Sigurnosne mjere

Ovdje opisujemo kako radimo sa sigurnošću i GDPR-om, i počnimo s potonjim. Najveći dio našeg Ugovora o usluzi odnosi se na rukovanje osobnim podacima i stoga također sadrži aspekte privatnosti i sigurnosti. Osim onoga što je navedeno u ugovoru, vodimo registar obrade osobnih podataka, koji među ostalim sadrži koje se podatke pohranjuju po mediju pohrane i koliko dugo. Provodimo redovite preglede kako bismo osigurali da poštujemo GDPR, s ciljem ograničavanja pohrane osobnih podataka i činjenja je sigurnijom.

Naše proizvodno okruženje održava se redovitim ažuriranjima operativnog sustava (Debian) i serverskog softvera kao što su Apache, MariaDB, Tomcat i Java. Ne dijelimo poslužitelje s drugim tvrtkama. Lozinke korisnika pohranjuju se šifrirane (hashed) s sol. Datoteke korisnika pohranjuju se šifrirane na poslužitelju pod uvjetom da je korisnik postavio lozinku prilikom prijenosa.

Naš softver sadrži mehanizme za otkrivanje spam-a i ograničavanje slanja e-pošte i datoteka.

U razvoju našeg softvera slijedimo uobičajena pravila za sprječavanje SQL injekcije i Cross-site scripting (XSS). Korisnički unos se provjerava i na klijentskoj i na serverskoj strani. Sva računala zaposlenika imaju šifrirane hard diskove.

Planirane mjere

Planiramo provesti sljedeća poboljšanja i mjere.

1. Manje osobnih podataka u odlaznim e-porukama: Pošiljatelj bi trebao moći odlučiti koje se osobne podatke šalju u e-poruci primatelju. Također bi trebalo biti moguće zahtijevati da se primatelj identificira putem e-pošte, mobitela ili švedskog BankID-a.
2. Nema američkih podugovarača: Sprend bi trebao zamijeniti dobavljače izvan EU-a švedskim ili EU alternativama.
3. Provedite penetracijske testove: Trebali bismo redovito testirati naše proizvodno okruženje protiv poznatih ranjivosti.
4. Kontrola virusa: Sprend bi trebao ponuditi automatsko skaniranje virusa datoteka koje se šalju.
5. Veća sigurnost pri prijavi: Trebalo bi ponuditi višefaktorsku autentifikaciju za korisničke račune.

Arne Evertsson, 2026-02-05