Skyra tar sikkerhet og personvern på alvor. Vi har bygget løsningen med solid sikkerhet fra grunnen av, og følger anerkjente standarder for å beskytte dine data.
Denne artikkelen oppsummerer viktige punkter.
Datalagring og lokasjon
All lagring og behandling av data skjer i EU hos vår europeiske skyleverandør Scaleway i Frankrike. Vi har bevisst valgt en europeisk leverandør for å sikre at dine data aldri forlater EU/EØS-området, i tråd med GDPR og Datatilsynets anbefalinger.
Scaleway
Scaleway er ISO/IEC 27001:2022 sertifisert for sin tekniske infrastruktur og har HDS-sertifisering for håndtering av sensitiv helseinformasjon – en av Europas mest krevende sikkerhetssertifiseringer.
Scaleway er også i kvalifiseringsprosessen for SecNumCloud – Europas høyeste sikkerhetskvalifisering for cloud, anbefalt for offentlig sektor og kritisk infrastruktur. Kvalifiseringen sikrer europeisk kontroll og beskyttelse mot ekstraterritoriale lover.
Kryptering
Skyra bruker kryptering som er fullt ut i tråd med NSMs anbefalinger for sikring av kommunikasjon og datalagring.
Data i ro (lagret data):
AES-256 kryptering – industristandardkryptering godkjent av NIST
Data under overføring:
TLS 1.3 (eller TLS 1.2+ for eldre nettlesere)
Let's Encrypt produksjonssertifikater
Perfect Forward Secrecy (ECDHE) som sikrer at tidligere trafikk ikke kan dekrypteres selv ved kompromitterte nøkler
All kommunikasjon med Skyra skjer over HTTPS.
Tilgangskontroll og autentisering
Hvem har tilgang til dine data?
Kun du og dine autoriserte brukere har tilgang til deres data
Skyra-ansatte har ingen tilgang til kundedata uten eksplisitt tillatelse
All utvikling og drift utføres av våre fast ansatte i Norge
Hvordan fungerer pålogging?
OAuth2-basert pålogging via Google Workspace eller lignende
Magic Link (e-postbasert pålogging)
Vi lagrer ingen passord
Alle brukerkontoer må ha en godkjent e-postadresse
Tilgangsstyring:
Row-level security i databasen forhindrer at kunder kan se hverandres data
API-ruter krever kundekontekst og validerer kundetilhørighet
Multi-tenancy arkitektur garanterer at hver kundes data er fullstendig isolert
Backup og gjenoppretting
Daglig automatisk backup hver 4. time
30 dagers rullerende backup
Infrastrukturen er definert som kode og kan gjenskapes fra Git
Full gjenoppbygging er testet ved flere anledninger
Overvåking og hendelseshåndtering
Vi overvåker systemet kontinuerlig for å oppdage og håndtere problemer raskt:
Overvåking:
Sentry for automatisk feilsporing på alle tjenester
Prometheus + Grafana for metrikk-overvåking
Database audit trail som logger alle endringer med tidsstempler
Ved sikkerhetsbrudd:
Formell incident response-prosedyre
Direkte varsling til berørte kunder
Umiddelbar utbedring av avvik