Säkerhet och överföringsanalys (TIA)

Välkommen till Wivid Arcs center för dataskydd. För oss är säkerheten i vårt CMS lika viktig som prestandan. Denna sida fungerar som vår officiella redogörelse för tekniska säkerhetsåtgärder och vår analys av dataöverföringar till tredjeland (TIA).

Vi vidtar omfattande åtgärder för att säkerställa att personuppgifter hanteras säkert och enligt branschstandard.

• Åtkomstkontroll: All administrativ åtkomst till infrastruktur och kodbas kräver tvåfaktorsautentisering (2FA). Endast personal med affärskritiska behov har tillgång till produktionsdata.

• Kryptering: Data krypteras alltid under transport (TLS 1.2+) och vid lagring (AES-256) hos våra molnleverantörer.

• Applikationskryptering (ALE): För särskilt känslig data såsom personuppgifter tillämpar vi kryptering på applikationsnivå. Detta innebär att datan krypteras med en unik nyckel (AES-256-GCM) innan den lämnar vår servermiljö. Känslig data lagras i databasen i ett format som är oläsligt för databasleverantören.

• Dataminimering: Vi loggar inga IP-adresser för besöksstatistik. Genom verktyget Sentry använder vi aktiv "Data Scrubbing" för att maskera känslig data och IP-adresser i felrapporter.

• AI-Integritet: Vi använder den betalda versionen av Google Gemini API, vilket innebär att databehandlingen sker i enlighet med Google Cloud Data Processing Addendum (DPA). Detta garanterar att varken prompts eller svar används i Googles träningssyfte.

• Backuper: Vi använder en händelsestyrd backup-struktur. Fullständiga snapshots sparas i 30 dagar på geografiskt åtskilda servrar inom Sverige (AWS Stockholm).

För att leverera en modern och skalbar tjänst använder vi oss av ett antal specialiserade underleverantörer. Enligt GDPR utgör användningen av amerikanska molntjänster en "överföring till tredjeland", även om datan lagras på servrar inom EU.

Analys av överföring

Vi har bedömt att skyddsnivån för de tjänster vi använder är adekvat och att riskerna för den registrerades integritet är minimala. Detta baseras på:

• Fysisk lagring: All primär datalagring sker inom EU/EES (Sverige och Tyskland).

• Rättsligt stöd: Samtliga amerikanska leverantörer är certifierade under EU-U.S. Data Privacy Framework och vi har ingått EU-kommissionens standardavtalsklausuler (SCCs) med samtliga.

• Tekniska skyddsåtgärder (Zero-Knowledge-principen): Genom att använda kryptering på applikationsnivå (ALE) för personuppgifter i databasen säkerställer vi att databasleverantören inte har tillgång till de kryptografiska nycklarna. Även vid en eventuell rättslig begäran från myndighet i tredjeland, eller vid ett eventuellt dataintrång, skulle den utlämnade eller exponerade datan vara tekniskt oåtkomlig och oläslig utan de nycklar som exklusivt förvaras i vår exekveringsmiljö

• Tekniska hinder: Genom maskering av data (t.ex. via "Data Scrubbing" i Sentry) begränsas möjligheten för utomstående parter att få tillgång till läsbar personinformation.

Samtliga tjänster ovan driftas på infrastruktur från tredjepartsleverantörer (Public Cloud Providers). AWS avser Amazon Web Services och GCP avser Google Cloud Platform. Dessa leverantörer tillhandahåller de fysiska datacentren och den nätverksarkitektur där tjänsternas data lagras och bearbetas inom de angivna geografiska regionerna.

När ett samarbete avslutas raderas all kundspecifik data permanent från våra produktionsmiljöer och databaser. Radering sker senast 30 dagar efter avtalets upphörande, i enlighet med våra fastställda backup-rutiner.

Vi förbehåller oss rätten att uppdatera denna information löpande i takt med att vår tech-stack utvecklas eller lagstiftningen förändras. Vid väsentliga ändringar av underbiträden meddelas berörda kunder senast 30 dagar i förväg.