Datasäkerhet
Hur vi skyddar dina uppgifter: kryptering, åtkomstkontroller, sårbarhetredovisning och incidenthantering.
Säkerhet hos CRA Evidence
CRA Evidence körs på AWS-infrastruktur i EU (Dublin, Irland). All kunddata krypteras under överföring och i vila. Vi tillämpar strikt klientisolering — er organisations data är aldrig tillgänglig för andra kunder. Vi är ett grundarlett företag i betafasen och är transparenta med vår nuvarande säkerhetsstatus och vår färdplan.
Infrastruktur
| Detalj | Värde |
|---|---|
| Molnleverantör | Amazon Web Services (AWS) |
| Region | eu-west-1 (Dublin, Irland) |
| Dataresidensskap | All kunddata lagras uteslutande i EU |
| Nätverk | VPC med privata subnät, NAT Gateway, inga offentliga IP-adresser på applikationsbehållare |
| Administratörsåtkomst | Zero-trust VPN med enhetsbaserad autentisering och åtkomstkontroller med minsta privilegium |
| Intern trafik | VPC-slutpunkter för S3 och SES (trafik passerar aldrig det offentliga internet) |
| DDoS-skydd | AWS Shield Standard |
| Infrastrukturrevision | AWS CloudTrail för hanteringsplanets åtgärder |
| Applikationsrevision | Oföränderlig revisionslogg för alla användaråtgärder (165+ händelsetyper, sekvensverifierade) |
Kryptering
| Lager | Metod |
|---|---|
| Under överföring | TLS 1.2 eller högre på alla anslutningar (HTTPS tillämpas) |
| I vila | AES-256 via AWS (RDS, S3, EBS-volymer) |
| Nyckelhantering | AWS KMS (nycklar lämnar aldrig KMS-gränsen) |
| Lösenord | Argon2id-hashning (minneskrävande, motståndskraftig mot GPU/ASIC-attacker) |
| API-nycklar | SHA-256-hashade innan lagring (klartext sparas aldrig) |
Autentisering och åtkomstkontroll
- Inloggning: E-post/lösenord med Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
- MFA: TOTP-baserad multifaktorautentisering med säkerhetskoder; organisationer kan kräva MFA för alla medlemmar
- Sessioner: JWT-åtkomsttokens (kortlivade) med roterande uppdateringstokens
- Botskydd: Cloudflare Turnstile på autentiseringsslutpunkter
- CSRF: Tokenbaserat skydd för alla tillståndsförändrande åtgärder
- RBAC: Fyra roller per organisation — Ägare, Admin, Medlem, Läsare — enligt principen om minsta privilegium
- API-nycklar: Begränsade behörigheter, SHA-256-hashade, individuellt återkallbara
- SSO-tvång: Organisationer kan kräva SAML SSO för alla medlemmar
Klientisolering
CRA Evidence är en plattform med flera klienter. Varje databasfråga filtrerar på organisation_id på servicenivå:
- Organisationer kan inte komma åt, fråga eller referera till en annan organisations data
- SBOM-data, sårbarhetsinformation, produkter och efterlevnadsdokument är alla begränsade till den ägande organisationen
- Lagringsvägar är separerade efter organisations-ID
- Revisionsloggning spårar all dataåtkomst per organisation
Sårbarhetshantering
- Vulnerability Knowledge Base: Självhostad flerkällsårbarhetsskanning med 15-minuterssynkronisering från NVD, OSV.dev, GitHub Advisories, CISA KEV och EPSS. Vår sårbarhetsskanner körs som oberoende verifieringslager.
- Beroendövervakning: Automatiserade kontroller av applikationsberoenden
- Patchhantering: Regelbundna uppdateringar av applikations- och infrastrukturkomponenter
- Penetrationstest: Oberoende penetrationstest planerat (se Färdplan nedan)
Affärskontinuitet och katastrofåterställning
| Detalj | Värde |
|---|---|
| Databassäkerhetskopior | Krypterade dagliga automatiserade RDS-ögonblicksbilder |
| SBOM-lagring | S3 med 99,999999999 % hållbarhet (11 nior) |
| Drifttidsåtagande | 99,5 % (per serviceavtal) |
| RPO | 24 timmar (dagliga säkerhetskopior) |
| RTO | Mål 4 timmar |
| Driftsättning | Enkel region (eu-west-1) — multi-AZ planerat |
| Incidentsvar | Grundarlett övervakning och svar under betafasen |
Datalagring
- Aktiva kontodata: Sparas medan prenumerationen är aktiv
- Raderade konton: Data raderas inom 30 dagar efter begäran
- Revisionsloggar: Sparas i 10 år enligt CRA Artikel 13(14)-krav
- Säkerhetskopior: Krypterade dagliga automatiserade ögonblicksbilder
GDPR och integritet
- Personuppgiftsbiträdesavtal (DPA): Tillgängligt på begäran (privacy@craevidence.com)
- Register över behandlingsaktiviteter (ROPA): Upprätthålls enligt GDPR Artikel 30
- Underbiträden: Publicerad lista med 30 dagars ändringsavisering
- Dataportabilitet: SBOM-export i standardformat (CycloneDX, SPDX)
- Radering av data: Konto och alla tillhörande data raderas inom 30 dagar efter begäran
- Integritetspolicy: Läs vår integritetspolicy
Efterlevnad
Vår efterlevnad
- Efterlevnad av GDPR (EU 2016/679) — ROPA, DPA, lista över underbiträden, integritetspolicy
- EU-dataresidensskap — all data i AWS eu-west-1 (Dublin, Irland)
- RFC 9116 — security.txt publicerad
- ISO 29147/30111-anpassad — Koordinerad sårbarhetsinformation process
Infrastrukturleverantörens certifieringar
AWS upprätthåller följande certifieringar för eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (tyska BSI).
Färdplan
- Oberoende penetrationstest — planerat
- SOC 2 Type II — planerat
- ISO 27001 — under utvärdering
Vi bygger vår efterlevnadsstatus parallellt med vår produkt. Denna sida speglar var vi befinner oss idag.
Sårbarhetsinformation
Vi välkomnar ansvarsfull säkerhetsforskning. Om du upptäcker en sårbarhet i vår plattform, vänligen rapportera den.
Hur du rapporterar
- E-post: security@craevidence.com
- Svar: Bekräftat inom 24 timmar, initial bedömning inom 7 arbetsdagar
Omfattning
- Inom omfattning: *.craevidence.com, CRA Evidence API, CRA Evidence CLI
- Utanför omfattning: Tredjepartstjänster, social ingenjörskonst, denial-of-service-attacker
Safe Harbor
Vi kommer inte att vidta rättsliga åtgärder mot säkerhetsforskare som:
- Agerar i god tro
- Undviker integritetskränkningar, dataförstöring eller avbrott i tjänsten
- Rapporterar fynd omgående och tillåter rimlig tid för åtgärd
CVD-policy
Vi följer ISO 29147/30111-standarder för Koordinerad sårbarhetsinformation.
Kontakt
- Säkerhetsrapporter: security@craevidence.com
- Integritetsförfrågningar: privacy@craevidence.com
- DPA-begäranden: privacy@craevidence.com
Senast uppdaterad: februari 2026.
Frågor om våra säkerhetspraxis?
Vi är engagerade i transparens. Hör av dig om du har säkerhetsrelaterade frågor.