Säkerhet

Hur vi skyddar din data och dina kunders kontaktinformation. Vi tror på transparens — om det inte är dokumenterat här, finns det inte i produkten.

Var datan finns

TjänstRegionVad lagras
Cloudflare Pages + edgeEU + global edge cacheStatiska sidor, app-frontend, edge-routing
Cloudflare D1 (SQLite)EUIntern leadgen-data, audit-logs
Supabase PostgresEU (Frankfurt)Kundkonton, lead-leveranser, kvoter, fakturering
Loopia SMTPSverigeCold-mail-relay (transient, ingen lagring)

Inga personuppgifter lämnar EU. Full sub-processor-lista i vår DPA.

Kryptering

LagerStandardStatus
I transit (browser ↔ server)TLS 1.3 (HTTPS överallt, HSTS)✓ Aktiv
I transit (SMTP-utskick)STARTTLS (opportunistic)✓ Aktiv
At rest (databas)AES-256 (Supabase managed encryption)✓ Aktiv
At rest (backuper)AES-256, separat key✓ Aktiv
LösenordArgon2id-hashing (Supabase)✓ Aktiv
API-tokensHMAC-SHA256-signering✓ Aktiv

Åtkomstkontroll

Per tenant

Postgres Row-Level Security (RLS) garanterar att en kund aldrig kan se en annan kunds data — inte ens via en bugg i applikationskoden. Varje request authenticatas via Supabase JWT med tenant-claim, och RLS-policys filtrerar varje rad.

Per användare

Inom samma tenant finns roller: owner, admin, member. Audit-trail logger alla actions till processing_log (GDPR Art. 30).

Internt på Alserda

Endast 1 person (founder) har production-DB-access via krypterad VPN. Inga session-keys lagras lokalt. Service-role-key för Cloudflare Pages roteras kvartalsvis.

Backup & återställning

Audit-trail (GDPR Art. 30)

Varje behandling av personuppgifter loggas:

Loggar bevaras 36 månader. Tillgängliga via support vid GDPR-begäran inom 30 dagar.

GDPR-rättigheter

RättighetHurTid
Tillgång (Art. 15)Login → Inställningar → Exportera dataDirekt
Rättelse (Art. 16)Login → InställningarDirekt
Radering (Art. 17)dataskydd@alserda.seInom 30 dagar
Invändning (Art. 21)Avregistrera-länk i mail eller dataskydd@alserda.seDirekt
Dataportabilitet (Art. 20)Login → Inställningar → Exportera CSV/JSONDirekt

Incident response

Standarder & certifieringar

Leadgen är ett svenskt företag (Alserda Tech AB, org.nr 559577-5460). Vi följer GDPR och svensk dataskyddslagstiftning. Vår säkerhetsbas bygger på certifierade infrastruktur-leverantörer:

Egna certifieringar

Ärvda standarder via våra leverantörer

Vi använder leverantörer som själva är certifierade på högsta nivå. Dataflöden går genom dessa lager:

LeverantörVad de hostarCertifieringar
Cloudflare (EU-region) Frontend, Pages Functions, D1, R2 ISO 27001, ISO 27018, SOC 2 Type II, PCI DSS, GDPR/DPF
Supabase (EU-region) Huvuddatabas, Auth, RLS SOC 2 Type II, HIPAA-ready, GDPR-compliant
Loopia AB (Sverige) SMTP/IMAP för outreach + warmup ISO 27001, svensk lagring
Stripe (Irland för EU) Betalningar & fakturering PCI DSS Level 1, ISO 27001, SOC 2 Type II
OpenRouter / Gemini Flash AI-generering av cold-mail-text SOC 2 Type II (OpenRouter), Google Cloud-säkerhetsstandarder

Vi ärver alltså ISO 27001-, SOC 2- och PCI DSS-skyddsåtgärder för datapersistens, betalningsflöden och AI-anrop via dessa leverantörer. Egna ISO 27001-/SOC 2-audits planeras för enterprise-tier när första enterprise-kund kräver det (~2027). Full sub-processor-lista i DPA.

Vad vi INTE påstår

Vi har ingen egen ISO 27001-certifiering, SOC 2 Type II-audit eller TRUSTe-stämpel ännu — det är enterprise-investeringar som tar 6-12 månader och $30-80k per certifiering. Vi bygger på leverantörernas certifierade grund och kompletterar med juridik (GDPR, MFL, EU AI Act). När du behöver formellt certifierad SaaS för Enterprise-procurement, säg till så går vi tillsammans igenom kraven.

Underbiträden (sub-processors)

Vi listar publikt alla underbiträden som behandlar personuppgifter åt oss enligt GDPR Art. 28. Listan uppdateras vid varje ändring; ändringar kommuniceras till kunder via e-post med minst 30 dagars framförhållning så de hinner invända före aktivering.

Underbiträde Behandling Lokalisering Rättslig grund för överföring
Cloudflare, Inc. Hosting (Pages, Workers, D1, R2, DNS, CDN, WAF) EU (Frankfurt + Amsterdam edge) EU-US DPF + SCC 2021/914
Supabase, Inc. Postgres-databas, Auth, Edge Functions EU (eu-west-1 Stockholm) Inom EU/EES — ingen tredjelandsöverföring
Stripe Payments Europe Ltd. Betalningar, fakturering, Customer Portal EU (Irland) + USA-fallback EU-US DPF + SCC
Loopia AB Domän, SMTP/IMAP för intern outreach Sverige (Västerås) Inom EU/EES
OpenRouter, Inc. AI-routing till språkmodeller (Gemini Flash, Claude Haiku, Claude Sonnet) USA (ZDR aktiverat för non-frontier) SCC 2021/914 + ZDR (Zero Data Retention)
Anthropic PBC (sub-sub-processor via OpenRouter) LLM-inferens (Claude Sonnet 4.6 Premium-layer) USA OpenRouters DPA + Anthropic Commercial Terms
Google LLC (sub-sub-processor via OpenRouter) LLM-inferens (Gemini Flash Snabb-layer) USA + global OpenRouters DPA + Google Cloud DPA
Sentry.io (opt-in om aktiverad) Felövervakning / observability EU (Frankfurt) Inom EU/EES
DataForSEO (om aktiverad för web-signals) Sökresultat-data för signal-detektion EU + USA SCC 2021/914
OpenStreetMap Foundation Geo-data för bolagsadresser (öppen data) EU (UK) Öppen data — ej personuppgifter
HERE Technologies B.V. Geokodning / kart-data (free tier) EU (Nederländerna) Inom EU/EES
Statistiska centralbyrån (SCB) Bolagsregister (öppen myndighetsdata) Sverige Öppen data via offentlighetsprincipen
Bolagsverket Verksamhetsbeskrivningar (öppen myndighetsdata) Sverige Öppen data via offentlighetsprincipen

Notifiering om ändringar: Innan vi lägger till, byter eller tar bort ett underbiträde meddelas alla aktiva kunder via e-post till deras huvudkontakt med minst 30 dagars framförhållning. Kunden har då rätt att invända enligt DPA. Skriv till dataskyddsombud@alserda.se för att prenumerera på underbiträdes-notiser även som icke-kund.

Senast uppdaterad: 2026-05-27. Fullständig DPA med ansvarsfördelning per underbiträde finns i Personuppgiftsbiträdesavtalet.

Pen-testing & säkerhetsgranskning

Rapportera säkerhetsproblem

Hittat en sårbarhet?

Mejla security@alserda.se med detaljer. Vi svarar inom 24h.

Vi har ingen formell bug-bounty än, men erkänner ansvarsfull disclosure publikt och betalar erkännanden för kritiska sårbarheter.

Se även: Integritetspolicy · DPA · Cookies · Datakällor