Grantigo · Säkerhet & integritet
Säkerhet & integritet

Det som hamnar hos Grantigo stannar hos Grantigo.

Vi vet att information om er verksamhet är känslig. Säkerhet är inte en feature, det är grunden vi bygger på. Här är hur, i klartext.

GDPR · Data inom EU (Frankfurt) Zero Data Retention EU-US Data Privacy Framework EU AI Act · Limited-risk SSO & SCIM 2.0
Teknisk översikt

Dataskydd och systemintegritet i Grantigo.

En översikt av tekniska och organisatoriska åtgärder enligt GDPR Art. 32. Designval, kvarstående avvägningar och referenser till relevanta standarder.

Nätverksisolering

Försvar i djupled mellan applikationslagret och datalagret.

Transport
TLS för all extern HTTP-trafik (klient ↔ API). Data i transit är krypterad.
Intern trafik
API ↔ databas över privat Docker-nätverk. Databasporten exponeras inte publikt.
Ref: OWASP ASVS V9 (Communication)

Integritetsfokuserad loggning

Strukturerad loggning (Serilog) med medveten begränsning av personuppgifter i klartext.

Innehåll
Tekniska händelser och referens-ID:n (t.ex. ProjectId) prioriteras framför direktidentifierare.
Felsökning
Verbosa debug-kanaler är miljöstyrda och inaktiverade i produktion.
Begränsning: vissa identifierare kan korreleras, analys pågår.

Radering & anonymisering

Differentierad hantering vid utövande av rätten till radering (GDPR Art. 17).

Konton
Hard delete av identitet och personliga inställningar, inte bara inaktivering.
Feedback
Anonymisering: kopplingen till individen tas bort, men aggregerad signal behålls för modellutvärdering.
Externa system
Raderingsinstruktioner skickas till databehandlare (t.ex. Stripe).
Avvägning: nyttighet för modellkvalitet vs. striktare radering, dokumenterad och granskningsbar.

Kontinuerlig verifiering

Säkerhet behandlas som en löpande process, inte en engångskontroll.

Statisk analys
SAST i CI-pipelinen; container-skanning via Trivy och Checkov.
Dynamisk analys
DAST mot deployerade miljöer.
Betalning
PCI-scope minimeras genom delegering till Stripe, inga kortdata i egna system.
Ref: NIST SSDF, OWASP SAMM

Dataminimering

Insamling motiveras per fält av kärntjänsten: matchning av organisation mot bidrag.

Vad
Finansiella nyckeltal och verksamhetsbeskrivning, krävs för behörighetsbedömning.
Verksamhetsobjekt
Soft delete med tidsbegränsad retention för återställning; skiljer sig från konton.
Ref: GDPR Art. 5(1)(c) Uppgiftsminimering

Din data tränar aldrig vår AI

Information ni delar används enbart för att matcha er med finansiering, aldrig för att träna AI-modeller eller delas med tredje part.

Zero Data Retention
AI-anrop sker via OpenAI med ZDR-avtal. Inga utkast lagras hos modelleverantören.
Ingen återanvändning
Era projektbeskrivningar är era. Punkt.
Ref: EU AI Act · Limited-risk klassificering
"Det som hamnar hos Grantigo stannar hos Grantigo."
Denna översikt beskriver nuvarande implementation. Dokumentation, hotmodell och DPIA tillgängliggörs på begäran för forskningssamarbeten och Enterprise-evaluering.
Ramverk & standarder

Vad vi följer, och hur vi tillämpar det.

Inte en checkbox-övning. Varje ramverk speglas i hur produkten faktiskt är byggd.

GDPR

Full efterlevnad

Personuppgiftsbiträdesavtal (DPA) ingår för Enterprise. Hard delete vid kontoradering.

Status: Aktiv
EU-DPF

Data Privacy Framework

Tillämpas för datatransfer till underleverantörer enligt Schrems II.

Status: Aktiv
EU AI Act

Limited-risk klassificering

Transparent modelldokumentation, beslutsstöd, databehandling.

Status: Aktiv
VR

Vetenskapsrådet, AI-riktlinjer

AI-detektion på utkast, flaggar passager som behöver mänskligt språk.

Status: Aktiv
SSO/SCIM

SAML 2.0 / OIDC / SCIM 2.0

Federation mot Azure AD, Okta, ADFS. Automatiserad lifecycle-hantering.

Status: Enterprise
Vad vi inte gör

Säkerhet är också vad man väljer bort.

Tydliga åtaganden, så att ni inte behöver gissa.

För compliance-team

Dokumentation ni kan referera till.

Behöver ni ett DPA, säkerhetsöversikt eller hotmodell för internrevision? Hör av er, vi skickar.

DPA

Personuppgiftsbiträdesavtal

Standardmall för Enterprise-kunder. Anpassningsbar enligt sektorspecifika krav.

Begär dokument → Säkerhet

Säkerhetsöversikt & arkitektur

Topologi, dataflöden, krypteringsstrategi, åtkomstmodell.

Begär dokument → AI Act

AI-modelldokumentation & DPIA

EU AI Act-konform: modellval, träningsdata, beslutsstöd, hotmodell.

Begär dokument →
Frågor till säkerhetsteamet?

Hör av er, vi svarar konkret.

Compliance-frågor besvaras typiskt inom en arbetsdag. För Enterprise-evaluering bokar vi en teknisk genomgång med vår dataskyddsansvarig.

Kontakta säkerhetsteamet → För offentlig sektor