Säkerhet
Hur vi skyddar din data och dina kunders kontaktinformation. Vi tror på transparens — om det inte är dokumenterat här, finns det inte i produkten.
Var datan finns
| Tjänst | Region | Vad lagras |
|---|---|---|
| Cloudflare Pages + edge | EU + global edge cache | Statiska sidor, app-frontend, edge-routing |
| Cloudflare D1 (SQLite) | EU | Intern leadgen-data, audit-logs |
| Supabase Postgres | EU (Frankfurt) | Kundkonton, lead-leveranser, kvoter, fakturering |
| Loopia SMTP | Sverige | Cold-mail-relay (transient, ingen lagring) |
Inga personuppgifter lämnar EU. Full sub-processor-lista i vår DPA.
Kryptering
| Lager | Standard | Status |
|---|---|---|
| I transit (browser ↔ server) | TLS 1.3 (HTTPS överallt, HSTS) | ✓ Aktiv |
| I transit (SMTP-utskick) | STARTTLS (opportunistic) | ✓ Aktiv |
| At rest (databas) | AES-256 (Supabase managed encryption) | ✓ Aktiv |
| At rest (backuper) | AES-256, separat key | ✓ Aktiv |
| Lösenord | Argon2id-hashing (Supabase) | ✓ Aktiv |
| API-tokens | HMAC-SHA256-signering | ✓ Aktiv |
Åtkomstkontroll
Per tenant
Postgres Row-Level Security (RLS) garanterar att en kund aldrig kan se en annan kunds data — inte ens via en bugg i applikationskoden. Varje request authenticatas via Supabase JWT med tenant-claim, och RLS-policys filtrerar varje rad.
Per användare
Inom samma tenant finns roller: owner, admin, member. Audit-trail logger alla actions till processing_log (GDPR Art. 30).
Internt på Alserda
Endast 1 person (founder) har production-DB-access via krypterad VPN. Inga session-keys lagras lokalt. Service-role-key för Cloudflare Pages roteras kvartalsvis.
Backup & återställning
- Daglig automatisk backup av Supabase Postgres (point-in-time-recovery 7 dagar, daily snapshots 30 dagar)
- Snapshot-kryptering med separat key från production-DB
- RTO (recovery time objective): 4 timmar för full återställning
- RPO (recovery point objective): max 24h dataförlust vid katastrof
- Backuper testas månadsvis genom restore till staging
Audit-trail (GDPR Art. 30)
Varje behandling av personuppgifter loggas:
- Vem (tenant_id + user_id)
- Vad (event_type — t.ex.
lead_delivered,data_exported,unsubscribe_received) - När (timestamp i UTC)
- Varför (purpose + legal_basis)
- Resultat (success/fail + meta)
Loggar bevaras 36 månader. Tillgängliga via support vid GDPR-begäran inom 30 dagar.
GDPR-rättigheter
| Rättighet | Hur | Tid |
|---|---|---|
| Tillgång (Art. 15) | Login → Inställningar → Exportera data | Direkt |
| Rättelse (Art. 16) | Login → Inställningar | Direkt |
| Radering (Art. 17) | dataskydd@alserda.se | Inom 30 dagar |
| Invändning (Art. 21) | Avregistrera-länk i mail eller dataskydd@alserda.se | Direkt |
| Dataportabilitet (Art. 20) | Login → Inställningar → Exportera CSV/JSON | Direkt |
Incident response
- Detection: automatiska larm vid 5xx-rate, bounce-rate >5%, ovanliga query-mönster
- Triage: founder larmas via PagerDuty (om aktivt) eller mail+SMS
- Containment: rollback eller feature-flag-disable inom 30 min
- Notification: personuppgiftsincident anmäls till IMY inom 72h (Art. 33). Berörda registrerade meddelas vid risk för fri- och rättigheter (Art. 34).
- Post-mortem: publik incident-rapport på status-page (när tillgänglig)
Standarder & certifieringar
Leadgen är ett svenskt företag (Alserda Tech AB, org.nr 559577-5460). Vi följer GDPR och svensk dataskyddslagstiftning. Vår säkerhetsbas bygger på certifierade infrastruktur-leverantörer:
Egna certifieringar
- GDPR-compliance — fullt implementerad: berättigat intresse (Art. 6(1)(f)), berövsrättigheter (Art. 15-22), retention-policy (Art. 5), DPA-template med 72h breach-window (Art. 33), DPIA-stöd (Art. 35-36). DPA-mall granskas av jurist innan första betalkund.
- Svensk MFL §19 — reklamspärr-flagga från SCB respekteras automatiskt i alla utskick.
- EU AI Act — AI-genererad mail-kopia är transparent flaggad i loggar, mänsklig översynsrätt finns för alla utskick.
Ärvda standarder via våra leverantörer
Vi använder leverantörer som själva är certifierade på högsta nivå. Dataflöden går genom dessa lager:
| Leverantör | Vad de hostar | Certifieringar |
|---|---|---|
| Cloudflare (EU-region) | Frontend, Pages Functions, D1, R2 | ISO 27001, ISO 27018, SOC 2 Type II, PCI DSS, GDPR/DPF |
| Supabase (EU-region) | Huvuddatabas, Auth, RLS | SOC 2 Type II, HIPAA-ready, GDPR-compliant |
| Loopia AB (Sverige) | SMTP/IMAP för outreach + warmup | ISO 27001, svensk lagring |
| Stripe (Irland för EU) | Betalningar & fakturering | PCI DSS Level 1, ISO 27001, SOC 2 Type II |
| OpenRouter / Gemini Flash | AI-generering av cold-mail-text | SOC 2 Type II (OpenRouter), Google Cloud-säkerhetsstandarder |
Vi ärver alltså ISO 27001-, SOC 2- och PCI DSS-skyddsåtgärder för datapersistens, betalningsflöden och AI-anrop via dessa leverantörer. Egna ISO 27001-/SOC 2-audits planeras för enterprise-tier när första enterprise-kund kräver det (~2027). Full sub-processor-lista i DPA.
Vad vi INTE påstår
Vi har ingen egen ISO 27001-certifiering, SOC 2 Type II-audit eller TRUSTe-stämpel ännu — det är enterprise-investeringar som tar 6-12 månader och $30-80k per certifiering. Vi bygger på leverantörernas certifierade grund och kompletterar med juridik (GDPR, MFL, EU AI Act). När du behöver formellt certifierad SaaS för Enterprise-procurement, säg till så går vi tillsammans igenom kraven.
Underbiträden (sub-processors)
Vi listar publikt alla underbiträden som behandlar personuppgifter åt oss enligt GDPR Art. 28. Listan uppdateras vid varje ändring; ändringar kommuniceras till kunder via e-post med minst 30 dagars framförhållning så de hinner invända före aktivering.
| Underbiträde | Behandling | Lokalisering | Rättslig grund för överföring |
|---|---|---|---|
| Cloudflare, Inc. | Hosting (Pages, Workers, D1, R2, DNS, CDN, WAF) | EU (Frankfurt + Amsterdam edge) | EU-US DPF + SCC 2021/914 |
| Supabase, Inc. | Postgres-databas, Auth, Edge Functions | EU (eu-west-1 Stockholm) | Inom EU/EES — ingen tredjelandsöverföring |
| Stripe Payments Europe Ltd. | Betalningar, fakturering, Customer Portal | EU (Irland) + USA-fallback | EU-US DPF + SCC |
| Loopia AB | Domän, SMTP/IMAP för intern outreach | Sverige (Västerås) | Inom EU/EES |
| OpenRouter, Inc. | AI-routing till språkmodeller (Gemini Flash, Claude Haiku, Claude Sonnet) | USA (ZDR aktiverat för non-frontier) | SCC 2021/914 + ZDR (Zero Data Retention) |
| Anthropic PBC (sub-sub-processor via OpenRouter) | LLM-inferens (Claude Sonnet 4.6 Premium-layer) | USA | OpenRouters DPA + Anthropic Commercial Terms |
| Google LLC (sub-sub-processor via OpenRouter) | LLM-inferens (Gemini Flash Snabb-layer) | USA + global | OpenRouters DPA + Google Cloud DPA |
| Sentry.io (opt-in om aktiverad) | Felövervakning / observability | EU (Frankfurt) | Inom EU/EES |
| DataForSEO (om aktiverad för web-signals) | Sökresultat-data för signal-detektion | EU + USA | SCC 2021/914 |
| OpenStreetMap Foundation | Geo-data för bolagsadresser (öppen data) | EU (UK) | Öppen data — ej personuppgifter |
| HERE Technologies B.V. | Geokodning / kart-data (free tier) | EU (Nederländerna) | Inom EU/EES |
| Statistiska centralbyrån (SCB) | Bolagsregister (öppen myndighetsdata) | Sverige | Öppen data via offentlighetsprincipen |
| Bolagsverket | Verksamhetsbeskrivningar (öppen myndighetsdata) | Sverige | Öppen data via offentlighetsprincipen |
Notifiering om ändringar: Innan vi lägger till, byter eller tar bort ett underbiträde meddelas alla aktiva kunder via e-post till deras huvudkontakt med minst 30 dagars framförhållning. Kunden har då rätt att invända enligt DPA. Skriv till dataskyddsombud@alserda.se för att prenumerera på underbiträdes-notiser även som icke-kund.
Senast uppdaterad: 2026-05-27. Fullständig DPA med ansvarsfördelning per underbiträde finns i Personuppgiftsbiträdesavtalet.
Pen-testing & säkerhetsgranskning
- Automated dependency-scans via npm audit + Snyk (kontinuerligt)
- Statisk analys via CodeQL i CI-pipeline
- OWASP ZAP-scans månadsvis mot produktion
- Planerat: Tredjepartspen-test inom 6 mån efter första betalkund
Rapportera säkerhetsproblem
Hittat en sårbarhet?
Mejla security@alserda.se med detaljer. Vi svarar inom 24h.
Vi har ingen formell bug-bounty än, men erkänner ansvarsfull disclosure publikt och betalar erkännanden för kritiska sårbarheter.
Se även: Integritetspolicy · DPA · Cookies · Datakällor