Säkerhet
Var data lever, hur den skyddas och vilka underbiträden som hanterar den.
- Region
- Stockholm · arn1
- Datalokalisering
- EU-only
- Kryptering i vila
- AES-256
- Kryptering i transit
- TLS 1.3
- Identitet
- BankID · SAML SSO
- Backup
- Daglig · 30 dagars retention
- Incidentrutin
- Rapporterad ≤ 72 h
- Sub-processor-notis
- Minst 30 dagar i förväg
Datalokalisering
Cupa körs i Stockholm-regionen (Supabase EU + Fly.io arn1). All kunddata lagras inom EU/EES. Inga överföringar till tredjeland.
Kryptering
Data i vila krypteras med AES-256 på databasnivå och i objektslagring. All trafik mellan klient och server går över TLS 1.3 med strikt HSTS.
Autentisering & behörighet
Inloggning via BankID eller SAML SSO. Tenant-isolering via RLS i databasen. Roller och behörigheter konfigureras per användare. JWT-baserad sessionshantering, host-only cookies på app.cupa.se.
Underbiträden
Cupa anlitar ett antal underbiträden för att leverera tjänsten — bland annat Supabase, Vercel, Fly.io och Sinch. En aktuell, fullständig lista med datalokalisering, roll och DPA-länkar finns på /legal/underbitraden. Vi meddelar dig minst 30 dagar i förväg innan vi anlitar nya underbiträden.
Incidenthantering
Personuppgiftsincidenter rapporteras till kunden utan onödigt dröjsmål, dock senast inom 72 timmar från upptäckt. Status och postmortem delas i kundens administratörsgränssnitt.
Backup & återställning
Daglig fullständig backup med 30 dagars retention. Point-in-time recovery på databas-nivå. Återställningsövningar genomförs kvartalsvis.
Säkerhetskontakt
Säkerhetsfrågor och ansvarsfullt avslöjande: security@cupa.se