Säkerhetsåtgärder för ChainSec

Om ChainSec

ChainSec är en svensk tjänst som hjälper företag i hela Europa att förbättra sin cybersäkerhet genom digitala verktyg för leverantörskedjesäkerhet. Tjänsten drivs av Fiive AB (Org nr 559457-1563) med kontor i Göteborg.

Teknisk plattform

Vår applikation bygger på moderna, väletablerade teknologier:

• •Frontend: React med TypeScript
• •Backend: Node.js med Express och TypeScript
• •Databas: MongoDB Atlas med professionell drift och automatisk säkerhetskopiering
• •Molninfrastruktur: Amazon Web Services (AWS) med datacenter i Stockholm
• •Fillagring: AWS S3 med krypterad lagring

Autentisering och åtkomstkontroll

Flerfaktorsautentisering (MFA)

Vi rekommenderar att alla användarkonton skyddas med tvåfaktorsautentisering via tidsbaserade engångslösenord (TOTP) med hjälp av vanliga autentiseringsappar.

Sessionshantering

• •Säkra, krypterade sessioner med automatisk utloggning vid inaktivitet
• •HttpOnly och Secure cookies
• •Automatisk kontolåsning efter upprepade misslyckade inloggningsförsök

Lösenordssäkerhet

• •Branschledande kryptering (bcrypt) för säker lösenordslagring
• •Säkra åtkomsttokens genererade med stark kryptografisk entropi
• •Säker lösenordsåterställning med tidsbegränsade länkar

Datasäkerhet

Kryptering

• •Data i transit: TLS 1.2+ (HTTPS) för all kommunikation mellan klient och server
• •Data at rest: MongoDB Atlas encryption och AWS S3 AES-256 server-side encryption
• •Databaskommunikation: TLS-krypterad anslutning
• •Cookies: Krypterade session cookies med HttpOnly och Secure flags

Databas och lagring

• •MongoDB Atlas med professionell drift och automatisk säkerhetskopiering
• •AWS S3 för krypterad fillagring med AES-256 encryption
• •Geografisk datalagringsplats: Sverige (Stockholm-regionen)

Inmatningsvalidering och sanering

• •Automatiskt skydd mot NoSQL-injektioner
• •Skydd mot XSS (Cross-Site Scripting) genom inmatningssanering
• •Strikt validering av filuppladdningar med begränsningar för MIME-typ och storlek
• •Timing-safe jämförelser för tokens för att förhindra timing-attacker

Nätverkssäkerhet

Web Application Firewall (WAF)

AWS Web Application Firewall (WAF) skyddar vår applikation mot vanliga webbexploateringar och attacker. WAF:en filtrerar och övervakar HTTP/HTTPS-trafik enligt konfigurerade säkerhetsregler, inklusive skydd mot OWASP Top 10-sårbarheter och DDoS-attacker.

Hastighetsbegränsning (Rate Limiting)

För att skydda mot överbelastningsattacker och automatiserade angrepp använder vi omfattande hastighetsbegränsningar för API-anrop, inloggningsförsök, lösenordsåterställning och massoperationer. Dessa gränser justeras dynamiskt baserat på säkerhetshot och användningsmönster.

HTTP-headers

Applikationen skyddas med moderna HTTP-headers:

• •Content-Security-Policy: Begränsar vilka resurser som kan laddas
• •Strict-Transport-Security (HSTS): Tvingar HTTPS-anslutningar
• •X-Frame-Options: Skyddar mot clickjacking-attacker
• •X-Content-Type-Options: Förhindrar MIME-typ-gissning
• •Referrer-Policy: Kontrollerar informationsläckage
• •Permissions-Policy: Begränsar tillgång till känsliga webbläsarfunktioner

Resursdelning mellan domäner (CORS)

Strikt konfigurerad policy för resursdelning som endast tillåter förfrågningar från godkända ursprung.

Övervakning och loggning

Säkerhetsloggning

• •Detaljerad loggning av alla autentiseringsförsök
• •Granskningsloggar (audit trails) för säkerhetshändelser
• •Automatisk varning vid misstänkta aktiviteter
• •Säker och redundant logglagring i molnet

Felspårning och incidenthantering

Avancerad felspårning och incidenthantering i produktionsmiljö, vilket möjliggör snabb identifiering och respons vid säkerhetsincidenter.

Molnsäkerhet (AWS)

Vår infrastruktur driftas på Amazon Web Services med:

• •IAM-baserad åtkomstkontroll (Identity and Access Management)
• •Krypterad fillagring i S3 med AES-256
• •Nätverksisolering mellan tjänster
• •Regelbundna säkerhetsuppdateringar
• •Datacenter i Sverige (Stockholm-regionen)

Regelbundna säkerhetsgranskningar

Vi utför kontinuerlig säkerhetsövervakning och regelbundna:

• •Sårbarhetsanalyser av applikationskod
• •Kontinuerliga uppdateringar av beroenden och bibliotek
• •Säkerhetsanalyser av infrastruktur
• •Oberoende säkerhetsgranskningar

Utvecklingssäkerhet

• •Automatisk säkerhetstestning i utvecklingspipeline
• •Kodgranskning med säkerhetsregler
• •Automatisk scanning av beroenden för kända sårbarheter
• •Säker utvecklingspraxis och kodgranskningar

Kontakta oss

Vid frågor om säkerhet eller dataskydd:

• •E-post: info@chainsec.se
• •Webbplats: www.chainsec.se