Informationssäkerhet

Verca AB tillämpar tekniska och organisatoriska kontroller för att skydda kundinformation. Informationssäkerhetsarbetet utgår från principerna om konfidentialitet, integritet och tillgänglighet och styrs av interna policys, riskbedömningar och löpande uppföljning.

All data skyddas med kryptering i vila och under överföring.

• I vila: AES-256-kryptering tillämpas på lagrad data, inklusive databaser och backuper.
• Under överföring: All kommunikation mellan klient och server sker över TLS 1.2 eller senare.

Krypteringsnycklar hanteras separat från lagrad data och roteras enligt fastställda intervall.

Åtkomst till plattformen och underliggande infrastruktur styrs genom flera nivåer av kontroll.

• Rollbaserad åtkomstkontroll (RBAC) med principen om lägsta nödvändiga behörighet.
• Stöd för tvåfaktorsautentisering (MFA) och SSO via SAML 2.0 planeras för organisationer med centraliserad identitetshantering.
• Sessioner har definierade tidsgränser och ogiltigförklaras vid inaktivitet.

Intern åtkomst till produktionsmiljöer är begränsad till behörig personal och kräver individuella konton med MFA.

All data som behandlas inom Verca AB:s tjänst lagras och hanteras inom EU/EES. Hostingmiljöer och serverpartners är utvalda utifrån krav på datasäkerhet, uppetid och efterlevnad av lagstiftning. Ingen överföring av personuppgifter eller tekniska filer sker till tredje land utan laglig grund och kundens kännedom.

Verca AB utför regelbundna automatiserade backuper av all kunddata. Backuper lagras krypterat och geografiskt separerat inom EU/EES.

• Dagliga backuper med definierad retentionstid.
• Återställningsrutiner testas regelbundet för att säkerställa funktionalitet.
• Mål för återställningstid (RTO) och acceptabel dataförlust (RPO) är definierade och dimensionerade efter tjänstens karaktär.

Verca AB arbetar proaktivt med att förebygga säkerhetsincidenter och har dokumenterade rutiner för att upptäcka, klassificera, åtgärda och rapportera avvikelser. Vid incident med påverkan på kunddata vidtas omedelbara åtgärder, kunden informeras utan onödigt dröjsmål och incidenten dokumenteras och följs upp enligt gällande lagstiftning och interna rutiner.

Plattformens säkerhet verifieras löpande genom flera kompletterande metoder.

• Regelbunden sårbarhetsscanning av infrastruktur och applikation.
• Penetrationstester genomförs periodiskt.
• Kontinuerlig loggning och övervakning av systemhändelser för att identifiera avvikande beteende.
• Beroenden och tredjepartskomponenter granskas och uppdateras löpande.

Säkerhet är integrerat i Verca AB:s utvecklingsprocess. Kod granskas före driftsättning och produktionsmiljöer är separerade från utvecklings- och testmiljöer.

• Kodgranskning tillämpas som standard före sammanslagning till produktionsgrenar.
• Automatiserade tester körs som del av leveransprocessen.
• Känslig konfiguration och hemligheter hanteras via dedikerade tjänster, inte i källkod.

När Verca AB använder externa leverantörer för drift, backuplagring eller annan teknisk funktion sker detta under personuppgiftsbiträdesavtal. Samtliga leverantörer granskas för att uppfylla säkerhets- och integritetskrav, och Verca AB ansvarar för att underbiträden hanterar data enligt instruktion och lagstiftning.