bungaflow
Så fungerar detPriserIntegrationer
Logga inKom igång

Incidenthanteringsplan

Senast uppdaterad: 25 mars 2026

1. Syfte och omfattning

Denna plan beskriver hur Bungaflow (drivet av Redor AS) upptäcker, hanterar och återhämtar sig från säkerhetsincidenter och dataintrång.

Planen gäller för alla system, data och personal som är involverade i driften av Bungaflow-plattformen.

2. Definitioner

  • Säkerhetsincident: Varje händelse som äventyrar konfidentialiteten, integriteten eller tillgängligheten hos Bungaflow-plattformen eller dess data.
  • Dataintrång (personuppgifter): Ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller åtkomst till personuppgifter (GDPR art. 4(12)).
  • Allvarlighetsnivåer: S1 Kritisk, S2 Allvarlig, S3 Mindre (enligt vår SLA).

3. Detektering och rapportering

  • Automatisk övervakning: Felspårning (Sentry), drifttidsövervakning, CI/CD-säkerhetsskanning (Gitleaks, Dependabot).
  • Loggning: Aktivitetsloggar för alla dataändringar i applikationen.
  • Intern rapportering: Teammedlemmar rapporterar misstänkta incidenter omedelbart till incidentansvarig.
  • Extern rapportering: Användare kan rapportera säkerhetsproblem till security@bungaflow.com.
  • Ansvarsfullt avslöjande: Vi välkomnar säkerhetsforskare som rapporterar sårbarheter på ett ansvarsfullt sätt.

4. Incidentklassificering

NivåKonsekvensExempel
S1 KritiskDataintrång med exponering av personuppgifter, fullständigt tjänsteavbrott, aktiv exploateringDatabasläcka, komprometterade inloggningsuppgifter, ransomware
S2 AllvarligDelvis tjänsteförsämring, potentiell dataexponering, sårbarhet med hög riskAutentiseringskringgående, injektionssårbarhet, delvis avbrott
S3 MindreBegränsad konsekvens, ingen dataexponering, lågrisk-sårbarhetInformationsläcka (ej personlig), mindre felkonfiguration

5. Responsprocedurer

Fas 1: Identifiering (0–1 timme)

  • Bekräfta att incidenten är verklig (inte falskt positiv)
  • Klassificera allvarlighetsnivå
  • Utse incidentansvarig
  • Påbörja dokumentation i incidentlogg

Fas 2: Inneslutning (1–4 timmar för S1/S2)

  • Kortsiktigt: Isolera drabbade system (återkalla åtkomst, blockera IP-adresser, inaktivera funktioner)
  • Bevara bevis (loggar, ögonblicksbilder)
  • Bedöm omfattning (vilka data/användare påverkas)

Fas 3: Eliminering (4–24 timmar för S1/S2)

  • Avlägsna orsaken (åtgärda sårbarhet, rotera inloggningsuppgifter, uppdatera beroenden)
  • Verifiera åtgärd med säkerhetsgranskning
  • Driftsätt via CI/CD-pipeline med automatiserade kontroller

Fas 4: Återställning (24–48 timmar för S1/S2)

  • Återställ normal drift
  • Övervaka för återkommande problem
  • Verifiera dataintegritet

Fas 5: Utvärdering efter incident (inom 5 arbetsdagar)

  • Rotorsaksanalys
  • Tidslinje över händelser
  • Vad som fungerade bra, vad som kan förbättras
  • Åtgärdspunkter och förebyggande åtgärder
  • Uppdatera denna plan vid behov

6. GDPR-meddelande vid intrång

I enlighet med GDPR artikel 33 och 34:

Till tillsynsmyndighet (IMY)

Inom 72 timmar efter att vi blivit medvetna, såvida det inte är osannolikt att intrånget medför risk för enskilda personer. Anmälan inkluderar: intrångets art, kategorier och ungefärligt antal registrerade, kontaktuppgifter, troliga konsekvenser och vidtagna åtgärder.

Till drabbade registrerade

Utan onödigt dröjsmål när intrånget sannolikt medför hög risk för deras rättigheter och friheter. Tydlig och enkel kommunikation som beskriver: intrångets art, kontaktuppgifter, troliga konsekvenser, vidtagna åtgärder och rekommenderade handlingar.

Till personuppgiftsansvariga

Om Bungaflow behandlar data på uppdrag av en personuppgiftsansvarig (se vårt personuppgiftsbiträdesavtal), meddelas den personuppgiftsansvarige inom 48 timmar.

7. Kommunikation

  • Internt: Incidentansvarig koordinerar all intern kommunikation.
  • Drabbade kunder: Direkt e-postmeddelande för S1/S2-incidenter som påverkar deras data.
  • Offentligt: Statussida uppdateras för tjänstepåverkande incidenter.
  • Media: Alla medieförfrågningar riktas till contact@bungaflow.com.
  • Inga tekniska detaljer som kan möjliggöra ytterligare exploatering avslöjas.

8. Säkerhetsåtgärder på plats (förebyggande)

  • Kryptering: TLS under överföring, AES-256-GCM för känsliga fält i vila.
  • Autentisering: Supabase Auth med OAuth och magiska länkar (inga lagrade lösenord).
  • Auktorisering: Rollbaserad åtkomstkontroll (Admin/Lite) med serversideverifiering.
  • Rubriker: HSTS, X-Frame-Options, Content-Security-Policy.
  • CI/CD: Automatisk linting, typkontroll, byggverifiering och hemlighetsscanning (Gitleaks) vid varje kodändring.
  • Beroenden: Automatisk sårbarhetsskanning via Dependabot.
  • Dataminimering: Bara nödvändiga data samlas in, kaskadradering vid kontoborttagning.
  • Underleverantörsgranskning: Alla underleverantörer har personuppgiftsbiträdesavtal och säkerhetscertifieringar (SOC 2 Type II, ISO 27001).

För fullständiga detaljer, se vår integritetspolicy.

9. Roller och ansvar

  • Incidentansvarig: Koordinerar respons, fattar beslut om inneslutning, kommunicerar med intressenter.
  • Utvecklingsteam: Implementerar tekniska åtgärder, driftsätter korrigeringar.
  • Dataskydd: Bedömer GDPR-implikationer, hanterar myndighetsanmälningar.

Kontakt: security@bungaflow.com

10. Granskning och uppdateringar

  • Denna plan granskas minst årligen.
  • Uppdateras efter varje S1/S2-incident baserat på lärdomar.
  • Alla teammedlemmar är bekanta med denna plan.