Säkerheten för er data är vår högsta prioritet. Här beskriver vi de tekniska och organisatoriska åtgärder vi vidtar, vår incidenthanteringsprocess och hur du kan rapportera säkerhetsbrister på ett ansvarsfullt sätt.

1. Kryptering

• Kryptering i transit: All datatrafik sker via TLS 1.3 (HTTPS). HSTS är aktiverat med en lång max-age. HTTP-trafik omdirigeras automatiskt till HTTPS.
• Kryptering i vila: Känsliga databasfält (lösenordshash, tokendata) krypteras med moderna algoritmer. Databasvolymer krypteras med LUKS på servernivå.
• Lösenordshantering: Vi använder enbart OTP-kod-baserad inloggning (One-Time Password). Ingen traditionell lösenordshantering. Varje inloggningsattempt kräver en unik OTP-kod.
• Tvåfaktorsautentisering (2FA): OTP-systemet fungerar som primär autentiseringsmekanism. Obligatorisk för alla användarkonton.

2. Åtkomstkontroll

• Rollbaserad åtkomstkontroll (RBAC): Alla systemfunktioner är skyddade av behörighetsroller. Principen om minsta privilegium tillämpas genomgående.
• Audit-loggning: All administrativ åtkomst till kunddata loggas via GdprAuditLog med tidsstämpel, användar-ID och utförd åtgärd.
• Sessionssäkerhet: Sessioner har begränsad livslängd och ogiltigförklaras automatiskt vid misstänkt aktivitet.
• API-säkerhet: Alla API-endpoints är skyddade med CSRF-tokens, autentisering och rate limiting.

3. Infrastruktur och nätverk

• Hosting: VULTR (Stockholm, SE) – säker, GDPR-kompatibel infrastruktur.
• Nätverkssegmentering: Databaser är inte exponerade mot internet. Åtkomst sker enbart via applikationslagret.
• Säkerhetskopiering: Dagliga krypterade säkerhetskopior med geografisk spridning. Recovery time objective (RTO): 4 timmar. Recovery point objective (RPO): 24 timmar.
• DDoS-skydd: Aktiva skyddsmekanismer via CDN och applikationsnivå.

4. Incidenthantering

Vi har en dokumenterad incidentresponsplan:

• Personuppgiftsincidenter: Rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar per GDPR Art. 33.
• Kundnotifiering: Berörda kunder meddelas utan onödigt dröjsmål när incidenten innebär hög risk för deras rättigheter (GDPR Art. 34).
• Incidentlogg: Alla incidenter dokumenteras och lagras (Art. 33.5 GDPR).
• DPA-incidenter: Kunder vars biträdande data berörs meddelas inom 72 timmar per DPA-åtagandet.

Incidentkontakt: support@bidragsportalen.se

5. Penetrationstestning

• Extern penetrationstestning genomförs minst en gång per år av oberoende part.
• Kritiska fynd (CVSS 9+) åtgärdas inom 30 dagar, höga (CVSS 7+) inom 90 dagar.
• Testresultat i sammanfattad form delas med tillsynsmyndigheten DIGG på begäran.

6. Ansvarsfull rapportering (Responsible Disclosure)

Om du hittar en säkerhetsbrist i Bidragsportalen, ber vi dig rapportera den ansvarsfullt:

Din rapport bör innehålla:

• Beskrivning av sårbarheten och dess potentiella konsekvenser
• Steg för att reproducera problemet
• Eventuell proof-of-concept (skärmbild, kod)
• Din kontaktinformation (om du vill bli krediterad)

Vi ber dig:

• Inte exploatera sårbarheten utöver vad som krävs för att påvisa den
• Inte komma åt, modifiera eller radera data som tillhör andra
• Inte publicera rapporten offentligt förrän vi har åtgärdat problemet

Vi svarar inom 2 arbetsdagar och håller dig informerad om åtgärdsarbetet. Vi väljer att inte ha ett formellt bug bounty-program men erkänner ansvarsfullt rapporterande i vår interna Hall of Fame (med rapportörens medgivande).

7. Kontakt

Säkerhetsfrågor: support@bidragsportalen.se
GDPR-frågor: support@bidragsportalen.se
Generell support: support@bidragsportalen.se