Senast uppdaterad: 2026-05-02
Sammanfattning
Wiseplan är ännu inte ISO 27001-certifierat. Vi körs på modern molninfrastruktur med etablerade säkerhetsrutiner (Lovable Cloud / Supabase, Cloudflare, Stripe) och arbetar enligt principer för säker drift, åtkomstkontroll, dataskydd och loggning. Formell certifiering och extern penetrationstestning är planerade steg inför bredare Pro- och teamlansering. All data är krypterad i transit (TLS 1.3) och i vila (AES-256), och varje företags data är tekniskt separerad via Row Level Security.
| Krypterad trafik (TLS 1.3) | Aktivt |
| Rollbaserad åtkomst | Aktivt |
| Separering av användardata (RLS) | Aktivt |
| Loggning av viktiga händelser | Aktivt |
| Underleverantörer med etablerade säkerhetsprogram | Används |
| Extern penetrationstestning | Planerad |
| Wiseplan ISO 27001-certifiering | Ej certifierat ännu |
Tekniska kontroller
| Autentisering | E-post + lösenord (bcrypt), Google OAuth, MFA tillgängligt |
| Åtkomstkontroll | Roller (admin/montör), Row Level Security per företag |
| Kryptering i transit | TLS 1.3, HSTS, certifikat via Cloudflare |
| Kryptering i vila | AES-256 (databas + uppladdade filer) |
| Audit-logg | Alla känsliga åtgärder loggas, granskbart för admin |
| Backup | Point-in-time 7 dagar, dagliga snapshots 30 dagar |
| Sårbarhetsskanning | Vid varje deploy + säkerhetspatchar inom 14 dagar |
| GDPR-radering | Självservice, hard-delete inom 30 dagar |
Underleverantörer
Vi använder tredjepartstjänster som alla har egna säkerhetscertifieringar. Komplett förteckning finns i vårt underbiträdesregister.
- Lovable Cloud (Supabase / AWS) — databas, auth, filer, edge functions
- Cloudflare — DNS, CDN, DDoS-skydd
- Stripe — betalningar (PCI DSS Level 1)
- Resend — transaktionell e-post
- Fortnox / Visma eEkonomi — bokföringsexport (opt-in per företag)
Standarder & efterlevnad
- ✅ GDPR — fullständig integritetspolicy
- ✅ OWASP Top 10 — adresserat (RLS, CSP, rate-limiting, input-validering)
- ✅ PCI DSS — via Stripe (vi lagrar inga kortuppgifter)
- ⏳ ISO 27001 — tekniskt redo, formell certifiering planerad
- ⏳ Penetrationstest — planerat inför Pro-launch
Incident & rapportering
Vid säkerhetsincident följer vi en formell rutin med anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar vid personuppgiftsincident, samt direkt information till berörda kunder.
Hittat ett säkerhetsproblem? Vi tillämpar ansvarsfull disclosure. Skicka detaljer till security@wiseplan.se så svarar vi inom 48 timmar.
Delat ansvar
Wiseplan ansvarar för: säker drift, kryptering, patchning, backup, återställning.
Du som företag ansvarar för: starka lösenord + MFA aktiverat, korrekt rollsättning av medarbetare, att inte dela inloggning, att avaktivera tidigare anställdas konton.
Kontakt
- Säkerhet: security@wiseplan.se
- DPA / juridik: support@wiseplan.se
- Allmänt: kontaktformulär