Skip to main content

Säkerhet och sekretess.

Läs mer om hur vi arbetar med säkerhet, integritet och sekretess.

Säkerhet i flera lager

SportAdmin är designat med en flerlagers säkerhetsstruktur – från infrastruktur och applikationslager till produkt, tillgänglighet och åtkomst. Läs mer om innehållet i respektive lager nedan.

  Infrastruktur

Hostning av produktionsservrar, databaser och relaterade tjänster hos Amazon Web Services (AWS).

  Applikationssäkerhet

Säkrad med robust kryptering, WAF och noggrann testning och granskning.

  Produktsäkerhet

Autentiseringsystem byggt på OpenID och OAuth 2.0, verktyg för åtkomstgranskning, säker lagring och backuper.

  Operativ säkerhet

Processer och rutiner för utbildning, åtkomstkontroller och incidentrespons.

  Sekretess, åtkomst och GDPR

Verktyg så att föreningarna kan hantera åtkomst, dataloggar och personuppgifter.

Infrastruktur i Amazon Web Services

Sportadmin använder Amazon Web Services (AWS), en av världens främsta molnlagringstjänster, för hostning av produktionsservrar, databaser och relaterade tjänster. AWS garanterar avancerad kryptering, realtidsövervakning och efterlever globala säkerhetsstandarder som ISO 27001 och GDPR.

Information om säkerhetsåtgärder och rutiner som tillhandahålls av AWS finns tillgänglig på AWS:s säkerhetswebbplats, medan säkerhetsrevisioner och certifieringar, t.ex. ISO 27001-certifiering och SOC-rapporter, är tillgängliga på AWS:s efterlevnadswebbplats.

Sportadmin use AWS to host their application

Applikationssäkerhet

Testning och granskningar

Ändringar i applikationen genomgår noggrann testning och granskning innan de installeras i produktionsmiljön. Kritiska ändringar får alltid extra uppmärksamhet.

Kryptering

All data krypteras under överföring med TLS (Transport Layer Security) 1.2 eller högre. Data som lagras i databaser och säkerhetskopior skyddas med AES-256-kryptering, en av de starkaste krypteringsstandarderna som används av banker och myndigheter världen över.

Web application firewall (WAF)

För att skydda applikationen använder vi en WAF. Den fungerar som ett smart filter mellan internet och våra system, och blockerar misstänkt trafik för att förhindra till exempel DDOS-attacker, SQL-injektioner och XSS-attacker.

Logisk åtkomst

Åtkomst till produktionsmiljöer är strikt kontrollerad och begränsad till behörig personal på strikt behovsbasis. All åtkomst kräver bland annat multifaktorautentisering (MFA).

Produktsäkerhet

Autentisering

Vårt autentiseringssystem är byggt på OpenID och OAuth 2.0. Administratörer och ledare loggar in med användarnamn och lösenord.

För medlemmar som loggar in i appen används en engångskod som skickas via e-post för autentisering.

Granskningsloggar

Administratörer får åtkomst till loggar, vilket gör att de kan se kontorelaterade aktiviteter och till exempel undersöka potentiellt misstänkt beteende eller felsöka åtkomst.

Lagring

Vi använder immutable S3-lagring för säkerhetskopior, vilket innebär att data inte kan ändras eller raderas under en fastställd tidsperiod. Detta skyddar mot såväl externa angrepp som oavsiktliga misstag som annars skulle kunna resultera i dataförlust eller kryptering av data.

Backup-frekvens

Fullständiga säkerhetskopior tas dagligen för att säkerställa att vi kan återställa systemet vid behov.  Vi tar även backup av transaktionsloggar flera gånger i timmen, vilket möjliggör snabb återställning och minimerar dataförlust vid incidenter.

Kommer inom kort: Multifaktorautentisering (MFA) vid inloggning för administratörer.

Operativ säkerhet

Åtkomstkontroll

Åtkomst till alla nyckel IT-tjänster som används av Sportadmin hanteras centralt, skyddas av multifaktorautentisering (MFA) samt andra relevanta säkerhetsåtgärder. Dessa tjänster kan endast nås med kompatibla företagsenheter, vilket säkerställer att obehörig åtkomst förhindras.

Alla anställda har undertecknat sekretessavtal som omfattar hantering av personuppgifter för att säkerställa att information som behandlas i våra system hanteras på ett säkert och ansvarsfullt sätt.

Utbildning och rutiner

Alla Sportadmin-anställda är utbildade och skyldiga att följa relevanta informationssäkerhetspolicyer och –procedurer. Alla anställda deltar också i en obligatorisk årlig säkerhetsutbildning.

Incidentrespons

Sportadmin har en dokumenterad process för att identifiera, hantera och följa upp incidenter.

Sekretess, åtkomst & GDPR

Åtkomst- och rollhantering

Administratörer kan definiera behörigheter för varje roll eller individ, vilket säkerställer finjusterad kontroll över åtkomstnivåer och hantering av känsliga data, inklusive vad team-medlemmar kan se och ändra.

Gallringsfunktion

Administratörer har tillgång till att rensa och gallra uppgifter om personer som inte längre är aktiva i föreningen, för att säkerställa att de lagrade uppgifterna förblir relevanta och uppdaterade.

Rätten att bli glömd, raderad samt registerutdrag

Administratörer har tillgång till all information som är lagrad om en specifik medlem och kan välja att radera data, om medlemmen begär att bli borttagen ur systemet.

Läs mer
Privacy policy
Cookie policy