Fjellride logoFjellride

Säkerhet

Senast uppdaterad: januari 2025

Fjellride är dedikerade till att erbjuda en säker plattform för våra kunder. Denna sida beskriver de säkerhetsåtgärder vi har implementerat för att skydda era data och vår infrastruktur.

Infrastruktursäkerhet

Datacenter och hosting

All Fjellride-infrastruktur är värd inom Europeiska ekonomiska samarbetsområdet (EES) för att säkerställa GDPR-efterlevnad:

  • AWS: eu-north-1 (Stockholm, Sverige)
  • Google Cloud Platform: eu-north1 (Stockholm, Sverige)
  • Supabase: EU-region (Stockholm, Sverige)
  • Vercel: Stockholm, Sverige (hosting), EU (loggar)

All databehandling sker inom EES, vilket säkerställer efterlevnad av GDPR-krav.

Nätverkssäkerhet

Cloudflare-skydd

  • DDoS-skydd: Cloudflare tillhandahåller automatisk DDoS-minskning och skydd mot distributed denial-of-service-attacker
  • Web Application Firewall (WAF): Cloudflares WAF skyddar mot vanliga webbensårbarheter
  • SSL/TLS-kryptering: Automatisk SSL-certifikatutfärdande och förnyelse för alla domäner
  • CDN: Globalt innehållsleveransnät för förbättrad prestanda och säkerhet

Vercel-brandvägg

  • Kantskydd: Vercels brandvägg ger ett extra skyddslager vid kanten
  • Begränsning av frekvens: Inbyggd frekvensbegränsning för att förhindra missbruk

Google Cloud Platform-säkerhet

  • Cloud Armor: GCP:s DDoS-skydd och WAF-kapacitet
  • Nätverkssäkerhet: Säkra nätverkskonfigurationer och brandväggsregler
  • Identitets- och åtkomsthantering: Rollbaserad åtkomstkontroll för infrastruktur

Applikationssäkerhet

Autentisering och auktorisering

  • Lösenordssäkerhet: Lösenord hashas med bcrypt med 10 rundor innan lagring
  • Sessionshantering: Säkra sessionscookies med endast-HTTPS och SameSite-skydd
  • Magic Link-autentisering: Tidsbegränsade, engångsautentiseringslänkar
  • API-nyckelautentisering: Hashade API-nycklar med frekvensbegränsning och utgång
  • Rollbaserad åtkomstkontroll: Detaljerat behörighetssystem för olika användarroller

Frekvensbegränsning

  • API-frekvensbegränsning: 100 förfrågningar per minut per IP-adress för allmänna slutpunkter
  • API-nyckelfrekvensbegränsning: Konfigurerbara frekvensgränser per API-nyckel (standard: 1000 förfrågningar per timme)
  • Autentiseringsfrekvensbegränsning: Skydd mot brute force-attacker

Dataskydd

Kryptering

  • Data under överföring: All data som överförs över nätverket krypteras med TLS 1.2 eller högre
  • Data i vila: Databaskryptering tillhandahållen av Supabase
  • Betalningsdata: Betalningsinformation behandlas säkert via Stripe Connect (PCI DSS-efterlevande)

Databas Säkerhet

  • Row Level Security (RLS): Supabase RLS-policyer säkerställer att användare endast kan komma åt data de är behöriga att se
  • Anslutningssäkerhet: Krypterade databasanslutningar
  • Backup-kryptering: Regelbundna krypterade säkerhetskopior

API-säkerhet

  • CORS-skydd: Strikt CORS-policy som begränsar tillåtna ursprung
  • API-nyckelautentisering: Säker API-nyckelbaserad autentisering för externa integrationer
  • Validering av indata: All API-indata valideras och saneras
  • SQL-injektionsskydd: Parametriserade frågor och ORM-användning förhindrar SQL-injektion

Betalningssäkerhet

  • Stripe Connect: All betalningshantering sköts av Stripe, en PCI DSS Level 1-efterlevande betalningsprocessor
  • Ingen kortlagring: Vi lagrar inte kreditkortsinformation. All betalningsdata behandlas direkt av Stripe
  • Säkra betalningslänkar: Betalningslänkar använder Stripes säkra kassasystem

Övervakning och incidenthantering

  • Loggning: Omfattande loggning av säkerhetsrelevanta händelser
  • Övervakning: Kontinuerlig övervakning av systemhälsa och säkerhetshändelser
  • Felövervakning: Sentry (EU) för applikationsfel och prestanda
  • Uptime-övervakning: Tillgänglighet och uptime-loggar (globalt)
  • Incidenthantering: Procedurer på plats för att hantera säkerhetsincidenter
  • Underrättelse vid dataintrång: Vi underrättar berörda parter inom 48 timmar efter att ha upptäckt ett dataintrång, enligt GDPR

Säkerhetsbästa praxis

För organisationer som använder Fjellride

  • Använd starka, unika lösenord för era konton
  • Aktivera tvåfaktorsautentisering när tillgänglig
  • Granska regelbundet API-nycklar och återkalla oanvända
  • Håll er organisations användaråtkomst uppdaterad
  • Rapportera eventuella säkerhetsfrågor omedelbart till hello@fjellride.se

För slutkunder

  • Använd starka lösenord om ni skapar ett konto
  • Var försiktiga med nätfiskeförsök
  • Rapportera misstänkt aktivitet till den organisation ni bokar hos

Säkerhetsuppdateringar

Vi uppdaterar regelbundet våra beroenden och infrastruktur för att åtgärda säkerhetsproblem. Säkerhetsuppdateringar tillämpas så snart de blir tillgängliga.

Rapportera säkerhetsproblem

Om du upptäcker en säkerhetsbrist, rapportera den ansvarsfullt:

E-post: hello@fjellride.se

Inkludera gärna:

  • Beskrivning av sårbarheten
  • Steg för att återskapa (om tillämpligt)
  • Potentiell påverkan
  • Dina kontaktuppgifter

Vi uppskattar ansvarsfull offentliggörande och kommer att samarbeta med er för att åtgärda eventuella säkerhetsfrågor.

Efterlevnad

  • GDPR: Full efterlevnad av den allmänna dataskyddsförordningen
  • Data residency: Större delen av data lagras och behandlas inom EES; se vårt Databehandlingsavtal för underentreprenörers platser inkl. Sentry (EU) och uptime-övervakning (globalt)
  • Integritet: Se vår Integritetspolicy för detaljer om hur vi hanterar personuppgifter

Underentreprenörer

För en fullständig lista över underentreprenörer och deras platser, se vårt Databehandlingsavtal.

Kontakt

För säkerhetsrelaterade frågor eller funderingar, kontakta oss på hello@fjellride.se.