Hur vi tänker kring säkerhet
Vi behandlar säkerhet som en grundläggande egenskap hos produkten, inte som en extra funktion. Det innebär: standardinställningar som är säkra, konfigurationer som är minimala, beroenden som hålls uppdaterade och åtkomst som beviljas efter behov snarare än bekvämlighet. Samma ingenjörer som levererar funktioner hanterar också säkerhetsimplikationerna av dessa funktioner.
Denna sida sammanfattar vad vi gör – de certifieringar vi innehar, var data finns, hur betalningar skyddas och hur du rapporterar en sårbarhet om du hittar en.
Certifieringar och efterlevnad
Vi är bundna av, och granskar oss själva mot, följande ramverk:
- GDPR – full efterlevnad av EU:s allmänna dataskyddsförordning, inklusive en publicerad integritetspolicy, ett dokumenterat register över behandlingsaktiviteter och en utsedd dataskyddskontakt.
- PCI DSS – betalkortsdata hanteras uteslutande av Stripe, som är PCI Level 1-certifierat. Vi ser, lagrar eller överför aldrig råa kortnummer.
- ISO 27001 – våra hosting- och plattformsleverantörer är certifierade; vårt interna informationssäkerhetsledningssystem speglar samma kontroller.
- SOC 2 Type II – genomförs årligen för den kundvända plattformen.
Kopior av certifikat finns tillgängliga på begäran via kontaktsidan.
Kryptering under överföring och i vila
All trafik till och från webbplatsen använder TLS 1.3; äldre protokoll är inaktiverade på lastbalanseringsnivå. HSTS tillämpas med ett förladdningsfönster så att webbläsare vägrar ansluta över okrypterad HTTP efter första besöket.
Data i vila i vår databas och objektlagring är krypterad med AES-256. Krypteringsnycklar hanteras av molnleverantörens KMS; ingen ingenjör innehar en långlivad klartextnyckel.
Åtkomstkontroller
Produktionsåtkomst är begränsad till ett litet antal namngivna ingenjörer. Autentisering sker via SSO med obligatorisk MFA – vanligtvis en hårdvarusäkerhetsnyckel. Det finns inga delade konton och inga statiska tjänstkontolösenord; varje långlivad credential roteras automatiskt.
Varje åtgärd mot produktionsdata loggas med aktören, tiden och den påverkade posten. Loggar är oföränderliga och behålls i 12 månader.
Betalningssäkerhet
Alla betalningar går via Stripe (och, för polska köpare, Przelewy24). Båda är PCI-DSS-certifierade betalningsprocessorer. Kortformuläret renderas i deras sandlåda så att kortdata aldrig når våra servrar; vi får endast en tokeniserad referens.
Vi aktiverar 3-D Secure 2 som standard och förlitar oss på Stripes riskmotor plus våra egna hastighetsregler för att flagga bedrägeriförsök. Återbetalningar dirigeras tillbaka via den ursprungliga metoden utan manuell hantering av kortdata.
Dina data
Vi samlar in det minimum som krävs för att leverera en beställning: namn, faktureringsadress, e-post, betalningsreferens. Vi säljer aldrig personuppgifter till någon. Vi bäddar inte in tredjepartsannonsspårare.
Enligt GDPR har du rätt att få tillgång till dina data, korrigera dem, exportera dem eller radera dem. Integritetspolicyn förklarar hur du utövar dessa rättigheter och hur länge varje kategori av data behålls.
Ansvarsfull rapportering
Om du tror att du har hittat ett säkerhetsproblem, vänligen skriv till oss via kontaktsidan så svarar vi inom en arbetsdag. Berätta vad problemet är, var och hur man återskapar det. Vi driver för närvarande inget betalt bugg-bounty-program, men vi krediterar rapportörer som följer ansvarsfull rapportering på vår offentliga säkerhetserkännandesida.
Vi ber att du inte testar mot andra användares konton, inte kör automatiserade skannrar mot produktion och inte offentliggör ett problem innan vi har haft möjlighet att åtgärda det.