🔒 Sikkerhet og databeskyttelse
Sist oppdatert: 9. november 2025
Din sikkerhet og personvern er vårt høyeste prioritet. Vi implementerer bransjens beste praksis for å beskytte dine data og finansielle informasjon.
🏆
A+ Security Headers
🔐
A+ SSL Rating
🛡️
A+ Mozilla Observatory
Hurtignavigasjon
🔍 Sikkerhetstester og vurderinger
Vi gjennomfører regelmessige sikkerhetstester for å sikre at våre systemer holder høyeste standard. Her er våre resultater:
Security Headers (A+)
Perfekt score på securityheaders.com
👆 Klikk for å se full størrelse
- Content Security Policy (CSP)
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- Strict-Transport-Security (HSTS)
SSL/TLS Rating (A+)
Høyeste vurdering på SSL Labs test
👆 Klikk for å se full størrelse
- TLS 1.3 støtte
- Moderne cipher suites
- Perfect Forward Secrecy
- HSTS preload
- Sterk nøkkelutveksling
Mozilla Observatory (A+)
Toppkarakter fra Mozilla Observatory
👆 Klikk for å se full størrelse
- Cookies sikret med Secure flag
- SameSite cookie attributter
- Subresource Integrity
- X-XSS-Protection
Kontinuerlig sikkerhetstesting
Regelmessige tester for å identifisere sårbarheter
- Automatiske sårbarhetsscans
- Manuelle penetrasjonstester
- Code review og sikkerhetsvurderinger
- Dependency scanning for kjente sårbarheter
- Proaktiv overvåking av sikkerhetstrussel-landskap
💾 Databeskyttelse
Kryptering på alle nivåer
All datakommunikasjon krypteres med moderne kryptografiske standarder:
Transport-kryptering
- TLS 1.3 for all webtrafikk
- HTTPS påkrevd (ingen HTTP)
- Automatisk oppgradering til sikre forbindelser
- Certificate pinning der mulig
Lagring-kryptering
- Data-at-rest kryptering i Firebase
- Krypterte database-backups
- Sikker nøkkelhåndtering via Google Cloud Secret Manager
- Ingen sensitiv data i kildekode
☁️ Infrastruktur og hosting
Vi bygger på Google Cloud Platform sin infrastruktur - en av verdens mest sikre og pålitelige cloud-løsninger:
Firebase og Google Cloud Platform
- Firebase Hosting: Global CDN med DDoS-beskyttelse
- Cloud Firestore: Sanntidsdatabase med automatisk skalering
- Cloud Functions: Serverless backend med automatisk oppdatering
- Firebase Authentication: Sikker brukerautentisering
- 99.95% uptime SLA: Garantert tilgjengelighet
- Automatiske backups: Kontinuerlig replikering av data
- Geografisk replikering: Data spredt på flere lokasjoner (Europa)
- Point-in-time recovery: Gjenoppretting av data fra tidligere tidspunkt
Sertifiseringer og compliance
Google Cloud Platform holder følgende sertifiseringer:
- ISO 27001 (Informasjonssikkerhet)
- ISO 27017 (Cloud-sikkerhet)
- ISO 27018 (Personvern i cloud)
- SOC 2/SOC 3 (Sikkerhet og tilgjengelighet)
- GDPR compliant
🔑 Autentisering og tilgangskontroll
Firebase Authentication
- Sikker e-post/passord autentisering
- Bcrypt-hashet passordlagring
- E-postverifisering påkrevd
- Passordgjenoppretting med sikre tokens
- Session management med automatisk utlogging
- Beskyttelse mot brute-force angrep
Firestore Security Rules
- Strenge tilgangsregler på alle data
- Brukere kan kun lese egne data
- Validering av alle data før lagring
- Ingen offentlig skrivetilgang
- Regelmessig audit av sikkerhetsregler
API-sikkerhet
- API-nøkler lagret i Secret Manager
- CORS-policies for alle endepunkter
- Rate limiting på API-kall
- Input-validering på server-side
- Sikker håndtering av sensitive data
📊 Overvåking og vedlikehold
Kontinuerlig overvåking
- Logging: All systemaktivitet logges og overvåkes
- Anomali-deteksjon: Automatisk varsling ved uvanlig aktivitet
- Performance monitoring: Real-time overvåking av systemytelse
- Error tracking: Automatisk feilrapportering og -håndtering
- Security monitoring: Daglig gjennomgang av sikkerhetshendelser
- Uptime monitoring: Kontinuerlig sjekk av tjenestetilgjengelighet
Vedlikehold og oppdateringer
- Automatiske sikkerhetsoppdateringer via Firebase
- Regelmessig gjennomgang av avhengigheter
- Månedlig sikkerhetsvurdering
- Oppdatering av sikkerhetspolicies etter behov
- Incident response plan ved sikkerhetshendelser
- Regelmessig testing av backup og recovery-prosedyrer
🔄 Backup og Disaster Recovery
Firebase Firestore gir oss automatisk disaster recovery:
- Kontinuerlig replikering: All data replikeres automatisk på tvers av flere datasentre i Europa
- Multi-region redundancy: Hvis ett datasenter feiler, overtar et annet automatisk
- Point-in-time recovery: Mulighet for å gjenopprette data fra hvilket som helst tidspunkt
- Zero data loss: Ved feil sikrer automatisk failover at ingen data går tapt
- Recovery time objective (RTO): Under 1 time for full tjenestegjenoppretting
- Recovery point objective (RPO): Null datatap takket være sanntidsreplikering
Ekstra sikkerhetstiltak:
- Månedlige tester av disaster recovery-prosedyrer
- Dokumentert incident response plan
- Rollebasert beredskapsplan med klare ansvarsområder
- Kommunikasjonsplan for å informere brukere ved større hendelser
⚖️ GDPR og personvern
Vi følger GDPR (General Data Protection Regulation) og norsk personvernlovgivning:
Dine rettigheter
- Rett til innsyn i dine data
- Rett til sletting (retten til å bli glemt)
- Rett til dataportabilitet
- Rett til å korrigere feil data
- Rett til å begrense behandling
- Rett til å protestere
Våre forpliktelser
- Consent-basert datainnsamling
- Transparent informasjon om databruk
- Dataminimering - kun nødvendig data
- Begrenset lagringstid
- Sikker databehandling
- Databehandleravtaler med underleverandører
Consent-first arkitektur
All datainnsamling hos BP Finans krever eksplisitt samtykke:
- Chatbot-funksjoner krever personvernsamtykke
- Analytics krever samtykke til statistikk
- Nyhetsbrev krever markedsføringssamtykke
- Samtykke kan når som helst trekkes tilbake
- Samtykke lagres strukturert med tidsstempler
📧 Sikkerhetsspørsmål og rapportering
Responsible Disclosure Policy
Vi setter pris på sikkerhetsforskere som hjelper oss med å holde våre systemer sikre. Hvis du oppdager en sårbarhet, vennligst rapporter den ansvarlig:
- E-post: kontakt@bpfinans.no med emne "SIKKERHET"
- Responstid: Vi svarer innen 24 timer på alle sikkerhetsrapporter
- Koordinert avsløring: Vi ber om 90 dager til å fikse kritiske problemer før offentliggjøring
- Anerkjennelse: Med ditt samtykke anerkjenner vi ansvarlige forskere offentlig
Vennligst IKKE:
- Utføre destruktive tester (DoS, spam, datalekkasje)
- Utnytte sårbarheten utover det som er nødvendig for å demonstrere
- Dele eller publisere sårbarheten før den er fikset
- Kreve løsepenger eller kompensasjon
Hva vi gjør når vi mottar en rapport:
- Bekreftelse (24 timer): Vi bekrefter mottak og starter undersøkelse
- Vurdering (48 timer): Vi vurderer alvorlighetsgrad og påvirkning
- Kommunikasjon: Vi holder deg oppdatert på progresjon
- Fikse: Vi implementerer en løsning basert på alvorlighetsgrad (kritisk: 1-7 dager, høy: 7-30 dager)
- Verifisering: Vi ber deg verifisere at fiksen løser problemet
- Anerkjennelse: Med ditt samtykke anerkjenner vi din innsats
Personvernspørsmål?
For spørsmål om hvordan vi behandler dine personopplysninger, se vår personvernerklæring eller kontakt oss via kontaktskjemaet.