Tillbaka till startsidan

Säkerhet

Så skyddar vi din data

1. Översikt

Careflow är byggt med säkerhet som en grundläggande princip. Vi förstår den kritiska naturen hos hälso- och sjukvårdsdata och har implementerat säkerhetsåtgärder för att skydda din information.

2. Kryptering

Data under överföring

TLS 1.3-kryptering för all nätverkskommunikation

Databassäkerhet

Hanterad databas med kryptering som tillhandahålls av vår hostingleverantör

2.1 Kryptering under överföring

  • TLS 1.3 för all API- och webbkommunikation
  • HTTPS upprätthålls för alla endpoints
  • Inget stöd för föråldrade protokoll (SSLv3, TLS 1.0/1.1)

3. Åtkomstkontroll

3.1 Autentisering

Autentisering drivs av Better Auth med följande funktioner:

  • Säkra sessioner: Kryptografiskt signerade sessionstoken med automatisk utgång
  • Stark lösenordspolicy: Krav på minimumlängd och komplexitet
  • Kontolåsning: Skydd mot brute-force-attacker

3.2 Auktorisering

  • Rollbaserad åtkomstkontroll (RBAC): Organisationsroller (Ägare, Administratör, Medlem)
  • Principen om minsta möjliga behörighet: Användare har minimalt nödvändiga behörigheter
  • Flerhyresgästisolering: Fullständig dataseparation mellan organisationer

4. Infrastruktur

  • EU-hosting: Alla tjänster hostade inom Europeiska unionen
  • Hanterad databas: PostgreSQL hostad på Neon med automatiserade säkerhetskopior
  • CDN & Edge: Applikation serverad via Vercel med DDoS-skydd
  • API: Hostat på Fly.io i Stockholm (arn-regionen) för dataresidenskrav

5. Revision och övervakning

Aktivitetsloggning

Användaråtgärder och dataåtkomst loggas för säkerhets- och efterlevnadsändamål.

5.1 Loggning

  • Användaråtgärder och dataåtkomst loggas
  • Misslyckade autentiseringsförsök spåras
  • Administrativa åtgärder och konfigurationsändringar registreras

6. Efterlevnad

GDPR

Full efterlevnad av EU:s dataskyddsförordning

Svensk PDL

Medvetenhet om kraven i Patientdatalagen

6.1 Vårdspecifik efterlevnad

  • Medvetenhet om Patientdatalagen
  • Samtyckehantering och registrerades rättigheter
  • Konsekvensbedömningar avseende dataskydd (DPIA)

7. Incidenthantering

7.1 Process för incidenthantering

  1. Detektion: Övervakning och larm
  2. Triage: Allvarlighetsbedömning och prioritering
  3. Begränsning: Omedelbar hotisolering
  4. Utredning: Rotorsaksanalys
  5. Åtgärd: Åtgärda och verifiera lösning
  6. Kommunikation: Meddela berörda parter enligt GDPR (72 timmar)

7.2 Anmälan vid dataintrång

I det osannolika fallet av ett dataintrång kommer vi att:

  • Meddela berörda användare inom 72 timmar (GDPR-krav)
  • Rapportera till Integritetsskyddsmyndigheten (svenska dataskyddsmyndigheten)
  • Ge detaljerad information om intrånget
  • Erbjuda åtgärder och support

8. Ansvarsfull rapportering

Vi välkomnar säkerhetsforskare att rapportera sårbarheter:

  • Email: security@careflow.dev
  • Response Time: Inom 48 timmar

9. Frågor

För säkerhetsrelaterade frågor:

  • Security Team: security@careflow.dev
  • General Support: support@careflow.dev