Vi tar säkerheten för er företagsdata på största allvar. Enterprise-grade säkerhet, GDPR-compliant, och full transparens.
Full efterlevnad av EU:s dataskyddsförordning
All data krypteras i transit (TLS 1.3) och i vila (AES-256)
All data lagras inom EU (Frankfurt, Tyskland)
All kommunikation mellan er webbläsare och våra servrar är krypterad med TLS 1.3 (Transport Layer Security). Data lagras krypterat i databasen med AES-256, vilket är samma standard som banker använder.
Vi använder Row-Level Security (RLS) i databasen. Det innebär att varje företag endast kan se sin egen data – även om någon skulle få tillgång till databasen kan de inte läsa andras information.
Vi följer EU:s dataskyddsförordning (GDPR) och svensk lag. Er data är er data – vi använder den aldrig för något annat än att leverera tjänsten till er.
Vi använder Supabase (baserat på PostgreSQL) och Vercel för hosting – båda enterprise-grade plattformar som används av Fortune 500-företag.
Varje företag har sin egen isolerade databas-partition med Row-Level Security. Era leverantörers data kan aldrig ses av andra kunder – tekniskt omöjligt.
Våra system är byggda för att möta kraven för revisorer och CSRD-compliance. Full audit trail och dokumentation av alla ändringar.
Full efterlevnad av EU:s dataskyddsförordning. Vi har utsett dataskyddsombud, genomfört DPIA (Data Protection Impact Assessment), och följer alla krav på informationssäkerhet och användarrättigheter.
Vår infrastruktur (Supabase + Vercel) är ISO 27001-certifierad för informationssäkerhetshantering. Detta säkerställer enterprise-grade säkerhetsprocesser och kontinuerlig övervakning.
Våra rapporter följer CSRD (EU 2022/2464) och ESRS E1 för klimatrapportering. Vi använder GHG Protocol Category 1 metodologi för Scope 3-beräkningar.
Supabase och Vercel är SOC 2 Type II-certifierade, vilket innebär oberoende granskning av säkerhetsprocesser, tillgänglighet och konfidentialitet.
All data lagras i Frankfurt, Tyskland (AWS eu-central-1). Data lämnar aldrig EU.
Automatiska dagliga backups med 30 dagars retention. Point-in-time recovery tillgänglig.
RPO (Recovery Point Objective): 24 timmar. RTO (Recovery Time Objective): 4 timmar.
Supabase Auth med bcrypt password hashing (10 rounds). Stöd för MFA (Multi-Factor Authentication).
Säkra JWT tokens med kort livslängd (1 timme). Automatisk session-förnyelse. Logout vid inaktivitet.
Rate limiting (100 requests/minut), CORS-policies, och API key rotation.
Vercel Edge Network med inbyggt DDoS-skydd och automatisk traffic filtering.
Skydd mot SQL injection, XSS, CSRF och andra vanliga säkerhetshot.
CSP (Content Security Policy), HSTS, X-Frame-Options för extra skydd.
Leverantörer får unika, tidsbegränsade tokens (90 dagar). Ingen inloggning krävs, men data är ändå skyddad med krypterade länkar.
Uppladdade PDF-rapporter lagras krypterat i Supabase Storage med åtkomstbegränsning. Endast det företag som skickade inbjudan kan läsa dokumentet.
Vi samlar endast in data som är nödvändig för CSRD Scope 3-rapportering. Inga onödiga personuppgifter lagras.
Vid misstänkt säkerhetsincident:
Rapportera säkerhetsproblem:
security@scope3.seVi besvarar gärna frågor från:
Kontakta oss:
kontakt@scope3.seDu kan när som helst exportera all din data från plattformen i Excel/CSV-format.
Kontakta oss för att radera ditt konto och all associerad data. Genomförs inom 30 dagar.
Du kan redigera all din data direkt i plattformen. Ändringar sparas med timestamp.
Exportera din data i maskinläsbart format (CSV/JSON) för att flytta till annan tjänst.
Vi använder aldrig din data för marknadsföring utan ditt samtycke.
Du kan när som helst kontakta Integritetsskyddsmyndigheten (IMY) om du har klagomål.
Så använder ni Scope3.se säkert
Använd unikt lösenord med minst 12 tecken. Aktivera MFA (Multi-Factor Authentication) för extra säkerhet.
Dubbelkolla email-adresser innan ni skickar inbjudningar. Använd officiella företags-emails, inte personliga.
Verifiera alltid leverantörsdata innan export. AI-uppskattningar ska ses som preliminära och ersättas med primärdata.
Ge endast access till teammedlemmar som behöver det. Ta bort användare som slutat på företaget.
Ladda ner era rapporter lokalt som backup. Förvara dem säkert på er egen infrastruktur.
Hittade ett säkerhetsproblem? Kontakta security@scope3.se direkt. Vi har 24h SLA för säkerhetsrapporter.
Nej, det är tekniskt omöjligt. Vi använder Row-Level Security (RLS) i databasen som isolerar varje företags data. Även om någon skulle hacka sig in i systemet kan de inte läsa data från andra företag – det blockeras på databasnivå.
All data är krypterad både i transit (TLS 1.3) och i vila (AES-256). Lösenord är hashade med bcrypt (inte lagrade i plaintext). RLS förhindrar cross-tenant access. En attack skulle ge tillgång till krypterad, företagsisolerad data – inte läsbar utan dekrypteringsnycklar.
Tekniskt ja, men vi gör det aldrig utan er tillåtelse.Vi har strikta policies för när admin-access får användas (endast för debug vid support-ärenden, och bara med er godkännande). All admin-access loggas och granskas.
Data sparas så länge ditt konto är aktivt. Efter att du raderar kontot raderas all data inom 30 dagar. Backups raderas efter 90 dagar. Du kan exportera all data innan radering.
Endast när ni använder AI-funktioner (dokumentextraktion).Vi använder OpenAI API med "zero data retention"-policy – OpenAI sparar inte er data. Dokumenten processas i realtid och raderas direkt. Ni väljer själva om ni vill använda AI-features.
Vår infrastruktur (Supabase, Vercel) är SOC 2 Type II och ISO 27001-certifierad. Vi planerar oberoende penetrationstester (pen test) Q2 2026. Resultat kommer publiceras transparent för kunder.