Kvitty

Datasäkerhetspolicy

Denna datasäkerhetspolicy beskriver de tekniska och organisatoriska säkerhetsåtgärder vi vidtar för att skydda dina data.

Senast uppdaterad: 4 januari 2026

1. Introduktion

På Kvitty gör vi skillnad på integritetsskydd (att skydda data från obehörig åtkomst) och datasäkerhet (att säkerställa att data inte går förlorad).

För bokföringsdata är datasäkerhet särskilt kritisk. Att förlora bokföringsunderlag kan få allvarliga konsekvenser för ditt företag. Därför prioriterar vi dataintegritet och tillgänglighet högt genom robusta backup- och återställningsrutiner.

Denna policy beskriver våra säkerhetsåtgärder för att skydda dina data mot både obehörig åtkomst och dataförlust.

2. Dataintegritet och tillgänglighet

Vi säkerställer att dina bokföringsdata och övriga uppgifter är säkra och tillgängliga genom:

  • Kontinuerliga backuper: Automatiska säkerhetskopior av databasen
  • Point-in-time återställning: Möjlighet att återställa data till valfri tidpunkt
  • Redundans: Data replikeras över flera servrar och datacenter
  • Katastrofåterställning: Rutiner för att återställa tjänsten vid allvarliga incidenter

3. Backup-strategi

Våra säkerhetskopieringsrutiner säkerställer att dina data kan återställas vid behov:

3.1 Databas-backuper

  • Kontinuerliga backuper av PostgreSQL-databasen
  • Point-in-time recovery möjlighet
  • Backuper bevaras enligt definierade bevarandeperioder

3.2 Vercel plattforms-backuper

  • Automatiska backuper av applikationskod och konfiguration
  • Versionhantering via Git för kodändringar

3.3 Fillagrings-redundans

  • Filer (kvitton, bilagor) lagras i Vercel Blob med inbyggd redundans
  • Automatisk replikering över flera datacenter
  • Fördröjd radering för återställning av misstagna raderingar

3.4 Bevarandeperioder

Backuper bevaras i enlighet med svensk bokföringslagstiftning (7 år för bokföringsdata) och våra interna rutiner för dataintegritet.

Observera: Specifika backup-detaljer kan variera beroende på hosting-setup och databas-leverantör. Kontakta oss för mer detaljerad information om våra aktuella backup-rutiner.

4. Åtkomstkontroll

Vi begränsar åtkomsten till dina personuppgifter genom flera säkerhetslager:

4.1 Begränsad personalåtkomst

Endast ett fåtal behöriga personer har administrativ åtkomst till produktionssystem. All åtkomst loggas och övervakas.

4.2 Multifaktorautentisering

All administrativ åtkomst kräver multifaktorautentisering (MFA) för att förhindra obehörig åtkomst även vid komprometterade lösenord.

4.3 Rollbaserad åtkomstkontroll (RBAC)

Inom Kvitty-applikationen används rollbaserad åtkomstkontroll där arbetsytemedlemmar endast har åtkomst till den arbetsyta de är inbjudna till.

4.4 Revisionsloggning

Känsliga operationer loggas för att möjliggöra granskning och upptäckt av misstänkt aktivitet.

4.5 Sessionshantering

Vi använder better-auth för säker sessionshantering med automatisk utloggning efter inaktivitet och säker token-hantering.

5. Kryptering

All data krypteras för att skydda mot obehörig åtkomst:

5.1 Data under överföring

TLS/SSL är obligatoriskt. All kommunikation mellan din webbläsare och våra servrar krypteras med modern TLS-kryptering. Okrypterade HTTP-anslutningar stöds inte.

5.2 Data i vila

All data som lagras i databasen krypteras i vila (encryption at rest) för att skydda mot obehörig åtkomst vid fysisk kompromittering av servrar.

5.3 Fillagringskryptering

Uppladdade filer (kvitton, bilagor, PDF:er) krypteras både under överföring och i Vercel Blob-lagring.

5.4 Autentiseringstokenkryptering

Sessionstokens och OAuth-tokens krypteras och lagras säkert. Tokens i databasen är hashade eller krypterade.

6. Infrastruktursäkerhet

Vår tekniska infrastruktur är byggd med säkerhet i åtanke:

6.1 Hosting med Vercel

Kvitty hostas på Vercel, en ledande plattform med omfattande säkerhetscertifieringar och compliance (SOC 2, GDPR-compliance).

6.2 PostgreSQL-säkerhet

Vår PostgreSQL-databas körs hos en säkerhetsgranskad leverantör med:

  • Automatiska säkerhetsuppdateringar
  • Nätverksisolering och brandväggar
  • Krypterad lagring
  • Kontinuerlig övervakning

6.3 Regelbundna säkerhetsuppdateringar

Vi uppdaterar regelbundet våra system, bibliotek och dependencies för att åtgärda säkerhetssårbarheter.

6.4 Sårbarhetsscanning

Våra dependencies övervakas kontinuerligt för kända sårbarheter. Kritiska sårbarheter åtgärdas prioriterat.

7. Interna säkerhetsrutiner

Vi har etablerat interna processer för att upprätthålla hög säkerhet:

7.1 Kodgranskningsprocess

Kvitty är öppen källkod på GitHub. All kod granskas innan den mergas till produktion. Community-bidrag granskas extra noggrant.

7.2 Säkerhetstestning

Vi utför regelbundna säkerhetstester och sårbarhetsanalyser av applikationen.

7.3 Personalåtkomstkontroller

Begränsad personal har åtkomst till produktionssystem. Åtkomst beviljas enligt principle of least privilege (minsta nödvändiga behörighet).

7.4 DPIA (Data Protection Impact Assessments)

Vi genomför dataskyddskonsekvensbedömningar (DPIA) för nya funktioner som hanterar känsliga personuppgifter.

7.5 Incidenthanteringsprocedurer

Vi har rutiner för att hantera säkerhetsincidenter, inklusive:

  • Incidentidentifiering och triagering
  • Containment och eliminering av hot
  • Återställning av tjänster
  • Kommunikation till berörda parter
  • Post-incident analys och förbättringar

8. Tredjepartssäkerhet

Vi arbetar med noggrant utvalda tredjepartsleverantörer:

8.1 Leverantörssäkerhetsbedömningar

Innan vi integrerar med en tredjepartstjänst utvärderar vi deras säkerhetspraxis, certifieringar och GDPR-compliance.

8.2 Underpersonuppgiftsbiträden

Våra huvudsakliga underpersonuppgiftsbiträden är:

  • Vercel Inc. (hosting, edge functions, blob storage)
  • PostgreSQL-leverantör (databashosting)
  • Google LLC (OAuth-autentisering, vid användarens val)
  • Groq (AI-tjänster)

Alla dessa leverantörer är GDPR-compliance och har lämpliga säkerhetsåtgärder på plats.

8.3 Serviceavtal (SLA)

Vi har serviceavtal med våra kritiska leverantörer som definierar säkerhetskrav, incidenthantering och drifttidsgarantier.

9. Användaransvar

Datasäkerhet är ett delat ansvar. Du som användare har ansvar för:

9.1 Skydda kontoinloggningsuppgifter

  • Använd ett starkt, unikt lösenord (om tillämpligt)
  • Dela aldrig dina inloggningsuppgifter med andra
  • Logga ut från delade datorer
  • Använd tvåfaktorautentisering när tillgängligt

9.2 Rapportera säkerhetsincidenter

Om du misstänker att ditt konto har komprometterats eller upptäcker en säkerhetsbrist, kontakta oss omedelbart på hej@kvitty.se.

9.3 Granska arbetsytemedlemsåtkomst

Kontrollera regelbundet vilka användare som har åtkomst till dina arbetsytor och ta bort åtkomst för användare som inte längre behöver den.

9.4 Behåll egna säkerhetskopior

Trots våra omfattande backup-rutiner rekommenderar vi starkt att du regelbundet exporterar dina bokföringsdata (SIE-filer) och sparar lokalt som en extra säkerhetsåtgärd.

10. Incidenthantering och rapportering

Vid en säkerhetsincident eller dataintrång följer vi dessa rutiner:

10.1 Rapportering till tillsynsmyndighet

Om en personuppgiftsincident medför risk för enskildas rättigheter och friheter rapporterar vi detta till Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR artikel 33.

10.2 Notifiering till berörda användare

Om incidenten medför hög risk för dina rättigheter och friheter kommer vi att meddela dig direkt via e-post enligt GDPR artikel 34.

10.3 Kontakt vid säkerhetsincidenter

För att rapportera säkerhetsincidenter eller säkerhetsproblem, kontakta oss på:

hej@kvitty.se

11. Kontaktinformation

Om du har frågor om vår datasäkerhetspolicy eller säkerhetsrutiner, är du välkommen att kontakta oss.

Kontaktinformation

RIBBAN AB

Organisationsnummer: 559254-0321

E-post: hej@kvitty.se

För frågor om personuppgiftsbehandling eller för att utöva dina rättigheter enligt GDPR, kontakta oss på e-postadressen ovan.

Du kan också vända dig till Integritetsskyddsmyndigheten (IMY) om du vill lämna in ett klagomål.

12. Ändringar av datasäkerhetspolicyn

Vi förbehåller oss rätten att uppdatera denna datasäkerhetspolicy för att återspegla förändringar i vår säkerhetspraxis eller lagkrav. Datumet för senaste uppdatering finns längst upp på denna sida.

13. Relaterade dokument

För mer information, se även: