Sikkerhet og tillit

Sist oppdatert: 4. mai 2026

Anbudsvakt behandler data fra norske offentlige anskaffelser og fra våre kunder. Denne siden dokumenterer hvordan vi sikrer plattformen i dag og hva vi planlegger fremover. Vi tror på åpenhet om både hva vi har på plass og hva som ennå ikke er bygget.

1. Tilgangskontroll

I dag:

• Autentisering via e-post og passord (Supabase Auth)
• Kontonivå-isolasjon: hver bruker har sin egen konto
• Radnivåsikkerhet (RLS) på alle datatabeller — tilgang styres av user_id
• Alle API-endepunkter validerer sesjonstoken før data returneres

Roadmap (Q3 2026):

• Rollebaserte tilganger: admin, medlem og leser-roller i team
• Team-arbeidsområder med avgrenset datatilgang
• API-nøkkelhåndtering med granulære scopes
• Single Sign-On (SSO) via SAML 2.0 og OpenID Connect for Enterprise-tier

2. Aktivitetslogger

I dag:

• Autentiseringshendelser logges via Supabase Auth
• Alle Stripe-betalingshendelser logges i Stripe-dashboardet
• Applikasjonsfeil fanges i Sentry med tidsstempel og brukerattribusjon

Roadmap (Q2 2026):

• Uforanderlig applikasjons-aktivitetslogg: hvem, hva, når, IP, handling
• 90 dagers oppbevaring som standard, lenger for Enterprise
• Eksporterbar til SIEM-verktøy via webhook eller API
• Søkbar fra et dedikert admin-dashboard

3. Dataisolasjon

I dag:

• Én PostgreSQL-database hostet i EU (Stockholm)
• Alle tabeller partisjonert på user_id med RLS som håndhever isolasjon
• Egen Stripe Connect-konto per plattform-tenant
• Sikkerhetskopier kryptert i ro med AWS KMS

Roadmap (Q4 2026):

• Per-organisasjon schema-isolasjon for Enterprise-tier
• Valgfri dedikert databaseinstans for Enterprise-kontrakter ≥ 200 000 NOK/år
• Bring-your-own-key (BYOK) kryptering for Enterprise

4. Etterlevelse og sertifiseringer

I dag:

• Bygget for GDPR-samsvar
• Databehandleravtale (DPA) tilgjengelig på forespørsel
• Liste over underdatabehandlere tilgjengelig under NDA for potensielle kunder
• Daglige krypterte sikkerhetskopier, 30 dagers oppbevaring

Roadmap:

• SOC 2 Type 1-revisjon ferdigstilt: Q2 2027
• SOC 2 Type 2-revisjon ferdigstilt: Q4 2027
• ISO 27001-evaluering: 2028

5. Driftssikkerhet

I dag:

• All trafikk kryptert i transitt via TLS 1.3
• Sensitive påloggingsdata lagres i miljøvariabel-secrets, aldri i kildekoden
• Tofaktor-autentisering tilgjengelig på brukerkontoer (Supabase TOTP)
• Produksjonsdeploys må passere CI-sjekker
• Ingen personidentifiserende data i applikasjonslogger

6. Hendelsesrespons

I dag:

• Bekreftelse innen 24 timer på sikkerhetsmeldinger sendt til security@anbudsvakt.com
• Varsling innen 72 timer ved vesentlige databrudd, i tråd med GDPR artikkel 33
• Tidslinje for utbedring kommuniseres til berørte kunder

7. Kontakt

• Sikkerhetsmeldinger: security@anbudsvakt.com
• DPA-forespørsler: support@anbudsvakt.com
• Liste over underdatabehandlere (under NDA): support@anbudsvakt.com