Gå til hovedinnhold

Hendelseshåndtering

Save Solutions AS har etablert prosedyrer for å oppdage, håndtere og varsle om sikkerhetshendelser i henhold til GDPR artikkel 33 og 34.

Overvåking og deteksjon

Revizo benytter flere systemer for å oppdage uønskede hendelser:

SystemHva det overvåkerVarsling
SentryApplikasjonsfeil, uventede unntak, ytelsesavvikSanntidsvarsler til utviklingsteamet
Strukturert loggingAlle API-forespørsler med bruker-ID, organisasjons-ID og korrelasjons-IDGjennomgås ved hendelser
Hendelseslogg (audit log)Sensitive handlinger: sletting, rolleendringer, integrasjonsendringer, dataeksportTilgjengelig for administratorer
VercelDeployment-status, funksjonsfeil, responstiderAutomatiske varsler
SupabaseDatabase-helse, tilkoblinger, diskbrukDashboard og varsler
Rate limitingUvanlig høy trafikk, potensielle brute force-forsøkAutomatisk blokkering med logging

PII-beskyttelse i overvåking

Feilovervåkingssystemet (Sentry) er konfigurert til å filtrere bort personopplysninger før data sendes:

  • Forespørselsdata (request body) fjernes automatisk
  • Sensitiv input maskeres i session replay
  • Kun feilkontekst (type, sted i kode, korrelasjons-ID) beholdes

Klassifisering av hendelser

AlvorlighetBeskrivelseEksemplerResponstid
KritiskBekreftet datainnbrudd eller tap av dataUautorisert tilgang til kundedata, databaselekkasjeUmiddelbar respons
HøyPotensiell sikkerhetssvakhet under utnyttelseMistenkelig tilgangsmønster, feilet autentiseringsforsøk i volumInnen 1 time
MediumIdentifisert sårbarhet uten bekreftet utnyttelseKjent sårbarhet i avhengighet, konfigurasjonsfeilInnen 24 timer
LavMindre sikkerhetsforbedringManglende logging på ikke-sensitiv ruteNeste sprint

Responsprosedyre

Ved en sikkerhetshendelse følger vi denne prosedyren:

1. Identifisering og inneslutning (0–1 time)

  • Bekreft at hendelsen er reell (ikke falsk positiv)
  • Identifiser omfang: hvilke data, systemer og organisasjoner er berørt?
  • Iverksett inneslutning: blokker tilgang, roter nøkler, deaktiver berørte funksjoner

2. Vurdering (1–4 timer)

  • Kartlegg årsak og angrepsvektor
  • Vurder om personopplysninger er eksponert
  • Dokumenter funn fortløpende
  • Avgjør om hendelsen krever varsling (se under)

3. Utbedring (4–24 timer)

  • Implementer permanent fiks
  • Verifiser at sårbarheten er lukket
  • Gjenopprett normal drift
  • Gjennomgå om lignende svakheter finnes andre steder

4. Varsling

Varsling til Datatilsynet (GDPR art. 33)

Dersom hendelsen innebærer brudd på personopplysningssikkerheten som sannsynligvis medfører risiko for registrertes rettigheter:

  • Frist: Innen 72 timer etter at vi ble kjent med bruddet
  • Innhold: Beskrivelse av bruddet, kategorier og omtrentlig antall berørte, sannsynlige konsekvenser, tiltak iverksatt

Varsling til berørte kunder (GDPR art. 34)

Dersom hendelsen sannsynligvis medfører høy risiko for registrertes rettigheter:

  • Frist: Uten ugrunnet opphold
  • Kanal: E-post til alle administratorer i berørte organisasjoner
  • Innhold: Beskrivelse av hendelsen, hvilke data som er berørt, tiltak vi har iverksatt, anbefalte tiltak for kunden

5. Etterevaluering

  • Intern gjennomgang av hendelsen (blameless post-mortem)
  • Identifiser forbedringspunkter i systemer, prosesser og overvåking
  • Oppdater sikkerhetsdokumentasjon og prosedyrer
  • Implementer forebyggende tiltak

Kontaktinformasjon ved hendelser

Dersom du oppdager en sikkerhetshendelse eller sårbarhet i Revizo, kontakt oss umiddelbart:

Vi tar alle henvendelser om sikkerhet alvorlig og svarer innen 24 timer.

Ansvarlig avsløring (Responsible Disclosure)

Vi oppfordrer sikkerhetsforskere og brukere til å rapportere sårbarheter ansvarlig:

  1. Beskriv sårbarheten så detaljert som mulig
  2. Unngå å utnytte sårbarheten utover det som er nødvendig for å demonstrere den
  3. Ikke del informasjon om sårbarheten med tredjeparter før vi har hatt mulighet til å utbedre den
  4. Vi anerkjenner alle gyldige rapporter og holder deg oppdatert om fremdrift

Sist oppdatert: Mars 2026