Tillbaka till startsidan
Säkerhet & dataskydd

Föreningens data ska aldrig vara den svaga länken.

Bostadsrätter är många människors största investering och styrelse­arbete bygger på förtroende. Borevo är byggt med svensk lagstiftning, BankID och förenings­isolering som utgångspunkter — inte som tillägg.

Fyra grundpelare

Det här bygger plattformen vidare på

BankID från första klick

Alla användare kan logga in med BankID — samma trygga identifiering som hos banken. Varje BankID-inloggning knyts till en svensk personidentitet. Lösenordsinloggning finns som komplement, med strikt hantering enligt kontrollerna nedan.

Kryptering i lagring och transport

Ingen utomstående kan läsa föreningens data — varken i databasen eller på vägen dit. Känsliga fält krypteras på applikationsnivå innan de skrivs till databasen, och all trafik går över krypterad anslutning (HTTPS med HSTS).

Granskningslogg på varje åtgärd

Inloggningar, attestbeslut, dokumentuppladdningar och integrations­händelser skrivs till en separat gransknings­logg. Loggen är skrivskyddad från applikationen och kan exporteras vid revision eller incident.

All data lagras inom EU

Databas, blob-lagring och loggar driftas hos europeiska leverantörer i EU-regioner. Personuppgifter lämnar aldrig EU/EES under normal drift.

Konkreta skydd

Sex kontroller som löper i bakgrunden

Det här är inte feature­krav från en check­lista — det är de tekniska val som styrelsen aldrig behöver fundera över men som ändå alltid är på plats.

01

Roll- och behörighetsmodell

Plattformen separerar MEDLEM, BOARD och ADMIN. Ekonomiska och juridiska åtgärder kräver minst BOARD-roll och kontrolleras både i klient och server. Föreningar är fullständigt isolerade — en användares vy innehåller bara den egna föreningens data.

02

Säker lösenordshantering

I de fall lösenord används lagras de aldrig läsbart — de skyddas enligt branschstandarden OWASP. Tio felaktiga försök låser kontot i 15 minuter, och återställning sker via engångslänk med kort giltighetstid.

03

Skydd mot automatiserade attacker

Inloggning, lösenords­återställning och BankID-flödet har hastighets­begränsningar som stoppar automatiserade intrångs­försök. Inbyggda skydd förhindrar att en främmande webbplats lurar systemet att utföra åtgärder i en inloggad användares namn.

04

Personnummer aldrig i klartext

Personnummer används enbart för BankID-matchning och lagras alltid oläsbart (kryptografiskt hashade). Databas­kopior och loggar innehåller därför aldrig läsbara personnummer.

05

Manipulations­skyddat verifikat­arkiv

Ingen kan ändra bokföringen i efterhand utan att det syns. Varje verifikat länkas kryptografiskt till det föregående — ett försök att ändra ett gammalt verifikat bryter kedjan och upptäcks vid nästa revision. Skyddet är inbyggt, inget styrelsen behöver aktivera.

06

Säker dokument­hantering

Uppladdade dokument kontrolleras mot sitt faktiska innehåll, och format som kan bära skadlig kod avvisas. Nedladdning sker alltid genom en kontroll som verifierar att den som hämtar tillhör rätt förening.

Laghantering

Det legala ramverket är inbyggt

01

GDPR-anpassad från grunden

Vi tecknar personuppgifts­biträdes­avtal (PUB) med varje förening. Registrerade kan begära ut sina personuppgifter eller raderas — och plattformen har en automatiserad rensning av föräldra­lösa konton äldre än 12 månader.

02

Bokföringslagens arkivkrav

Verifikat, fakturor och årsredovisningar arkiveras enligt bokförings­lagens krav på sju års bevarande och oföränderlighet. Export i SIE4-format finns för revision och vid systembyte.

03

Revisorsportal med begränsad åtkomst

Föreningens revisor får läsåtkomst till verifikat, dokument och export­paket via en separat tidsbegränsad inloggning. Varje åtkomst loggas och styrelsen kan återkalla behörigheten omedelbart.

Våra åtaganden

Det här lovar vi varje förening

01

Säkerhets­granskningar

Hela koden går igenom återkommande säkerhets­genom­gångar med fokus på OWASP:s topp 10 och svensk lagstiftnings­efterlevnad.

02

Incident­hantering

Vi har en dokumenterad process för incident­hantering. Föreningar som påverkas av en incident underrättas inom 72 timmar enligt GDPR.

03

Transparent förändringslogg

Säkerhets­relevanta ändringar dokumenteras och kommuniceras. Inga tysta nedgraderingar av lösenords­policy eller kryptering.

04

Er data är er — alltid

Full export av bokföring (SIE4-format), dokument och register ingår utan kostnad — när ni vill och vid avtalets slut. Föreningen är aldrig inlåst.

Säkerhets­frågor besvaras direkt av vårt tekniska team. Rapportera misstänkta sårbarheter via security@borevo.se — vi bekräftar mottagandet inom en arbetsdag.

Säkerhet utan tillägg

Vill ni gå igenom säkerhets­upplägget i detalj?

Vi går gärna igenom plattformens säkerhets­arkitektur, PUB-avtal och leverantörs­kedja med er styrelse eller revisor.