bungaflow
Slik fungerer detPriserIntegrasjoner
Logg innKom i gang

Hendelsesplan

Sist oppdatert: 25. mars 2026

1. Formål og omfang

Denne planen beskriver hvordan Bungaflow (driftet av Redor AS) oppdager, håndterer og gjenoppretter etter sikkerhetshendelser og databrudd.

Planen gjelder for alle systemer, data og personell involvert i drift av Bungaflow-plattformen.

2. Definisjoner

  • Sikkerhetshendelse: Enhver hendelse som kompromitterer konfidensialiteten, integriteten eller tilgjengeligheten til Bungaflow-plattformen eller dens data.
  • Databrudd (personopplysninger): Et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger (GDPR art. 4(12)).
  • Alvorlighetsnivåer: S1 Kritisk, S2 Alvorlig, S3 Mindre (som definert i vår SLA).

3. Deteksjon og rapportering

  • Automatisk overvåking: Feilsporing (Sentry), oppetidsovervåking, CI/CD-sikkerhetsskanning (Gitleaks, Dependabot).
  • Logging: Aktivitetslogger for alle dataendringer i applikasjonen.
  • Intern rapportering: Teammedlemmer rapporterer mistenkte hendelser umiddelbart til hendelsesansvarlig.
  • Ekstern rapportering: Brukere kan rapportere sikkerhetsproblemer til security@bungaflow.com.
  • Ansvarlig avsløring: Vi ønsker sikkerhetsforskere som rapporterer sårbarheter på en ansvarlig måte velkommen.

4. Hendelsesklassifisering

NivåKonsekvensEksempler
S1 KritiskDatabrudd med eksponering av personopplysninger, fullstendig tjenesteavbrudd, aktiv utnyttelseDatabaselekkasje, kompromitterte innloggingsdetaljer, løsepengevirus
S2 AlvorligDelvis tjenesteforstyrrelser, potensiell dataeksponering, sårbarhet med høy risikoAutentiseringsomgåelse, injeksjonssårbarhet, delvis avbrudd
S3 MindreBegrenset konsekvens, ingen dataeksponering, lavrisiko-sårbarhetInformasjonslekkasje (ikke personlig), mindre feilkonfigurasjon

5. Responsprosedyrer

Fase 1: Identifisering (0–1 time)

  • Bekreft at hendelsen er reell (ikke falsk positiv)
  • Klassifiser alvorlighetsnivå
  • Utnevn hendelsesansvarlig
  • Start dokumentasjon i hendelseslogg

Fase 2: Innkapsling (1–4 timer for S1/S2)

  • Kortsiktig: Isoler berørte systemer (tilbakekall tilgang, blokker IP-er, deaktiver funksjoner)
  • Sikre bevis (logger, øyeblikksbilder)
  • Vurder omfang (hvilke data/brukere er berørt)

Fase 3: Eliminering (4–24 timer for S1/S2)

  • Fjern årsaken (fiks sårbarhet, roter innloggingsdetaljer, oppdater avhengigheter)
  • Verifiser fiks med sikkerhetsgjennomgang
  • Deploy via CI/CD-pipeline med automatiserte kontroller

Fase 4: Gjenoppretting (24–48 timer for S1/S2)

  • Gjenopprett normal drift
  • Overvåk for gjentakelse
  • Verifiser dataintegritet

Fase 5: Evaluering etter hendelse (innen 5 virkedager)

  • Rotårsaksanalyse
  • Tidslinje over hendelser
  • Hva fungerte bra, hva kan forbedres
  • Handlingspunkter og forebyggende tiltak
  • Oppdater denne planen om nødvendig

6. GDPR-varsel ved brudd

I samsvar med GDPR artikkel 33 og 34:

Til tilsynsmyndighet (Datatilsynet)

Innen 72 timer etter at vi ble klar over bruddet, med mindre det er usannsynlig at bruddet medfører risiko for enkeltpersoner. Varselet inkluderer: bruddets art, kategorier og omtrentlig antall registrerte, kontaktopplysninger, sannsynlige konsekvenser og tiltak som er iverksatt.

Til berørte registrerte

Uten ugrunnet opphold når bruddet sannsynligvis vil medføre høy risiko for deres rettigheter og friheter. Klar og enkel kommunikasjon som beskriver: bruddets art, kontaktopplysninger, sannsynlige konsekvenser, tiltak som er iverksatt og anbefalte handlinger.

Til behandlingsansvarlige

Dersom Bungaflow behandler data på vegne av en behandlingsansvarlig (se vår databehandleravtale), varsles den behandlingsansvarlige innen 48 timer.

7. Kommunikasjon

  • Internt: Hendelsesansvarlig koordinerer all intern kommunikasjon.
  • Berørte kunder: Direkte e-postvarsling for S1/S2-hendelser som påvirker deres data.
  • Offentlig: Statusside oppdateres for hendelser som påvirker tjenesten.
  • Media: Alle mediehenvendelser rettes til contact@bungaflow.com.
  • Ingen offentliggjøring av tekniske detaljer som kan muliggjøre ytterligere utnyttelse.

8. Sikkerhetstiltak på plass (forebyggende)

  • Kryptering: TLS under overføring, AES-256-GCM for sensitive felt i hvile.
  • Autentisering: Supabase Auth med OAuth og magiske lenker (ingen lagrede passord).
  • Autorisasjon: Rollebasert tilgangskontroll (Admin/Lite) med serversidevalidering.
  • Headere: HSTS, X-Frame-Options, Content-Security-Policy.
  • CI/CD: Automatisk linting, typesjekking, byggevalidering og hemmelighetsskanning (Gitleaks) på hver kodeendring.
  • Avhengigheter: Automatisk sårbarhetsskanning via Dependabot.
  • Dataminimering: Bare nødvendige data samles inn, kaskadesletting ved fjerning av konto.
  • Underleverandørvurdering: Alle underleverandører har databehandleravtale og sikkerhetssertifiseringer (SOC 2 Type II, ISO 27001).

For fullstendige detaljer, se vår personvernerklæring.

9. Roller og ansvar

  • Hendelsesansvarlig: Koordinerer respons, tar beslutninger om innkapsling, kommuniserer med interessenter.
  • Utviklingsteam: Implementerer tekniske fikser, deployer oppdateringer.
  • Personvern: Vurderer GDPR-implikasjoner, håndterer myndighetsvarsling.

Kontakt: security@bungaflow.com

10. Gjennomgang og oppdateringer

  • Denne planen gjennomgås minst årlig.
  • Oppdateres etter hver S1/S2-hendelse basert på lærdommer.
  • Alle teammedlemmer er kjent med denne planen.