Säkerhet & Compliance
Så arbetar Securapilot systematiskt med informationssäkerhet
Version 1.0 - Senast uppdaterad: 2026-01-15
Inledning
Som SaaS-leverantör inom riskhantering och compliance är säkerhet en grundpelare i vår verksamhet. Detta dokument beskriver Securapilots systematiska arbete med informationssäkerhet och hur vi säkerställer efterlevnad av internationella standarder och ramverk.
Vårt ramverk omfattar hela Securapilots SaaS-plattform, inklusive:
- Applikations- och databasinfrastruktur
- Nätverkssäkerhet och åtkomstkontroll
- Övervakning och incidenthantering
- Backup och kontinuitetsplanering
Säkerhetsorganisation
Securapilot har tydligt definierade roller för säkerhetsarbetet:
| Roll | Ansvarsområde |
|---|---|
| Systemansvarig | Övergripande ansvar för drift, säkerhet och compliance |
| Drifttekniker | Operativ drift, patchning, övervakning och incidenthantering |
| Säkerhetsansvarig | Säkerhetshärdning, sårbarhetshantering och compliance-kontroller |
Styrande dokumentation
- Informationssäkerhetspolicy
- Säkerhetsplan för patchning, övervakning och härdning
- Incidenthanteringsrutiner
- Backup- och återställningsplan
- Kontinuitetsplanering (BCP/DR)
Säkerhetsåtgärder och kontroller
Patchhantering
Målsättning: Minimera exponeringstid för sårbarheter genom systematisk och automatiserad patchning.
- Automatisk installation av säkerhetsuppdateringar på alla servrar
- Kernel-uppdateringar tillämpas veckovis eller vid kritiska sårbarheter
- Applikationsuppdateringar testas i staging-miljö före produktion
- Kritiska sårbarheter (CVSS ≥9) hanteras akut inom 24 timmar
Övervakning och larm
Målsättning: Proaktiv identifiering av avvikelser och säkerställande av hög tillgänglighet.
- Kontinuerlig övervakning av systemresurser (CPU, minne, disk, nätverk)
- Centraliserad logghantering för forensisk analys
- Real-time visualisering via dashboards
- Automatiska larm vid definierade tröskelvärden
- Extern tillgänglighetsmonitorering
Säkerhetshärdning
Målsättning: Minimera attackytan genom systematisk härdning enligt branschstandarder.
- Baserat på CIS Benchmarks för Ubuntu Linux
- Separering av systempartitioner med säkra mount-alternativ
- Inaktivering av onödiga tjänster
- Nätverkshärdning och strikt åtkomstkontroll
Nätverkssäkerhet:
- Brandvägg med default-deny princip
- Vitlistning av tillåtna tjänster och IP-adresser
- Automatisk blockering vid misstänkt aktivitet
- Segmentering mellan olika miljöer
Åtkomstkontroll:
- Multifaktorautentisering för administrativ åtkomst
- Nyckelbaserad SSH-autentisering (lösenord inaktiverade)
- Principle of least privilege för alla användarkonton
- Regelbunden granskning av behörigheter
Sårbarhetshantering
Målsättning: Kontinuerlig identifiering och remediation av säkerhetsbrister.
- Månatlig automatiserad säkerhetsscan
- Kvartalsvis manuell penetrationstestning
- Kontinuerlig övervakning av säkerhetsbulletiner
- Strukturerad process för riskbedömning och prioritering
- Uppföljning och verifiering av alla åtgärdade sårbarheter
ISO 27001 - Informationssäkerhet
Securapilots säkerhetsarbete är strukturerat enligt ISO/IEC 27001:2022 och täcker alla obligatoriska kontroller i Annex A.
| ISO 27001 Kontroll | Implementering | Status |
|---|---|---|
| A.5.1 Policy för informationssäkerhet | Dokumenterad och godkänd säkerhetspolicy | Implementerad |
| A.5.15 Åtkomstkontroll | MFA, RBAC, principle of least privilege | Implementerad |
| A.8.8 Hantering av tekniska sårbarheter | Automatiserad patchning + månatliga scans | Implementerad |
| A.8.9 Konfigurationshantering | CIS Benchmarks, versionskontroll | Implementerad |
| A.8.12 Förebyggande av dataläckage | DLP-kontroller, kryptering, nätverkssegmentering | Implementerad |
| A.8.16 Övervakningsaktiviteter | Prometheus/Grafana, centraliserad loggning | Implementerad |
ISMS-processer (Plan-Do-Check-Act)
Plan
Riskbedömning, kontrollval och säkerhetsmål
Do
Implementering av kontroller och säkerhetsåtgärder
Check
Intern audit, övervakning och mätning
Act
Korrigerande åtgärder och kontinuerlig förbättring
SOC 2 - Trust Service Criteria
Securapilot arbetar mot SOC 2 Type II-certifiering enligt AICPA Trust Service Criteria.
| Kriterium | Tillämpning | Prioritet |
|---|---|---|
| Security | Obligatoriskt - Skydd mot obehörig åtkomst | Hög |
| Availability | Systemtillgänglighet enligt SLA | Hög |
| Processing Integrity | Korrekt och komplett databehandling | Medium |
| Confidentiality | Skydd av affärskritisk information | Hög |
| Privacy | GDPR-efterlevnad för personuppgifter | Hög |
Väg till SOC 2 Type II
GDPR - Dataskydd
Som behandlingsansvarig för personuppgifter efterlever Securapilot GDPR.
Tekniska och organisatoriska åtgärder (Artikel 32)
- Kryptering av data i vila och transit
- Pseudonymisering där tillämpligt
- Kontinuerlig säkerhetsövervakning
- Regelbunden testning av säkerhetsåtgärder
- Processer för dataskydd by design och by default
Dataskyddsrättigheter
- Dokumenterade processer för registerrättigheter
- Automatiserad hantering av tillgång, rättelse och radering
- Portabilitet i standardiserade format
- Rapporteringsrutin för personuppgiftsincidenter (72 timmar)
Incidenthantering
Strukturerad process för säkerhetsincidenter:
Detektering
Automatisk genom övervakning eller manuell rapportering
Klassificering
Bedömning av allvarlighetsgrad och påverkan
Containment
Omedelbara åtgärder för att begränsa skada
Eradikation
Eliminering av grundorsak
Återställning
Återgång till normal drift
Lessons learned
Dokumentation och förbättringsåtgärder
Business Continuity & Disaster Recovery
Backup-strategi
- Frekvens: Dagliga automatiserade backuper
- Retention: 30 dagars rolling retention + månatliga arkiv
- Geografisk separation: Backuper i olika datacenter/regioner
- Kryptering: Alla backuper krypterade i vila och transit
- Testning: Kvartalsvis återställningstest
Målsättningar
< 4h
RTO
Recovery Time Objective för kritiska system
< 1h
RPO
Recovery Point Objective för transaktionsdata
Säker systemutveckling
Säkerhet integreras i hela utvecklingsprocessen genom vår Secure Development Lifecycle (SDL):
Design
Threat modeling och säkerhetsarkitektur
Utveckling
Secure coding practices och kodgranskning
Testning
Säkerhetstestning och sårbarhetsscans
Deployment
Säker konfiguration, minimal attack surface
Drift
Kontinuerlig övervakning och patchning
Fysisk säkerhet
- Datacenter med certifierade säkerhetskontroller (ISO 27001, SOC 2)
- Redundanta strömkällor och kylsystem
- 24/7 övervakning och intrångsdetektering
- Kontrollerad fysisk åtkomst med loggning
- Brandskydd och katastrofberedskap
Kontakta oss
För frågor om Securapilots säkerhetsarbete, vänligen kontakta:
Säkerhetsansvarig
E-post: security@securapilot.se
Allmänna frågor
E-post: info@securapilot.se
Ordlista
| Term | Beskrivning |
|---|---|
| CIS Benchmark | Center for Internet Security - standardiserade säkerhetskonfigurationer |
| CVSS | Common Vulnerability Scoring System - standard för bedömning av sårbarheter |
| MFA | Multi-Factor Authentication - flerfaktorsautentisering |
| RBAC | Role-Based Access Control - rollbaserad åtkomstkontroll |
| RTO | Recovery Time Objective - maximalt acceptabel driftstopp |
| RPO | Recovery Point Objective - maximalt acceptabel dataförlust |