Medidas de seguridad

Aquí describimos cómo trabajamos con la seguridad y el RGPD, y empecemos con este último. La mayor parte de nuestro Acuerdo de Servicio se refiere al tratamiento de datos personales y, por lo tanto, también contiene aspectos de privacidad y seguridad. Además de lo establecido en el acuerdo, mantenemos un registro de procesamiento de datos personales, que incluye, entre otras cosas, qué datos se almacenan por medio de almacenamiento y durante cuánto tiempo. Realizamos revisiones regulares para garantizar que cumplimos con el RGPD, con el objetivo de limitar el almacenamiento de datos personales y hacerlo más seguro.

Nuestro entorno de producción se mantiene con actualizaciones regulares del sistema operativo (Debian) y software de servidor como Apache, MariaDB, Tomcat y Java. No compartimos servidores con otras empresas. Las contraseñas de los usuarios se almacenan encriptadas (hashed) con un salt. Los archivos de los usuarios se almacenan encriptados en el servidor, siempre que el usuario haya establecido una contraseña al realizar la carga.

Nuestro software contiene mecanismos para detectar spam y limitar el envío de correos electrónicos y archivos.

En el desarrollo de nuestro software, seguimos reglas comunes para prevenir la inyección SQL y el Cross-site scripting (XSS). La entrada del usuario se valida tanto en el lado del cliente como en el lado del servidor. Todas las computadoras de los empleados tienen discos duros encriptados.

Medidas planificadas

Planeamos implementar las siguientes mejoras y medidas.

1. Menos datos personales en correos electrónicos salientes: El remitente debe poder decidir qué datos personales se envían en el correo electrónico al destinatario. También debe ser posible requerir que el destinatario se identifique por correo electrónico, teléfono móvil o con BankID sueco.
2. Sin subcontratistas americanos: Sprend debe reemplazar proveedores fuera de la UE por alternativas suecas o basadas en la UE.
3. Realizar pruebas de penetración: Debemos probar regularmente nuestro entorno de producción contra vulnerabilidades conocidas.
4. Control de virus: Sprend debe ofrecer escaneo automático de virus de archivos enviados.
5. Mayor seguridad en el inicio de sesión: Debe ofrecerse autenticación multifactor para cuentas de usuario.

Arne Evertsson, 2026-02-05