Säkerhetsrapport

Sammanfattning

Denna säkerhetsrapport beskriver Riflas säkerhetsarkitektur, tekniska åtgärder och compliance-status för vår AI-drivna plattform för dokumentextraktion. Rapporten visar hur vi skyddar kunders känsliga dokument och personuppgifter enligt branschens högsta standarder.

Nyckeldata

• Säkerhetsnivå: Bankstandard (AES-256)
• GDPR-compliance: ✅ Fullt efterlevnad
• Dataplacering: EU/EES (AWS Frankfurt)
• Kryptering: End-to-end med kundspecifika nycklar
• Uppdateringsfrekvens: Kontinuerlig säkerhetsövervakning
• Incidenthistorik: Inga rapporterade säkerhetsincidenter (2025)

1. Säkerhetsöversikt

1.1 Säkerhetsarkitektur

┌─────────────────────────────────────────────────────┐
│              ANVÄNDARE (EU/Sverige)                 │
└────────────────────┬────────────────────────────────┘
                     │ TLS 1.3 Krypterad
                     ▼
┌─────────────────────────────────────────────────────┐
│         ÅTKOMSTKONTROLL & AUTENTISERING            │
│  • MFA (Multi-Factor Authentication)                │
│  • Azure AD / SAML / LDAP                          │
│  • Rollbaserad åtkomstkontroll (RBAC)             │
└────────────────────┬────────────────────────────────┘
                     │
                     ▼
┌─────────────────────────────────────────────────────┐
│            APPLIKATIONSLAGER                        │
│  • API Gateway med rate limiting                    │
│  • Inputvalidering & sanitering                     │
│  • Session management                               │
└────────────────────┬────────────────────────────────┘
                     │
                     ▼
┌─────────────────────────────────────────────────────┐
│         AI-EXTRAKTIONSLAGER                         │
│  • Isolerade processcontainers                      │
│  • Zero Data Training-garanti                       │
│  • Human-in-the-Loop validering                     │
└────────────────────┬────────────────────────────────┘
                     │
                     ▼
┌─────────────────────────────────────────────────────┐
│            DATALAGER (EU/EES)                       │
│  • AES-256 kryptering at rest                       │
│  • Kundspecifika krypteringsnycklar                 │
│  • Krypterad databas (PostgreSQL)                   │
│  • Geografisk redundans inom EU                     │
└─────────────────────────────────────────────────────┘

1.2 Säkerhetsprinciper

2. Tekniska Säkerhetsåtgärder

2.1 Kryptering

Data in Transit (Under överföring)

• TLS 1.3 för all kommunikation
• Perfect Forward Secrecy (PFS)
• Certifikat: Let’s Encrypt / DigiCert
• Cipher suites: Endast starka, moderna algoritmer
• HSTS: HTTP Strict Transport Security aktiverat

Data at Rest (I vila)

• AES-256-GCM kryptering för all lagrad data
• Kundspecifika krypteringsnycklar – separat per kund
• Key rotation: Automatisk nyckelrotation var 90:e dag
• HSM (Hardware Security Module): För nyckelhantering
• Krypterade backuper: Alla backuper krypteras

End-to-End Kryptering

Användare → Kryptering → Upload → Lagrad krypterad → Dekryptering vid användning
            (klientsidan)           (servern)          (med användarens nyckel)

Zero-Knowledge arkitektur:
Vi kan INTE läsa era dokument utan era krypteringsnycklar.

2.2 Åtkomstkontroll

Autentisering

• Multi-Factor Authentication (MFA): Obligatorisk för administrativa roller
• Single Sign-On (SSO):
  • Azure AD (SAML 2.0)
  • LDAP/Active Directory
  • OAuth 2.0 / OpenID Connect
• Lösenordspolicy:
  • Minst 12 tecken
  • Komplexitetskrav (stora/små bokstäver, siffror, specialtecken)
  • Ingen återanvändning av senaste 12 lösenorden
  • Automatisk utloggning efter 30 minuters inaktivitet
• Sessionshantering:
  • Säkra, krypterade sessions-tokens
  • Automatisk session timeout
  • Omedelbar invalidering vid utloggning

Auktorisering – Rollbaserad Åtkomstkontroll (RBAC)

Granulär Åtkomstkontroll

• Fältnivå: Styr åtkomst ner till enskilda datafält
• Dokumentnivå: Per dokument, dokumenttyp eller kategori
• Avdelningsnivå: Baserat på organisationsstruktur
• Tidsbegränsad åtkomst: Tillfälliga behörigheter med automatisk utgång
• Geografisk begränsning: IP-baserad åtkomstbegränsning (valfritt)

2.3 Loggning och Övervakning

Audit Trail – Fullständig Spårbarhet

Alla aktiviteter loggas med följande information:

• Vem: Användar-ID och namn
• Vad: Specifik handling (visning, redigering, radering, export)
• När: Exakt tidsstämpel (ISO 8601 format)
• Var: IP-adress och geografisk plats
• Hur: Vilket system/API/gränssnitt
• Resultat: Lyckades eller misslyckades

Loggade Händelser

✅ Inloggningar (lyckade och misslyckade)
✅ Dokumentuppladdningar och nedladdningar
✅ Dataextraktion och AI-behandling
✅ Ändringar av användardata
✅ Behörighetsändringar
✅ Systemkonfigurationsändringar
✅ API-anrop
✅ Säkerhetshändelser och avvikelser

Säkerhetsövervakning

• SIEM (Security Information and Event Management): Real-time analys
• Intrusion Detection System (IDS): Upptäcka misstänkt aktivitet
• Anomaly Detection: AI-baserad avvikelsedetektering
• 24/7 Monitoring: Kontinuerlig övervakning av kritiska system
• Alerting: Automatiska varningar vid säkerhetshändelser

Logglagring

• Lagringstid: 12 månader för säkerhetsloggar
• Krypterad lagring: Alla loggar krypteras
• Oföränderlig loggning: Loggar kan inte ändras eller raderas
• Backup: Daglig backup av loggar till separat system
• Åtkomst: Endast säkerhetspersonal och auditörer

2.4 Nätverkssäkerhet

Perimetersäkerhet

• Web Application Firewall (WAF): Cloudflare Enterprise
• DDoS-skydd: Automatisk mitigering av attacker
• Rate Limiting: Begränsar antal förfrågningar per användare
• IP Whitelisting: Möjlighet att begränsa åtkomst till kända IP-adresser
• VPN-åtkomst: För administrativ åtkomst

Nätverkssegmentering

Internet → WAF → Load Balancer → Applikationsservrar (DMZ)
                                          ↓
                                  Isolerat nätverk
                                          ↓
                              Databasservrar (Protected Zone)

API-säkerhet

• OAuth 2.0: För API-autentisering
• Rate Limiting: Max antal anrop per minut
• API Keys: Krypterade och roterade regelbundet
• Input Validation: Alla API-anrop valideras
• Versionering: Äldre osäkra versioner inaktiveras

2.5 Applikationssäkerhet

Säker Utveckling

• OWASP Top 10: Alla kända sårbarheter åtgärdade
• Code Review: Peer review av all kod
• Static Analysis (SAST): Automatiserad kodanalys
• Dynamic Analysis (DAST): Testning av körande applikation
• Dependency Scanning: Kontroll av tredjepartsbibliotek
• Security Testing: I varje release-cykel

Vanliga Sårbarheter – Åtgärdade

Content Security Policy (CSP)

Content-Security-Policy: 
  default-src 'self'; 
  script-src 'self' 'unsafe-inline' cdnjs.cloudflare.com;
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self' cdnjs.cloudflare.com;
  connect-src 'self' *.rifla.se;
  frame-ancestors 'none';

3. Infrastruktur och Hosting

3.1 Cloud Provider – AWS (Frankfurt, EU)

3.2 Infrastrukturkomponenter

Compute

• EC2: t3.xlarge – m5.2xlarge (auto-scaling)
• ECS/Fargate: Containeriserade microservices
• Lambda: Serverless funktioner för specifika uppgifter
• Auto Scaling: Automatisk skalning baserat på belastning

Storage

• S3: Dokument och filer (krypterade buckets)
• EBS: Krypterade volymer för databaser
• Backup: Automatiska snapshots var 6:e timme

Database

• RDS PostgreSQL: Multi-AZ deployment
• Encryption: AES-256 at rest och TLS in transit
• Automated Backups: Dagliga backuper, 30 dagars retention
• Point-in-Time Recovery: Möjlighet att återställa till valfri tidpunkt

Networking

• VPC: Isolerat virtuellt nätverk
• Private Subnets: Databaser i privata subnät
• Security Groups: Strikt brandväggsregler
• Network ACLs: Ytterligare nätverkskontroll

3.3 Tillgänglighet och Redundans

Disaster Recovery Plan

1. Backup: Kontinuerliga backuper till sekundär EU-region
2. Failover: Automatisk växling vid störningar
3. Testing: Kvartalsvis test av återställningsplan
4. Dokumentation: Detaljerad runbook för incidenter

4. AI och Maskininlärning

4.1 AI-säkerhet

Zero Data Training-garanti

❌ ANVÄNDS INTE för AI-träning:
   • Kunddokument
   • Extraherad data
   • Kundspecifik information
   • Personuppgifter

✅ ANVÄNDS för AI-träning:
   • Offentliga dataset
   • Anonymiserade data
   • Syntetiska dataset
   • Open source dataset

Modellsäkerhet

• Isolerade miljöer: Varje kunds data processeras isolerat
• Model versioning: Kontrollerad deployment av AI-modeller
• Bias testing: Regelbunden testning för snedvridning
• Adversarial testing: Skydd mot adversariella attacker
• Output validation: Automatisk kvalitetskontroll

4.2 Human-in-the-Loop Process

Dokument → AI Extraktion → Kvalitetskontroll → Mänsklig Granskning → Godkännande
            (80-95%)         (automatisk)         (kritiska fält)      (slutanvändare)

Kritiska beslut: Granskas ALLTID manuellt av kvalificerad personal

5. Organisatoriska Säkerhetsåtgärder

5.1 Personal och Åtkomst

Anställningsprocess

1. Bakgrundskontroll: Alla medarbetare med tillgång till kundinformation
2. Säkerhetsutbildning: Obligatorisk vid anställning
3. NDA (Non-Disclosure Agreement): Alla medarbetare
4. Princip om minsta behörighet: Endast nödvändig åtkomst

Löpande Åtgärder

• Årlig säkerhetsutbildning: GDPR, IT-säkerhet, social engineering
• Phishing-simulationer: Kvartalsvis test
• Säkerhetsmedvetenhet: Månatliga tips och uppdateringar
• Incident Response Training: Halvoårlig övning

Åtkomsthantering

5.2 Policyer och Processer

Dokumenterade Policyer

✅ Informationssäkerhetspolicy
✅ Lösenordspolicy
✅ Acceptable Use Policy
✅ Incident Response Plan
✅ Backup och Recovery Policy
✅ Change Management Policy
✅ Vendor Management Policy
✅ Data Classification Policy

Review-cykel

• Årlig genomgång: Alla säkerhetspolicyer
• Uppdatering: Vid väsentliga förändringar
• Godkännande: VD och säkerhetsansvarig

5.3 Tredjepartsleverantörer

Vendor Risk Management

Alla leverantörer genomgår:

1. Säkerhetsbedömning: Innan avtal signeras
2. Due Diligence: Kontroll av säkerhetscertifieringar
3. Kontraktuella krav: Säkerhets- och sekretessklausuler
4. Årlig Review: Utvärdering av säkerhetsstatus
5. Incident Notification: Krav på rapportering vid intrång

Kritiska Leverantörer

6. GDPR Compliance

6.1 GDPR-principer

6.2 Privacy by Design & Default (Artikel 25)

Inbyggda säkerhetsfunktioner:

• Kryptering som standard (ej opt-in)
• Minimala behörigheter vid kontouppstart
• Pseudonymisering när möjligt
• Automatisk dataradering enligt policy

6.3 Registrerades Rättigheter

6.4 Dataskyddskonsekvensanalys (DPIA)

Genomförd DPIA för:

• AI-driven dokumentextraktion
• Storskalig behandling av känsliga dokument
• Rollbaserad åtkomstkontroll

Resultat: Låg risk med implementerade säkerhetsåtgärder

6.5 Personuppgiftsbiträden

Personuppgiftsbiträdesavtal (DPA) enligt Artikel 28:

• Tydliga instruktioner för behandling
• Säkerhetsåtaganden
• Sub-processor godkännande
• Assistans vid registrerades rättigheter
• Möjlighet till revision

7. Incidenthantering

7.1 Incident Response Plan

Fas 1: Detektering (0-1 timme)

• Automatiska varningar från SIEM
• Manuell rapportering från användare/personal
• Aktivering av incident response team

Fas 2: Analys och Containment (1-4 timmar)

• Bedöma omfattning och allvarlighetsgrad
• Isolera påverkade system
• Bevara bevis för forensisk analys
• Dokumentera alla åtgärder

Fas 3: Utrensning och Recovery (4-24 timmar)

• Åtgärda säkerhetsbrister
• Återställa från backuper om nödvändigt
• Verifiera systemintegritet
• Gradvis återställande av tjänster

Fas 4: Rapportering (< 72 timmar)

• Integritetsskyddsmyndigheten (IMY): Inom 72h (Artikel 33)
• Berörda registrerade: Utan dröjsmål vid hög risk (Artikel 34)
• Intern dokumentation: Fullständig incident rapport

Fas 5: Post-Incident (Efter incident)

• Root cause analysis
• Lessons learned
• Uppdatering av säkerhetskontroller
• Utbildning av personal

7.2 Incidentklassificering

7.3 Incidenthistorik (2025)

Uptime 2025: 99.97%
Säkerhetsincidenter: 0
False positives: 23 (alla hanterade inom SLA)