System 
Säkerhet 
Process Amber är byggt för att uppfylla de tekniska kraven i NIS2-direktivet (Artikel 21) — utan att kunden behöver konfigurera något.
NIS2 är EU:s uppdaterade direktiv för nät- och informationssäkerhet, transponerat till svensk lag som Cybersäkerhetslagen (gäller från 2025). Lagstiftningen ställer krav på tekniska och organisatoriska säkerhetsåtgärder i kritisk infrastruktur — och ekonomisystem räknas dit hos många organisationer. Den här artikeln beskriver hur Amber adresserar de tekniska kraven.
I korthet
| Område | Status |
|---|---|
| Autentisering & åtkomstkontroll | ✅ Uppfyllt |
| Nätverkssäkerhet | ✅ Uppfyllt |
| API-säkerhet | ✅ Uppfyllt |
| Loggning & spårbarhet | ✅ Uppfyllt |
| Säkerhetskopiering & återställning | ✅ Uppfyllt |
| Incidenthantering | ✅ Uppfyllt |
Autentisering & åtkomstkontroll
- Lösenord lagras aldrig i klartext — endast som starkt hashade värden med branschstandard-algoritmer
- Tvåfaktorsautentisering (TOTP) — aktiverbart per användare, obligatoriskt vid känsliga roller
- Single Sign-On mot organisationens identitetsleverantör — stöder alla större tenants
- Rollbaserad behörighet — granulär åtkomstkontroll per användare och bolag
- Brute-force-skydd — upprepade misslyckade inloggningar låser kontot tillfälligt
- Sessionshantering — inaktiva sessioner avslutas automatiskt
Nätverks- & API-säkerhet
- Krypterad kommunikation — TLS genomgående för all extern trafik
- Skydd mot vanliga webbangrepp — clickjacking, MIME-sniffing och liknande förhindras via standardiserade säkerhetshuvuden
- Skydd mot SQL-injektion — alla databasanrop sker via parametriserade frågor, aldrig genom strängkonkatenering
- Rate limiting — överbelastningsskydd på publika gränssnitt
- Separerade integrationsnycklar — varje integration har egna nycklar som lagras säkert utanför kodbasen
Loggning & spårbarhet
- Inloggningslogg — alla lyckade och misslyckade inloggningsförsök loggas
- Audit trail — alla ändringar i affärskritiska register spåras med användare, tid och fält-nivåhistorik
- AI-anropslogg — alla AI-interaktioner loggas separat per kund för insyn och kostnadskontroll
- Spårbarhet vid attestering — varje attestbeslut tidstämplas och kopplas till användare
- Personuppgiftsdetektion — GDPR-modulen detekterar och loggar persondata i fritextfält (Art. 30-stöd)
Säkerhetskopiering & återställning
- Automatiserad nattlig backup — alla kunddatabaser säkerhetskopieras varje natt av en fristående tjänst, oberoende av Amber-applikationen
- GFS-rotation — dagliga kopior bevaras 7 dagar, veckokopior 4 veckor, månadskopior 12 månader
- Dokument och filer — även filarean (PDF:er, EDI-XML, underlag) säkerhetskopieras inkrementellt till samma molnlagring
- Offsite-lagring — kopiorna skickas automatiskt till molnlagring i Europa, fysiskt åtskilt från produktionsservern
- Manuell körning — backup kan startas manuellt när som helst, med live-återkoppling i realtid
- Loggad historik — varje körning loggas med databas, storlek, tid och GFS-nivå; synlig i Driftsloggen
- Återställningsmål — RPO (max dataförlust) 24 timmar, RTO (max återställningstid) 8 arbetstimmar; återställning testas årligen och resultatet dokumenteras
Se Backup och dataskydd för en fullständig beskrivning.
Incidenthantering
Amber detekterar och dokumenterar säkerhets- och drifthändelser automatiskt:
- Driftstörningar — om Amber är otillgänglig i mer än 10 minuter skapas en incident automatiskt med tidpunkt och varaktighet. Allvarlighet sätts efter tidpunkt på dygnet (dagtid = Medel, natt = Låg).
- Onormal belastning — en fristående tjänst mäter processorlast, minne och svarstid var femte minut. Vid ihållande överbelastning (över inställbara gränsvärden flera mätningar i rad) skapas en incident och larm skickas; incidenten stängs automatiskt när läget normaliserats.
- Brute-force-angrepp — upprepade misslyckade inloggningar triggar automatisk incident. Fem försök mot samma konto på 10 minuter ger allvarlighet Medel; tio försök från många konton på 5 minuter ger Hög.
- Backup-fel — om en backup misslyckas skapas en incident av typen Driftstörning.
Alla incidenter hamnar i ett strukturerat incidentregister (tillgängligt för administratörer) med fält för typ, allvarlighet, beskrivning, åtgärd, ansvarig och om händelsen rapporterats till MSB/CERT-SE. Registret utgör det underlag NIS2 Art. 21 kräver för incidentdokumentation.
Vad Amber inte tar ansvar för
NIS2 omfattar både tekniska och organisatoriska åtgärder. Amber adresserar den tekniska sidan — organisationen ansvarar fortfarande för:
- Rapportering av incidenter till tillsynsmyndighet (MSB/CERT-SE) — Amber levererar loggar och underlag, ni gör anmälan
- Personalutbildning och säkerhetspolicy
- Riskhantering och leverantörsbedömning — inklusive bedömning av Amber som leverantör (NIS2 Art. 21.2.d). Säkerhetsunderlag kan begäras från supporten
- Affärskontinuitetsplaner och övningar — Amber levererar automatiserad backup med GFS-rotation och offsite-lagring (se Backup och dataskydd), ni äger återställningsplanen och övningarna
Vi tillhandahåller underlaget; ni gör styrningen.
Granskning och dokumentation
Den tekniska efterlevnaden granskas inför varje större version och dokumenteras separat. Aktuell granskning kan begäras från supporten — den ges ut under sekretess till kunder och deras revisorer.