Datasäkerhet

Hur vi skyddar dina uppgifter: kryptering, åtkomstkontroller, sårbarhetredovisning och incidenthantering.

Säkerhet hos CRA Evidence

CRA Evidence körs på AWS i Europeiska unionen. All kunddata krypteras under överföring och i vila. Vi tillämpar strikt klientisolering: er organisations data är aldrig tillgänglig för andra kunder.

Infrastruktur

  • Moln: Hostat i Europeiska unionen (Dublin, Irland)
  • Dataresidensskap: All kunddata lagras uteslutande i EU
  • Nätverk: Applikationsbehållare körs i privata nätverk utan offentlig exponering
  • Revision: Oföränderlig revisionslogg för alla användaråtgärder (165+ händelsetyper, sekvensverifierade)

Kryptering

  • Under överföring: TLS 1.2 eller högre på alla anslutningar (HTTPS tillämpas)
  • I vila: AES-256-kryptering på alla datalager
  • Nyckelhantering: Dedikerad nyckelhanteringstjänst; nycklar exponeras aldrig för applikationslagret
  • Autentiseringsuppgifter: Lösenord hashade med minneskrävande algoritmer; API-nycklar hashade innan lagring (klartext sparas aldrig)

Autentisering och åtkomstkontroll

  • Inloggning: E-post/lösenord, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: TOTP-baserad multifaktorautentisering med säkerhetskoder; organisationer kan kräva MFA för alla medlemmar
  • Roller: Fyra roller per organisation (Ägare, Admin, Medlem, Läsare), enligt principen om minsta privilegium
  • API-nycklar: Begränsade behörigheter, individuellt återkallbara
  • SSO-tvång: Organisationer kan kräva SAML SSO för alla medlemmar

Klientisolering

CRA Evidence är en plattform med flera klienter. Varje databasfråga filtrerar på organisation_id på servicenivå:

  • Organisationer kan inte komma åt, fråga eller referera till en annan organisations data
  • SBOM-data, sårbarhetsinformation, produkter och efterlevnadsdokument är alla begränsade till den ägande organisationen
  • Lagringsvägar är separerade efter organisations-ID
  • Revisionsloggning spårar all dataåtkomst per organisation

Sårbarhetshantering

  • Vulnerability Knowledge Base: Självhostad flerkällsårbarhetsdatabas med 15-minuterssynkronisering från NVD, OSV.dev, GitHub Advisories, CISA KEV och EPSS. Vår sårbarhetsskanner körs som oberoende verifieringslager.
  • Beroendövervakning: Automatiserade kontroller av applikationsberoenden
  • Patchhantering: Regelbundna uppdateringar av applikations- och infrastrukturkomponenter

Datalagring

  • Aktiva kontodata: Sparas medan prenumerationen är aktiv
  • Raderade konton: Data raderas inom 30 dagar efter begäran
  • Revisionsloggar: Sparas i 10 år enligt CRA Artikel 13(14)-krav
  • Säkerhetskopior: Krypterade dagliga automatiserade ögonblicksbilder

GDPR och integritet

  • Personuppgiftsbiträdesavtal (DPA): Tillgängligt på begäran (privacy@craevidence.com)
  • Register över behandlingsaktiviteter (ROPA): Upprätthålls enligt GDPR Artikel 30
  • Underbiträden: Publicerad lista med 30 dagars ändringsavisering
  • Dataportabilitet: SBOM-export i standardformat (CycloneDX, SPDX)
  • Radering av data: Konto och alla tillhörande data raderas inom 30 dagar efter begäran
  • Integritetspolicy: Läs vår integritetspolicy

Efterlevnad

Vår efterlevnad

  • Efterlevnad av GDPR (EU 2016/679): ROPA, DPA, lista över underbiträden, integritetspolicy
  • EU-dataresidensskap: all data hostad i Europeiska unionen
  • RFC 9116: security.txt publicerad
  • ISO 29147/30111-anpassad: Koordinerad sårbarhetsinformation process

Infrastrukturleverantörens certifieringar

Vår infrastrukturleverantör upprätthåller SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 och C5 (tyska BSI) certifieringar för den EU-region vi använder.

Färdplan

  • Oberoende penetrationstest (planerat)
  • SOC 2 Type II (planerat)
  • ISO 27001 (under utvärdering)

Vi bygger vår efterlevnadsstatus parallellt med vår produkt. Denna sida speglar var vi befinner oss idag.

Sårbarhetsinformation

Vi välkomnar ansvarsfull säkerhetsforskning. Om du upptäcker en sårbarhet i vår plattform, vänligen rapportera den.

Hur du rapporterar

Omfattning

  • Inom omfattning: *.craevidence.com, CRA Evidence API, CRA Evidence CLI
  • Utanför omfattning: Tredjepartstjänster, social ingenjörskonst, denial-of-service-attacker

Safe Harbor

Vi kommer inte att vidta rättsliga åtgärder mot säkerhetsforskare som:

  • Agerar i god tro
  • Undviker integritetskränkningar, dataförstöring eller avbrott i tjänsten
  • Rapporterar fynd omgående och tillåter rimlig tid för åtgärd

CVD-policy

Vi följer ISO 29147/30111-standarder för Koordinerad sårbarhetsinformation.

Kontakt

Senast uppdaterad: mars 2026.

Säkerhetskontakt
Säkerhetsteam
security@craevidence.com
Allmänna förfrågningar
Kontaktformulär
Efterlevnad

Vår efterlevnad

  • Kompatibel med GDPR (EU 2016/679)
  • EU-datahemvist
  • RFC 9116 (security.txt)
  • ISO 29147/30111 anpassad (CVD)

Infrastrukturleverantör

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Vägkarta

  • Oberoende penetrationstestning
  • SOC 2 Type II
  • ISO 27001
Relaterade sidor
integritetspolicyn användarvillkoren Cookie-policy security.txt

Frågor om våra säkerhetspraxis?

Vi är engagerade i transparens. Hör av dig om du har säkerhetsrelaterade frågor.

Kontakta säkerhetsteamet Allmän kontakt