System 
Säkerhet 
Process Amber är byggt för att uppfylla de tekniska kraven i NIS2-direktivet (Artikel 21) — utan att kunden behöver konfigurera något.
NIS2 är EU:s uppdaterade direktiv för nät- och informationssäkerhet. Direktivet ställer krav på tekniska och organisatoriska säkerhetsåtgärder i kritisk infrastruktur — och ekonomisystem räknas dit hos många organisationer. Den här artikeln beskriver hur Amber adresserar de tekniska kraven.
I korthet
| Område | Status |
|---|---|
| Autentisering & åtkomstkontroll | ✅ Uppfyllt |
| Nätverkssäkerhet | ✅ Uppfyllt |
| API-säkerhet | ✅ Uppfyllt |
| Loggning & spårbarhet | ✅ Uppfyllt |
Autentisering & åtkomstkontroll
- Lösenord lagras aldrig i klartext — endast som starkt hashade värden med branschstandard-algoritmer
- Tvåfaktorsautentisering (TOTP) — aktiverbart per användare, obligatoriskt vid känsliga roller
- Single Sign-On mot organisationens identitetsleverantör — stöder alla större tenants
- Rollbaserad behörighet — granulär åtkomstkontroll per användare och bolag
- Brute-force-skydd — upprepade misslyckade inloggningar låser kontot tillfälligt
- Sessionshantering — inaktiva sessioner avslutas automatiskt
Nätverks- & API-säkerhet
- Krypterad kommunikation — TLS genomgående för all extern trafik
- Skydd mot vanliga webbangrepp — clickjacking, MIME-sniffing och liknande förhindras via standardiserade säkerhetshuvuden
- Skydd mot SQL-injektion — alla databasanrop sker via parametriserade frågor, aldrig genom strängkonkatenering
- Rate limiting — överbelastningsskydd på publika gränssnitt
- Separerade integrationsnycklar — varje integration har egna nycklar som lagras säkert utanför kodbasen
Loggning & spårbarhet
- Inloggningslogg — alla lyckade och misslyckade inloggningsförsök loggas
- Audit trail — alla ändringar i affärskritiska register spåras med användare, tid och fält-nivåhistorik
- AI-anropslogg — alla AI-interaktioner loggas separat per kund för insyn och kostnadskontroll
- Spårbarhet vid attestering — varje attestbeslut tidstämplas och kopplas till användare
- Personuppgiftsdetektion — GDPR-modulen detekterar och loggar persondata i fritextfält (Art. 30-stöd)
Vad Amber inte tar ansvar för
NIS2 omfattar både tekniska och organisatoriska åtgärder. Amber adresserar den tekniska sidan — organisationen ansvarar fortfarande för:
- Incidenthantering och rapportering till tillsynsmyndighet
- Personalutbildning och säkerhetspolicy
- Riskhantering och leverantörsbedömning
- Affärskontinuitetsplaner
Vi tillhandahåller underlaget; ni gör styrningen.
Granskning och dokumentation
Den tekniska efterlevnaden granskas inför varje större version och dokumenteras separat. Aktuell granskning kan begäras från supporten — den ges ut under sekretess till kunder och deras revisorer.
Senast granskad: 2026-04-29