Trygghetscenter
Så här hostar, krypterar, styr och delar CLVR Benefits den data ni anförtror oss: med kvittona som bevisar det.
Senast uppdaterad21 maj 2026Versionv1.27.2
Snabbfakta
Granskas varje releasecykel.
- Datalagring
- Endast EU / EES
- Azure och AWS EU-regioner. Ingen kunddata lämnar blocket.
- Kryptering i vila
- AES-256
- Azure-storage-kryptering med plattformshanterade nycklar.
- Kryptering under överföring
- TLS 1.2+
- sslmode=verify-full för app-till-db; HTTPS påtvingat vid edge.
- Personalens autentisering
- MFA påtvingat
- Ingen åtkomst till produktion utan andra faktor.
- Incidentavisering
- 72 timmar
- Dokumenterad incidentprocess, granskas efter större förändringar.
- Efterlevnad
- GDPR-anpassad
- Leverantörer har ISO 27001 och SOC 2 Type II. Underlag på begäran.
01
Autentisering och säkerhet
Hur vi säkerställer att rätt personer, och bara rätt personer, släpps in.
Tvåfaktorsautentisering (MFA)
Aktiverat för alla admin- och personalkonton.
Live
Lösenordsprinciper
Anpassade till relevant leverantörs standarder (t.ex. Microsoft för Azure-konton).
Live
Certifikat- och nyckelrotation
Alla certifikat och nycklar roteras regelbundet, många hanteras automatiskt av molnleverantörer. Manuella uppgifter uppdateras var 90:e dag.
Live
BankID-integration
Starkare användarautentisering och identitetsverifiering i användarappen.
Planerat
02
Datahosting och plats
Var er data lever, och certifieringarna som ligger under.
Primär infrastruktur
CLVR Benefits kör på Microsoft Azure för virtuella maskiner och hanterad lagring.
Live
Databassäkerhetskopior och fillagring
Databassäkerhetskopior och fillagring hanteras via Amazon AWS S3.
Live
Geografiska begränsningar
Alla servrar och data hostas enbart inom Europa. Kunddata lämnar aldrig EU/EES.
Live
Compliance-certifieringar
Både Azure och AWS har branschledande certifieringar (ISO 27001, SOC 2, GDPR-compliance).
Live
03
Data i vila
Hur kunddata skyddas när den har landat i våra system.
Databaskryptering
All kunddata krypterad i vila med Azures inbyggda lagringskryptering (AES-256 med plattformshanterade nycklar).
Live
Databassäkerhetskopior
Automatiserade var 24:e timme, sparas i 7 dagar. Lagras i Amazon S3 med SSE-S3 server-side encryption.
Live
Kryptering på applikationsnivå
AES-GCM-kryptering för mycket känsliga fält med nycklar i Key Vault.
Planerat
04
Data under överföring
Hur trafiken mellan er, appen och vår databas hålls förseglad.
Nätverksisolering
All app–databastrafik begränsad till internt nätverk. Postgres exponeras inte mot internet; port 5432 blockerad i Azure NSG.
Live
TLS-anslutningar till databas
All applikation–databastrafik använder TLS med full certifikatverifiering (sslmode=verify-full).
Live
HTTPS-tvång
All webbtrafik krypterad med HTTPS.
Live
Säkra cookies
Alla cookies sätts med HttpOnly, Secure och SameSite=strict för att skydda sessionsintegritet.
Live
05
Datastyrning
Pappersspåret, lagringsregler och avtalen bakom kontrollerna.
Register över behandlingsaktiviteter (RoPA)
Dokumenterat internt i kodbasen och granskat vid varje release.
Live
Datalagringsprinciper
Raderings- och anonymiseringsregler dokumenterade internt och granskade vid varje release.
Live
Databehandlingsavtal (DPA)
Spåras internt med alla tredjepartsleverantörer; dokumentation finns och underhålls, väntar på formella signaturer.
Pågående
06
Registrerades rättigheter
Era rättigheter under GDPR, och hur ni utövar dem hos oss.
Processer för begäran från registrerade
Etablerade processer för åtkomst-, korrigerings-, raderings- och portabilitetsbegäran med 30 dagars svarstid. Kontakta trust@clvrbenefits.com för begäranden.
Live
Integritetspolicy
Vår integritetspolicy finns här.
Live
07
Underbiträden
Leverantörerna vi delar data med för att driva tjänsten, och vad var och en används till.
Amazon Web Services
aws.amazon.com
Molnlagring för uppladdade filer och krypterade säkerhetskopior av databasen, placerad i EU-regioner.
EU-regionerISO 27001SOC 2
Microsoft Azure
azure.microsoft.com
Värdinfrastruktur och identitetsleverantör för organisationsinloggning (OAuth via Entra ID).
EU-regionerISO 27001SOC 2
Anthropic
anthropic.com
Valfri AI-skanning av kvitton och automatiskt godkännande av utlägg. Endast kvittobilder och kategorinamn skickas. Data används inte för att träna modeller.
EU-routingSOC 2
PostHog
posthog.com
Produktanalys för att förstå och förbättra hur plattformen används.
EU-regionerSOC 2
HubSpot
hubspot.com
Endast marknads-CRM. Innehåller leads från vår webbplats (formulärsvar, demoförfrågningar). Ingen kund-, anställd- eller lönedata skickas någonsin till HubSpot.
USA (SCC)ISO 27001SOC 2
08
AI och automation
Var AI rör er data, och skyddsräcken kring varje yta.
AI-kvittoskanning
Valfri funktion för utläggsrapportuppladdning. När aktiverad av företaget skickas kvittobilder till Claude (Anthropic) för extrahering av leverantör, datum, belopp och moms. Endast kvittobilden och förmånskategorinamn skickas. Inga medarbetarnamn, e-post eller annan personlig data. Vi använder inte din data för att träna modeller. Vi behåller endast det som behövs för funktionen och för revisionsändamål. Företag kan inaktivera funktionen i AI-inställningar.
Live
AI-automatiserad utläggsutvärdering
Valfri funktion som utvärderar friskvårdsutlägg för automatiskt godkännande eller avslag. HR har full överblick: varje AI-beslut visas med konfidenspoäng och motivering, och alla beslut kan ångras när som helst. Utlägg där AI-konfidens är under 85% skickas till manuell granskning. Alla beslut loggas med fullständig revisionslogg.
Live
09
Produktsäkerhet
Hur koden som driver era förmåner byggs och skeppas.
Säker åtkomst till källkod
Åtkomst begränsad till behöriga teammedlemmar. GitHub används med tillämpad kontosäkerhet.
Live
Versionshantering och releaseprocess
Strukturerat Git-arbetsflöde (git-flow). Alla ändringar spåras, granskas och mergas till dedikerade brancher.
Live
Miljöseparation
Separata utvecklings- och staging-miljöer säkerställer noggrann testning före produktion.
Live
Testdatahantering
Testdata noggrant vald, anonymiserad och hanterad för att undvika känslig personlig information i icke-produktion.
Live
Modern säker teknikstack
Byggd med branschstandard webbtekniker, containeriserad infrastruktur och hanterade molntjänster. Regelbundet uppdaterad med säkerhetsuppdateringar.
Live
Granskning av beroenden och paket
Alla externa paket granskas före adoption. Övervaka sårbarheter och uppdatera snabbt.
Live
10
Säkerhetsdrift
Daglig drift: vem får göra vad, vad vi loggar, och vad som händer när något går sönder.
Åtkomstkontroll
Intern åtkomst begränsad till behörig personal med principen om minsta behörighet. Administrativ åtkomst begränsad.
Live
Hantering av hemligheter
Uppgifter injiceras som miljövariabler, aldrig committade till kod eller lagrade i klartext.
Live
Systemuppdateringar
Regelbunden uppdatering av OS, Docker-images och PostgreSQL.
Live
Övervakning på applikationsnivå
Realtidsfelupptäckt och avvikelseövervakning via PostHog.
Live
Övervakning på systemnivå
Postgres autentiseringsloggar, brandväggshändelser (UFW) och systemsäkerhetsloggar med larm vid misstänkt aktivitet.
Planerat
Incidenthanteringsplan
72-timmars process för rapportering av dataintrång internt, tillgänglig på begäran, granskad efter betydande ändringar.
Live