Säkerhet

Agent Introvert AB åtar sig att skydda Tjänstens tillgänglighet, integritet och konfidentialitet, och att hantera säkerhetshändelser med transparens och utan dröjsmål.

• Krypterad överföring (TLS). All trafik mellan din enhet och Tjänsten skyddas med TLS 1.2 eller senare.
• Kryptering i vila. Data i vår databas och i säkerhetskopior krypteras med AES-256 av plattformsleverantören.
• Åtkomstkontroll. Behörighet ges enligt principen om minsta privilegium. Administrativ åtkomst kräver tvåfaktor- autentisering.
• Loggning. Säkerhetsrelaterade händelser loggas med skyddad lagring upp till 13 månader.
• Brandvägg och DDoS-skydd. Skydd på applikations- och nätverksnivå via våra plattformsleverantörer.
• Beroende-bevakning. Vi följer säkerhetspatchar för bibliotek vi använder.
• Säker utveckling. Kod granskas före produktion. Hemligheter (API-nycklar etc.) lagras aldrig i koden.

• Personuppgiftsbiträdesavtal med samtliga underbiträden — se Underbiträden.
• Internt instruktionsmaterial och säkerhetsutbildning.
• Säkerhetsmedveten rekrytering och tystnadsplikt.
• Periodiska genomgångar av åtkomster och säkerhetsläget.

Om vi upptäcker en personuppgiftsincident (data breach) följer vi GDPR art. 33–34 och anmäler till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Berörda användare informeras utan onödigt dröjsmål om incidenten kan medföra hög risk för dem.

Vi välkomnar säkerhetsforskare och hjälpsamma användare att rapportera sårbarheter. Tack vare er blir Prillo säkrare för alla.

• Skicka rapporten till security@prillo.se. Bifoga reproducerbart steg-för-steg och påverkansbedömning. Kryptera gärna mejlet om informationen är känslig (PGP-nyckel kan skickas på begäran).
• Vad vi lovar:bekräftelse inom 72 timmar, uppdatering varannan vecka tills åtgärd är klar, och beröm i vår "Hall of fame" om du önskar.
• Safe harbour. Så länge du följer reglerna nedan kommer vi inte att vidta rättsliga åtgärder eller anmäla dig till polisen för din forskning.

Inom scope för programmet:

• prillo.se och alla underdomäner under prillo.se,
• API:er som hör till prillo.se,
• klient-applikationer (web, eventuella mobilappar) från oss.

Utanför scope:

• tredjepartstjänster (BankID-leverantör, Brevo, etc.) — rapportera till dem direkt,
• DDoS- och brute-force-tester,
• social engineering mot vår personal,
• fysiskt intrång eller datorintrång,
• tester som påverkar andra användare eller deras data — använd endast egna konton.

Förväntat uppförande:

• använd endast de uppgifter som krävs för att visa felet,
• radera eventuell data du fått tillgång till efter testet,
• publicera inte sårbarheten utan att vi haft skälig tid att åtgärda den,
• undvik att skada Tjänsten eller dess tillgänglighet,
• agera enligt svensk lag — t.ex. brottsbalken 4 kap. 9c § om dataintrång.

Vid uppfyllelse av ovanstående och rapportering i god tro kommer Agent Introvert AB inte att vidta civilrättsliga eller straffrättsliga åtgärder.

Vi har för närvarande inget formellt bug bounty-program med monetär ersättning. Vi tackar dock med erkännande och i undantags- fall symbolisk ersättning för särskilt allvarliga fynd. Programmet kan komma att utvecklas över tid.

För automatisk upptäckt av kontaktvägar publicerar vi även maskinläsbar information enligt RFC 9116 på /.well-known/security.txt.