Teknisk säkerhet

Hur vi skyddar din data.

Teknisk referens för CTO:er och säkerhetsgranskare. Arkitektur, kryptering, backup och vad som händer vid en incident.

Stack

Next.js + Supabase + Vercel

Auth

Supabase Auth (JWT + RLS)

Transport

TLS 1.3

Data i vila

AES-256

Region

EU (Frankfurt)

Autentisering

  • Inloggning hanteras av Supabase Auth, en battle-tested autentiseringstjänst byggd på open-source (GoTrue).

  • Lösenord hashas med bcrypt. Vi lagrar aldrig klartextlösenord.

  • JWT-tokens används för sessions-validering med kort TTL (1 timme) plus sliding refresh.

  • Row Level Security (RLS) på alla Supabase-tabeller garanterar att du aldrig ser en annan användares data, inte ens om ett API-anrop är felaktigt.

Kryptering

  • Under transport: TLS 1.3 på alla requests. Svagare protokoll (TLS 1.0, 1.1) är avaktiverade.

  • I vila: AES-256 via Supabase managed encryption på databaslagret.

  • Stripe hanterar all kortdata, vi ser aldrig, lagrar aldrig och har aldrig tillgång till fullständiga kortnummer.

Backup och återställning

  • Supabase Point-in-Time Recovery: vi kan återställa din databas till valfri sekund under de senaste 7 dagarna.

  • Dagliga snapshots sparas i 30 dagar.

  • Vercel hanterar edge-cachelager och fungerar även vid kortare Supabase-avbrott.

Incidentprocess

  • Vid bekräftad dataintrång meddelar vi berörda användare inom 72 timmar, i enlighet med GDPR artikel 33–34.

  • Vi publicerar en post-mortem för alla P0-incidenter på hej@offertiq.app.

Säkerhetsbuggar

  • Hittat en säkerhetsbugg? Rapportera ansvarsfullt till security@offertiq.app.

  • Vi bekräftar mottagandet inom 24 timmar och åtgärdar kritiska buggar inom 72 timmar.

  • Inget formellt bug-bounty-program i nuläget, men vi erkänner alltid ansvarsfullt rapporterade buggar.

Säkerhet & juridik (användare)Integritetspolicysecurity@offertiq.app