1. Introduktion
EXON Insurance Platform är designad med säkerhet som grundprincip. Denna policy beskriver våra tekniska och organisatoriska säkerhetsåtgärder i enlighet med DORA (Digital Operational Resilience Act), GDPR, IDD och tillämpliga svenska regelverk.
2. DORA-efterlevnad
DORA (Förordning (EU) 2022/2554) ställer krav på digital operativ motståndskraft för finansiella entiteter. EXON stödjer våra kunders DORA-efterlevnad genom:
2.1 ICT-riskhantering
- Dokumenterad riskhanteringsprocess
- Regelbundna riskbedömningar
- Kontinuerlig sårbarhetshantering
- Incidenthantering och rapportering
2.2 ICT-incidentrapportering
- Klassificering av incidenter enligt DORA-kriterier
- Automatiserad detektering och alerting
- Incidentrapporter tillgängliga för tillsynsmyndigheter
- Post-incident analys och åtgärder
2.3 Digital operativ resiliens-testning
- Årliga penetrationstester av oberoende tredje part
- Scenariobaserad testning
- Disaster recovery-övningar
- Business continuity-planering
2.4 Hantering av tredjepartsrisker
- Due diligence av alla kritiska leverantörer
- Kontraktuella säkerhetskrav
- Löpande övervakning av leverantörer
- Exit-strategier för kritiska tjänster
3. Tekniska säkerhetsåtgärder
3.1 Kryptering
| Typ | Standard | Användning |
|---|---|---|
| Data i transit | TLS 1.3 | All kommunikation |
| Data i vila | AES-256 | Databas och backuper |
| Lösenord | Argon2id | Hashning av lösenord |
| API-nycklar | AES-256-GCM | Krypterade i databas |
3.2 Autentisering och åtkomstkontroll
- Tvåfaktorsautentisering (2FA) - TOTP-baserad
- Single Sign-On (SSO) - SAML 2.0 och OIDC (Enterprise)
- Rollbaserad åtkomstkontroll (RBAC) - Granulära behörigheter
- Session management - Automatisk utloggning efter inaktivitet
- IP-allowlisting - Valfri begränsning (Enterprise)
3.3 Nätverkssäkerhet
- Web Application Firewall (WAF)
- DDoS-skydd via Vercel Edge Network (DPF-certifierad)
- Rate limiting på alla API-endpoints
- Geografisk begränsning (valfritt)
3.4 Infrastruktur och dataflöden
| Komponent | Leverantör | Region | Certifiering |
|---|---|---|---|
| Databas | Supabase | EU (Frankfurt) | SOC 2 Type II |
| Serverless Functions | Vercel | EU (Frankfurt) | SOC 2 Type II, DPF |
| Edge/CDN | Vercel | Global (DPF)* | SOC 2 Type II, DPF |
| AI | Mistral AI | Frankrike (EU) | GDPR-native |
*Edge-funktioner och DDoS-skydd involverar global infrastruktur. Vercel är certifierad under EU-US Data Privacy Framework (DPF) för laglig dataöverföring.
3.4 Applikationssäkerhet
- OWASP Top 10 - Skydd mot vanliga sårbarheter
- Content Security Policy (CSP)
- Input-validering och sanitering
- SQL injection-skydd via parameteriserade frågor
- XSS-skydd
- CSRF-skydd
4. Organisatoriska säkerhetsåtgärder
4.1 Personal
- Bakgrundskontroll av anställda
- Obligatorisk säkerhetsutbildning
- Principen om minsta behörighet
- Sekretessavtal
4.2 Fysisk säkerhet
- Datacenter med ISO 27001-certifiering
- Biometrisk åtkomstkontroll
- 24/7 övervakning
- Redundant strömförsörjning och kylning
4.3 Säkerhetspolicyer
- Informationssäkerhetspolicy
- Incidenthanteringspolicy
- Business Continuity Plan
- Disaster Recovery Plan
5. Övervakning och loggning
5.1 Audit trail
Alla åtgärder loggas, inklusive:
- Inloggningar och utloggningar
- Dataåtkomst och ändringar
- Administrativa åtgärder
- API-anrop
5.2 Logghantering
| Loggtyp | Retention |
|---|---|
| Säkerhetsloggar | 24 månader |
| Åtkomstloggar | 12 månader |
| Applikationsloggar | 90 dagar |
6. Incidenthantering
6.1 Incidentklassificering
| Nivå | Beskrivning | Svarstid |
|---|---|---|
| Kritisk | Dataintrång, systemkompromiss | Omedelbart |
| Hög | Försök till intrång, sårbarhet | 4 timmar |
| Medium | Policy-överträdelse | 24 timmar |
6.2 Notifiering
Vid säkerhetsincident som påverkar personuppgifter notifieras:
- Påverkade kunder: Inom 24 timmar
- Integritetsskyddsmyndigheten: Inom 72 timmar (vid GDPR-incident)
- Finansinspektionen: Enligt DORA-krav
7. Backup och återställning
- Daglig backup - Automatisk backup kl 03:00 CET
- Geografisk redundans - Backup i separat EU-region
- Point-in-time recovery - Upp till 7 dagar
- RTO - Recovery Time Objective: 4 timmar
- RPO - Recovery Point Objective: 1 timme
8. Säkerhetstestning
| Test | Frekvens | Utförare |
|---|---|---|
| Penetrationstest | Årligen | Oberoende tredje part |
| Sårbarhetsscanning | Veckovis | Automatiserat |
| Kodgranskning | Kontinuerligt | Internt + automatiserat |
| DR-test | Halvårsvis | Internt |
9. Rapportering av sårbarheter
Vi uppmuntrar ansvarsfull rapportering av säkerhetssårbarheter. Kontakta oss på security@exon.insure.
Vi åtar oss att:
- Bekräfta mottagande inom 24 timmar
- Hålla rapportören informerad om åtgärder
- Inte vidta rättsliga åtgärder mot goodfaith-rapportörer
10. Kontakt
Chief Information Security Officer (CISO)
E-post: security@exon.insure