🛡️ Security Overview
Mimir365 ProperCore är utformat med datasäkerhet som grundprincip. Den här sidan beskriver de tekniska och organisatoriska åtgärder vi vidtar för att skydda din data.
Disclaimer: Mimir365 stödjer compliance-beredskap och operativ kontroll. Det ersätter inte juridisk rådgivning, certifierade revisioner eller myndighetsbedömningar. Vi uppger enbart vad som faktiskt är på plats.
1Datalagring och infrastruktur
- All kunddata lagras på servrar belägna inom EU/EES
- Vi använder dedikerade datacenter med fysisk åtkomstkontroll, redundant kraft och nätverksredundans
- Dagliga automatiska säkerhetskopior med 30 dagars retention och testad återställning
- Fullständig lista över underleverantörer finns på sidan Underbiträden
2Kryptering
| Skikt | Standard | Detaljer |
|---|---|---|
| Transport (in transit) | TLS 1.2 / 1.3 | HTTPS för alla anslutningar, HSTS aktiverat |
| Lagring (at rest) | AES-256 | Kryptering av databaser och fillagring |
| Lösenord | bcrypt | Saltat hash, aldrig klartextlagring |
| API-nycklar | SHA-256 HMAC | Nycklar lagras enbart som hash |
3Åtkomstkontroll och rollbaserad behörighet
- RBAC — roll-based access control med minst privilegieprincipen
- Definierade roller: Administratör, Driftansvarig, Läsbehörighet, API-tjänst
- Multi-faktor-autentisering (MFA) tillgänglig för alla konton, obligatorisk för administratörer
- SSO/SAML 2.0-stöd för enterprise-kunder
- Automatisk sessionsutgång efter inaktivitet
- IP-baserade åtkomstbegränsningar tillgängliga på enterprise-tier
4Loggning och audit trails
- Alla inloggningar, behörighetsändringar och dataaccesser loggas
- Audit-loggar är oföränderliga och tillgängliga för kunden via plattformens gränssnitt
- Log retention: 12 månader för audit-loggar, 90 dagar för systemloggar
- Loggar exporterbara i JSON och CSV för externa SIEM-system
5Sårbarhantering och säkerhetstestning
- Beroenden skannas kontinuerligt för kända sårbarheter (CVE)
- Säkerhetsgranskningar utförs internt vid varje release
- Penetrationstester planeras kvartalsvis med externt ackrediterat företag
- Ansvarsfull avslöjandeprocess — se kontaktuppgifter nedan
6Incidenthantering
Vid en säkerhetsincident följer vi en definierad incidenthanteringsplan:
- Identifiering & klassificering — inom 1 timme från detektion
- Inneslutning — omedelbar isolering av drabbade system
- Kundnotifiering — inom 24 timmar vid incident som påverkar kunddata
- IMY-anmälan — inom 72 timmar vid personuppgiftsincident (GDPR art. 33)
- Post-mortem — dokumentation och åtgärdsplan inom 5 arbetsdagar
7Organisatorisk säkerhet
- Säkerhetsutbildning för all personal vid anställning och löpande
- Konfidentialitetsavtal (NDA) för alla medarbetare och underleverantörer
- Bakgrundskontroller för personal med tillgång till produktionsmiljöer
- Dokumenterad säkerhetspolicy, granskad minst en gång per år
8Kontakt för säkerhetsfrågor
Rapportera sårbarheter eller säkerhetsproblem till:
E-post: security@mimir365.se
Vi bekräftar mottagandet inom 48 timmar.
För allmänna frågor om säkerhet och compliance, kontakta vårt team.