Säkerhet & Dataskydd
Din mässdata är affärskritisk. Vi skyddar den med branschstandard-kryptering, strikt klientisolering och EU-baserad infrastruktur.
Europeisk infrastruktur
All data lagras och behandlas inom Europeiska unionen.
Hostad på Hetzner
Tysk molnleverantör med ISO/IEC 27001-certifierade datacenter i Nürnberg, Falkenstein och Helsingfors.
Hetzner-certifieringar
ISO/IEC 27001:2022
Informationssäkerhetshantering, certifierad av SOCOTEC Certification
BSI C5 Type 2
Cloud Computing Compliance Controls Catalogue, verifierad av tyska federala myndigheten
EU-datajurisdiktion
All databehandling inom EU:s gränser. Inga tredjelandsöverföringar.
Tekniska säkerhetskontroller
Flera skyddslager från nätverk till applikation.
Kryptering under transport
Alla anslutningar säkrade med TLS 1.3 via automatiska Let's Encrypt-certifikat. HTTP-förfrågningar uppgraderas till HTTPS.
Autentisering
JWT-åtkomsttoken med automatisk rotation av uppdateringstoken. Lösenord hashade med bcrypt (10 saltrundor). Lösenordsåterställningstoken är engångs och löper ut efter 24 timmar.
Rollbaserad åtkomst
Trestegs åtkomstkontroll (personal, koordinator, superanvändare). Varje API-slutpunkt upprätthåller rollkrav. Personal kan bara komma åt event de är tilldelade.
Klientisolering
Strikt dataseparation på företagsnivå. Varje databasfråga är begränsad till den autentiserade klienten. Ingen dataläckage mellan företag är möjlig.
Indatavalidering
All API-indata valideras med Zod-scheman innan bearbetning. Prisma ORM säkerställer parametriserade frågor — ingen risk för SQL-injektion.
Mobilsäkerhet
Autentiseringstoken lagras i enhetens nyckelring (iOS) eller krypterade SharedPreferences (Android) — aldrig i öppen lagring.
Dataskydd
Hur vi hanterar och skyddar din information.
Lösenordssäkerhet
Lösenord hashas med bcrypt innan lagring. Vi lagrar eller överför aldrig lösenord i klartext. Lösenordsåterställningstoken är kryptografiskt slumpmässiga och engångs.
Tokenhantering
Uppdateringstoken är SHA-256-hashade i databasen. Tokenrotation säkerställer att komprometterade token omedelbart ogiltigförklaras. Utloggning återkallar alla aktiva sessioner.
API-säkerhet
CORS-vitlista begränsar API-åtkomst till auktoriserade domäner. Filuppladdningar är storleksbegränsade. Felmeddelanden är generiska för att förhindra informationsläckage.
Revisionsloggning
Autentiseringshändelser, dataändringar och administrativa åtgärder loggas med tidsstämplar, användarkontext och IP-adresser.
Infrastruktur & driftsättning
Produktionsanpassad containeriserad arkitektur.
Docker-containrar
Alla tjänster körs i isolerade Docker-containrar med hälsokontroller och automatiska omstarter.
PostgreSQL 16
Databas i företagsklass med beständiga volymer. Inte exponerad mot offentligt internet — åtkomlig bara från applikationscontainrar.
Traefik reverse proxy
Automatisk TLS-certifikathantering, hälsokontrollstyrd trafikdirigering och driftsättning utan avbrott.
Automatiserad CI/CD
Alla kodändringar genomgår automatiserade tester innan driftsättning. Databasmigrationer tillämpas atomiskt innan trafikomkoppling.
Vårt åtagande
Säkerhet är en pågående process. Vi granskar och stärker kontinuerligt vår säkerhetsställning i takt med att plattformen växer. Har du säkerhetsfrågor eller vill rapportera en sårbarhet, kontakta oss.