Säkerhet och certifieringar

EU-hostad webbanalys, byggd för svensk procurement

Vi gör säkerhetsval som passar IMY:s vägledning, Schrems II-kraven, och vad procurement-officerare faktiskt ber om i RFP:er.

Certifieringar

Infrastrukturen vi använder är auditerad och certifierad. Spårlös ärver dessa kontroller automatiskt genom att enbart köra på certifierade leverantörer.

ISO 27001

Informationssäkerhet

Internationell standard för informationssäkerhetshantering. Datacenter där Spårlös körs är ISO 27001-certifierat.

ISO 27018

Molnsekretess

Skydd av personuppgifter i publika molntjänster. Reglerar hur leverantören får hantera kundens data.

SOC 2 Type II

Auditerad molntjänst

Vår managerade kontodata-leverantör är SOC 2 Type II-certifierad. Säkerhetspraktik kontrolleras av extern revisor över 12 månader.

Dataflöde

Så här rör sig en händelse från besökarens browser till vår databas. Inga US-subprocessorer finns i datavägen.

01

Browser → ingest-API

Spårlös skickar en HTTPS POST med pageview-data. Inga cookies sätts. Datatransport är TLS 1.3.

02

Ingest-API (EU)

IP-adress används i minnet för länder-uppslag via en lokal geo-databas, sedan släpps IP omedelbart. Visitor-hashen beräknas och innehåller en daglig salt.

03

Lagring i EU

Anonymiserad händelse skrivs till vår event-databas i ISO 27001-certifierat EU-datacenter. Kontodata lagras separat i en SOC 2-certifierad managerad databas i EU.

Säkerhetspraktik

  • All data lagras i EU. Inga US-subprocessorer i datavägen.
  • TLS 1.3 mellan tracker och ingest-API. HTTPS påtvingat via HSTS.
  • Lösenord hashas med bcrypt (12 rundor) innan lagring.
  • Sessions-token är 256-bit kryptografiskt slumpad. HttpOnly-cookie. SameSite=Lax.
  • IP-adresser är aldrig persisterade. Endast länder-lookup i minnet.
  • Daily-rotating visitor-hash gör cross-day spårning omöjlig.
  • Site-isolerad visitor-hash gör cross-site spårning omöjlig.
  • Daglig backup av både kontodata och händelsedata till EU-baserad backup-leverantör.
  • Security.txt under /.well-known/ med säkerhetsforskar-kontakt.
  • Säkerhetsincident-rutiner enligt GDPR Art. 33 (72-timmars notifiering).

Rapportera sårbarhet

Vi värdesätter säkerhetsforskare. Hittar du ett problem, mejla [email protected] eller läs vår security.txt. Vi svarar inom 48 timmar och håller dig informerad genom hela åtgärdsförloppet. Vi publicerar inte en bug bounty-policy än, men ärlig och samarbetsvillig disclosure belönas alltid.

Procurement-redo idag

Vi tillhandahåller DPA, SLA på begäran och dokumenterad säkerhetspraktik. Begär en RFP-svar-mall i kontakt-formuläret.

EU-hostad webbanalys: säkerhet, ISO 27001, svenskt DPA | Spårlös