PraktoPraktos Trust Center
Tillbaka till Trust Center

Kontroller

De säkerhets- och integritetskontroller Prakto tillämpar för att skydda elevers och handledares uppgifter – grupperade per område. Saknar du något?

sakerhet@prakto.se

Infrastruktursäkerhet

Kontroll

  • Automatisk skalning

    Applikationen driftas på ett globalt edge-nätverk (Vercel) som skalar automatiskt för att upprätthålla hög tillgänglighet vid varierande belastning.

  • Säkerhetskopiering och övervakning

    Autentisering, databas och fillagring hanteras av Appwrite i EU (Frankfurt) med hanterade säkerhetskopior. Drift och fel övervakas kontinuerligt via Sentry.

  • DDoS-skydd

    Tjänsten skyddas mot överbelastningsattacker (DoS/DDoS) via plattformens globala edge-nätverk.

  • Säkerhetsheaders och CSP

    Alla svar bär säkerhetsheaders (HSTS med preload, X-Frame-Options DENY, X-Content-Type-Options nosniff, COOP/CORP, Permissions-Policy) och en unik Content-Security-Policy-nonce genereras per request.

  • Hastighetsbegränsning

    Känsliga endpoints – inloggning, engångskoder och AI – skyddas med hastighetsbegränsning för att förhindra missbruk och automatiserade attacker.

  • EU-datalagring

    Primära personuppgifter lagras inom EU. Underbiträden väljs med EU-baserad lagring där det är möjligt.

Organisatorisk säkerhet

Kontroll

  • Sekretess för anställda

    Alla anställda och underleverantörer omfattas av sekretessåtaganden i sina avtal.

  • Minsta behörighet

    Administrativ åtkomst sker enbart server-side via en skyddad admin-klient. Inga administratörsnycklar exponeras mot webbläsaren.

  • Åtkomst vid avslutat uppdrag

    Åtkomst återkallas när en anställning eller ett uppdrag avslutas.

  • Hemlighetshantering

    Alla hemligheter och API-nycklar hanteras enbart server-side via miljövariabler och valideras vid uppstart innan tjänsten tar emot trafik.

Produktsäkerhet

Kontroll

  • Multi-tenant dataisolering

    Kolumnbaserad tenant-isolering (school_id/companyId på varje dokument) säkerställer att data från en organisation aldrig kan nås av en annan. Kontrollen genomförs server-side.

  • Rollbaserad åtkomstkontroll (RBAC)

    Behörigheter styrs av roller (elev, företag, skola, skolpersonal, administratör) och kontrolleras server-side i varje API-anrop – aldrig enbart i gränssnittet.

  • Stark autentisering

    Sessioner verifieras mot identitetsleverantören vid varje request, med skydd mot IDOR. SSO via SAML och OIDC stöds per skola, och engångskoder (OTP) används vid avtalssignering.

  • Skydd mot missbruk

    Hastighetsbegränsning och indatavalidering skyddar mot automatiserat missbruk av tjänsten.

  • Indatavalidering

    All indata valideras mot scheman (Zod). Filuppladdningar verifieras med magic-byte-kontroll och HTML saneras innan det visas.

  • Kryptografiska tokens

    Tokens, såsom engångskoder och signeringslänkar, signeras med HMAC och verifieras i konstant tid för att förhindra timing-attacker.

  • Dataportabilitet

    Användare kan exportera och radera sina uppgifter i enlighet med GDPR.

  • Ansvarsfull sårbarhetsrapportering

    Säkerhetsbrister kan rapporteras till security@prakto.se. Vi tillämpar ett program för ansvarsfull rapportering (responsible disclosure).

Interna säkerhetsrutiner

Kontroll

  • Kodgranskning

    Varje pull request måste granskas av en kollega innan den kan slås samman.

  • Automatiserade kontroller i CI

    Linting, typkontroll och automatiska tester körs i CI. Matchningsmotorn har dessutom en utvärderingsgrind som blockerar regressioner.

  • Skyddade brancher och driftsättning

    Driftsättning sker från en skyddad main-branch via oföränderliga deployer.

  • Återställning till känt läge

    Felaktiga ändringar kan rullas tillbaka via oföränderliga deployer och versionshantering.

  • Revisionslogg

    En strukturerad revisionslogg registrerar vem som gjorde vad, när och varifrån – utan känsliga personuppgifter.

Data och integritet

Kontroll

  • Kryptering i vila

    Data krypteras i vila av den hanterade plattformen (Appwrite).

  • Kryptering under överföring

    All data som skickas till och från Prakto krypteras under överföring med TLS, och HSTS framtvingar HTTPS.

  • Inbyggt dataskydd

    Tjänsten är byggd för dataminimering. Känsliga uppgifter minimeras och inga personuppgifter skickas som standard till felövervakning.

  • PII-maskering innan AI-behandling

    Innan fritext skickas till AI-leverantör (NVIDIA NIM) maskeras personnummer, e-post och telefonnummer, och tredjepartsnamn pseudonymiseras – i linje med Schrems II.

  • PII-skrubbning i felövervakning

    Sentry konfigureras utan automatisk insamling av personuppgifter; cookies, headers, query-strängar och känsliga fält skrubbas innan data lämnar applikationen.

  • Villkor och integritetspolicy

    Prakto upprätthåller en integritetspolicy utöver användarvillkoren.

  • Personuppgiftsbiträdesavtal (DPA)

    Skolor och företag kan teckna ett personuppgiftsbiträdesavtal som reglerar roller, instruktioner, underbiträden och säkerhetsåtgärder.

  • Datalagring inom EU

    Personuppgifter lagras inom EU.

Efterlevnad

Kontroll

  • GDPR

    Prakto behandlar personuppgifter enligt GDPR: laglig grund, dataminimering, registrerades rättigheter och EU-lagring.

  • EU AI Act

    Matchningsmotorn omfattas av en självbedömning enligt EU:s AI-förordning, med mänsklig översyn av AI-förslag.

  • CSA – Cloud Security Alliance

    Prakto följer CSA:s ramverk (Cloud Controls Matrix och AI Controls Matrix) och har genomfört en CAIQ-självbedömning i CSA STAR-registret.

  • PCI DSS

    Prakto lagrar, behandlar eller överför inga kortuppgifter i egna system. Eventuella betalningar hanteras av en PCI-DSS-certifierad leverantör.

  • Efterlevnad och revision

    Prakto upprätthåller informationssäkerhetskontroller och dokumenterar efterlevnad gentemot kunder.