Sikkerhed & tryghed

Sikkerhed er fundamentet for Attera. Vi beskytter jeres data med industristandard kryptering, EU-baseret datalagring, stærk autentificering og fuld sporbarhed, i overensstemmelse med GDPR og revisorloven. Jeres klientdata bruges aldrig til at træne AI-modeller.

Kryptering

  • AES-256-GCM kryptering af alle følsomme data og backups
  • TLS 1.3 for al datatransmission
  • SHA-256 hashing af tokens - plaintext lagres aldrig
  • bcrypt (cost 12) for adgangskoder med automatisk rehashing

Datalagring & underdatabehandlere

  • Database (persondata): Turso på AWS eu-west-1 (EU)
  • Hosting/applikation: Vercel (EU)
  • E-mail: Resend (EU)
  • Backup: Cloudflare R2, krypteret (EU)

Database, applikation, e-mail og krypterede backups ligger i EU. Der er indgået databehandleraftaler (DPA) med alle leverandører. Den fulde liste over underdatabehandlere fremgår af databehandleraftalen.

AI & databehandling

  • AI-funktioner drives af Attera AI
  • Jeres data bruges aldrig til træning af modeller, kontraktligt sikret i vores databehandleraftaler
  • Klientnavne pseudonymiseres til "Virksomheden", før data sendes til analyse
  • AI augmenterer revisoren. Revisoren gennemgår og godkender altid (EU AI Act, minimal risiko; det faglige ansvar er uændret)

Backup

  • Ugentlig automatiseret backup via cron
  • SQL dump → gzip → AES-256-GCM kryptering → Cloudflare R2 (EU)
  • Backups opbevares i EU-jurisdiktion

Adgangskontrol

  • Påkrævet to-faktor (2FA) via TOTP-engangskode
  • JWT-sessioner med 12-timers udløb
  • Rollebaseret adgangskontrol pr. bruger
  • Database-baseret rate limiting og bot-beskyttelse på offentlige formularer
  • Isoleret database pr. revisionsfirma (multi-tenant)

Audit & Compliance

  • Komplet audit log over alle handlinger (GDPR art. 5, stk. 2)
  • 5-års opbevaringspligt jf. revisorloven § 23 og bogføringsloven § 12
  • Automatisk token-oprydning efter 60 dage
  • Legal hold-funktionalitet der blokerer sletning under tilsyn
  • GDPR-dokumentation: privatlivspolitik, behandlingsfortegnelse, DPIA, incident-response, retention og leverandørtilsyn

MitID Integration

Identitetsverificering og digital signering sker via MitID gennem en certificeret identitetsudbyder. Alle verifikationer og underskrifter lever op til eIDAS-forordningens krav om lovpligtigt sikkerhedsniveau (PAdES).

Spørgsmål?

Kontakt os på info@attera.dk for spørgsmål om vores sikkerhedsarkitektur.