Säkerhet och dataskydd

Strivon behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR, 2016/679).

Vi samlar bara in uppgifter som är nödvändiga för ändamålet och behåller dem inte längre än nödvändigt.

Du har rätt att begära tillgång till, rättelse av och radering av dina uppgifter.

Kontakta oss på privacy@strivon.sbs för alla GDPR-relaterade förfrågningar.

All data i transit krypteras med TLS 1.3. Data i vila krypteras med AES-256.

Databaser är aldrig publikt exponerade. Åtkomst sker via privata nätverk och VPN.

Krypteringsnycklar roteras regelbundet och lagras separat från data.

Inga känsliga uppgifter (t.ex. lösenord) lagras i klartext.

Vi använder etablerade molnleverantörer (AWS, GCP, Vercel) med SOC 2 Type II-certifiering.

Principle of least privilege — anställda och system ges minimal åtkomst för att utföra sina uppgifter.

Multi-factor authentication (MFA) krävs för alla interna system.

Åtkomsloggar granskas löpande. Onormal aktivitet triggar automatiska varningar.

Vi anlitar enbart underleverantörer som uppfyller GDPR-krav och har signerade DPA (Data Processing Agreements).

Listan över underleverantörer granskas kvartalsvis.

Klientdata delas aldrig med tredje part för marknadsföringsändamål.

Vi undviker dataöverföringar utanför EU/EES där det är möjligt.

Vi följer OWASP Top 10 som baseline för all applikationsutveckling.

Kod granskas av minst en annan person innan den når produktion.

Beroenden och bibliotek granskas regelbundet för kända sårbarheter.

Penetrationstestning genomförs inför lansering av kritiska system.

Vid en säkerhetsincident som påverkar personuppgifter notifierar vi berörda parter inom 72 timmar.

Vi har en dokumenterad incidenthanteringsprocess med tydliga ansvarsroller.

Säkerhetsincidenter rapporteras till relevant tillsynsmyndighet (IMY i Sverige) när så krävs.

Vi genomför post-mortems efter varje incident för att förhindra upprepning.