Bostadsrätter är många människors största investering och styrelsearbete bygger på förtroende. Borevo är byggt med svensk lagstiftning, BankID och föreningsisolering som utgångspunkter — inte som tillägg.
Alla användare kan logga in med BankID — samma trygga identifiering som hos banken. Varje BankID-inloggning knyts till en svensk personidentitet. Lösenordsinloggning finns som komplement, med strikt hantering enligt kontrollerna nedan.
Ingen utomstående kan läsa föreningens data — varken i databasen eller på vägen dit. Känsliga fält krypteras på applikationsnivå innan de skrivs till databasen, och all trafik går över krypterad anslutning (HTTPS med HSTS).
Inloggningar, attestbeslut, dokumentuppladdningar och integrationshändelser skrivs till en separat granskningslogg. Loggen är skrivskyddad från applikationen och kan exporteras vid revision eller incident.
Databas, blob-lagring och loggar driftas hos europeiska leverantörer i EU-regioner. Personuppgifter lämnar aldrig EU/EES under normal drift.
Det här är inte featurekrav från en checklista — det är de tekniska val som styrelsen aldrig behöver fundera över men som ändå alltid är på plats.
Plattformen separerar MEDLEM, BOARD och ADMIN. Ekonomiska och juridiska åtgärder kräver minst BOARD-roll och kontrolleras både i klient och server. Föreningar är fullständigt isolerade — en användares vy innehåller bara den egna föreningens data.
I de fall lösenord används lagras de aldrig läsbart — de skyddas enligt branschstandarden OWASP. Tio felaktiga försök låser kontot i 15 minuter, och återställning sker via engångslänk med kort giltighetstid.
Inloggning, lösenordsåterställning och BankID-flödet har hastighetsbegränsningar som stoppar automatiserade intrångsförsök. Inbyggda skydd förhindrar att en främmande webbplats lurar systemet att utföra åtgärder i en inloggad användares namn.
Personnummer används enbart för BankID-matchning och lagras alltid oläsbart (kryptografiskt hashade). Databaskopior och loggar innehåller därför aldrig läsbara personnummer.
Ingen kan ändra bokföringen i efterhand utan att det syns. Varje verifikat länkas kryptografiskt till det föregående — ett försök att ändra ett gammalt verifikat bryter kedjan och upptäcks vid nästa revision. Skyddet är inbyggt, inget styrelsen behöver aktivera.
Uppladdade dokument kontrolleras mot sitt faktiska innehåll, och format som kan bära skadlig kod avvisas. Nedladdning sker alltid genom en kontroll som verifierar att den som hämtar tillhör rätt förening.
Vi tecknar personuppgiftsbiträdesavtal (PUB) med varje förening. Registrerade kan begära ut sina personuppgifter eller raderas — och plattformen har en automatiserad rensning av föräldralösa konton äldre än 12 månader.
Verifikat, fakturor och årsredovisningar arkiveras enligt bokföringslagens krav på sju års bevarande och oföränderlighet. Export i SIE4-format finns för revision och vid systembyte.
Föreningens revisor får läsåtkomst till verifikat, dokument och exportpaket via en separat tidsbegränsad inloggning. Varje åtkomst loggas och styrelsen kan återkalla behörigheten omedelbart.
Hela koden går igenom återkommande säkerhetsgenomgångar med fokus på OWASP:s topp 10 och svensk lagstiftningsefterlevnad.
Vi har en dokumenterad process för incidenthantering. Föreningar som påverkas av en incident underrättas inom 72 timmar enligt GDPR.
Säkerhetsrelevanta ändringar dokumenteras och kommuniceras. Inga tysta nedgraderingar av lösenordspolicy eller kryptering.
Full export av bokföring (SIE4-format), dokument och register ingår utan kostnad — när ni vill och vid avtalets slut. Föreningen är aldrig inlåst.
Säkerhetsfrågor besvaras direkt av vårt tekniska team. Rapportera misstänkta sårbarheter via security@borevo.se — vi bekräftar mottagandet inom en arbetsdag.
Vi går gärna igenom plattformens säkerhetsarkitektur, PUB-avtal och leverantörskedja med er styrelse eller revisor.