Trust Center

Säkerhet och förtroende — utan kompromisser.

Treaty hanterar några av era mest känsliga dokument. Här är exakt hur vi skyddar dem — tekniskt, juridiskt och organisatoriskt. Skicka gärna sidan till er IT- eller säkerhetschef.

Kontakta security@treaty.se

Datakryptering

AES-256 + TLS 1.3

Hosting

EU (GDPR)

Tillgänglighet

99,9% mål

Datakryptering

  • All trafik krypteras med TLS 1.3 mellan webbläsare, server och databas.
  • All data i vila krypteras med AES-256 (Postgres + objektlagring).
  • Filer i privata lagringsbuckets nås endast via tidsbegränsade, signerade URL:er.
  • Backuper är krypterade och lagras geografiskt åtskilda inom EU.

Åtkomst & isolering

  • Row-Level Security (RLS) är aktiverat på alla tabeller med användardata — databasen själv vägrar utlämna en annan organisations rader.
  • Multi-tenant via organisationer och organisationsmedlemmar — data segmenteras per organisation, inte bara per användare.
  • Roller (owner, admin, member) styr vem som får bjuda in, signera, fakturera och radera.
  • Administratörsroller lagras i en separat tabell, aldrig på användarprofilen — skyddar mot privilege escalation.

Autentisering

  • Lösenord kontrolleras mot Have I Been Pwned — kända läckta lösenord blockeras automatiskt.
  • Tvåfaktorsautentisering (TOTP) via Google Authenticator, 1Password, Authy eller Yubikey.
  • Inloggning med Google för smidig och säker access utan extra lösenord.
  • Sessionstid och tvingad MFA per organisation kan konfigureras av admin.
  • SAML SSO (Okta, Azure AD, Google Workspace) på begäran för enterprise.

Audit & spårbarhet

  • Varje inloggning loggas med tid, IP-hash och enhet (login_audit).
  • Varje ändring i ett avtal — skapande, statusbyte, radering, signering — sparas i en oföränderlig audit-logg per organisation.
  • Signaturhändelser loggas separat med tidsstämpel och händelsetyp (skapad, signerad, avbruten).
  • Admins kan exportera audit-loggen för intern revision eller myndighetsbegäran.

E-signering & dokumentintegritet

  • Externa signerare verifieras via engångs-magic-tokens som löper ut.
  • Signerade dokument låses och lagras i en separat, privat lagringsbucket.
  • Signaturkedjan är spårbar bakåt till varje part och tidsstämpel.

Hosting & dataresidens

  • All applikationsdrift sker inom EU.
  • Databas och filer lagras i EU — ingen data passerar utanför EES under normal drift.
  • Underleverantörer (Supabase, Stripe, e-postleverantör) är EU-baserade eller har EU-region.

GDPR & personuppgifter

  • Treaty är personuppgiftsbiträde när ni hanterar avtal med personuppgifter — DPA tecknas på begäran.
  • Alla användare kan exportera all sin data som strukturerad JSON, när som helst.
  • Användare kan begära radering av sitt konto direkt från Säkerhets-sidan.
  • Vi minimerar insamling — inga reklam-cookies, ingen tredjeparts­spårning.

Läs mer i vår integritetspolicy och GDPR-sida.

Backup, kontinuitet & exit

  • Daglig automatisk backup av databasen, krypterad och lagrad geografiskt åtskild.
  • Point-in-time recovery — vi kan återställa till valfri tidpunkt under retentionperioden.
  • Era data tillhör er. Vid uppsägning får ni en full exportfil och 30 dagars övergångsperiod.
  • Om Treaty Technologies AB skulle upphöra: källkods-escrow frigörs så ni kan driva vidare på egen infrastruktur.

Incidenthantering

  • Vi följer GDPR:s 72-timmars­regel för rapportering av personuppgiftsincidenter.
  • Säkerhetskontakt: security@treaty.se — verifierade rapporter besvaras inom 24 timmar på vardagar.
  • Driftstatus i realtid publiceras på status.treaty.se.
  • Responsible disclosure välkomnas — vi tackar och krediterar säkerhetsforskare som rapporterar sårbarheter ansvarsfullt.

Säker utveckling

  • All kod versionshanteras och granskas innan deployment.
  • Automatiserad säkerhetsscanning av beroenden vid varje bygge.
  • Hemligheter och API-nycklar lagras i separata krypterade valv — aldrig i kodbasen.
  • Service-role-nyckeln används endast i serverkod, aldrig exponerad mot webbläsaren.

Underleverantörer (sub-processors)

  • Databas & autentisering — EU-region, DPA på plats.
  • Betalningar (Stripe) — PCI DSS Level 1, EU-region.
  • E-postleveranser — EU-region, anonymiserad metadata.
  • AI-analys — körs via Lovable AI Gateway med EU-prioritet; era avtals­texter används aldrig till modellträning.

Roadmap för certifieringar

  • SOC 2 Type II — planerad revision under 2026.
  • ISO 27001 — förberedelser pågår parallellt.
  • Pen-test-rapport — utförs årligen av oberoende part, sammanfattning tillgänglig under NDA.

Frågor från er säkerhetschef?

Vi svarar gärna på säkerhetsfrågeformulär (CAIQ, SIG Lite, egna mallar) och tecknar NDA innan känsligt material delas.

security@treaty.seAllmän kontakt