounty-policy än, men ärlig och samarbetsvillig disclosure belönas alltid.
Procurement-redo idag
Vi tillhandahåller DPA, SLA på begäran och dokumenterad säkerhetspraktik. Begär en RFP-svar-mall i kontakt-formuläret.