Skip to content

Säkerhet

Trust Center. Allt du behöver för upphandling, DPIA och dataskyddsbeslut, samlat på ett ställe.

Vi skriver bara det som är sant idag. Det vi arbetar mot står tydligt markerat som pågående. Saknar du något i din kravspecifikation, hör av dig.

Partnerskap

Säker drift av Praktobygger på ett delat ansvar

01

Säker drift är ett partnerskap. Prakto är byggt för transparens och kontroll i varje steg, vi håller säkerhetsfundamentet och driftstabiliteten, medan du som skolhuvudman eller företag definierar de policyer och avgränsningar som passar din verksamhet.

Vi säkerställer

  • Prakto körs inom de ramar du har satt
  • Säkerhet och driftstabilitet på enterprise-nivå
  • Efterlevnad av gällande dataskyddskrav
  • Plattformens tillgänglighet och prestanda
  • Löpande tester, övervakning och sårbarhetshantering

Du definierar

  • Praktos mål och avsedda användningsområden hos er
  • Omfattning, roller och avgränsningar för din organisation
  • Rutiner för mer komplexa eller känsliga arbetsflöden
  • Vilka integrationer och datakopplingar som ska aktiveras
  • Krav på test, godkännande och validering innan produktion

Datalagring och region

All data i EU,utan undantag

02

Kunddata, autentisering och bakgrundsbehandling sker uteslutande inom EU/EES. Vi för en publik förteckning över samtliga underbiträden med region och syfte, och vi byter inte leverantör utan att meddela kunder med rätt att invända. För myndighetskunder erbjuder vi databehandlingsavtal i samband med kontraktstecknande.

GDPR

  • EU-regioner

    Primär infrastruktur hos leverantörer med datacenter inom EU/EES. Persistent kunddata lämnar aldrig EU.

  • Publik underbiträdesförteckning

    Förteckning med region, syfte och datakategorier. Prenumeranter får förhandsbesked vid byte.

  • DPA på begäran

    Standard-DPA finns som nedladdningsbar PDF. Anpassad version i samband med kontraktstecknande för myndighetskunder.

  • Underbiträden och leverantörer

    Ett begränsat antal noggrant utvalda underbiträden för hosting, e-postutskick, betalningar och driftövervakning. Samtliga inom EU/EES eller via godkänd överföringsmekanism enligt artikel 46 GDPR. Due diligence på nya leverantörer omfattar säkerhetsdokumentation, certifieringsstatus och referenser från svenska myndighetskunder.

Dataskydd och integritet

Dataskyddsstandarderdu kan lita på

03

Prakto möter högt ställda krav på dataskydd, integritet och ansvarsfull AI. Varje lager av plattformen, från infrastruktur till modellhantering, är byggt för att skydda din verksamhet och dina användare.

Läs mer

Informationssäkerhet

Oberoende granskningar bekräftar att data är krypterad, övervakad och skyddad med enterprise-kontroller.

  • ISO 27001 (ramverk)
  • Pågående SOC 2 Type II

AI-styrning

Ansvarsfull AI med biasdetektion, riskhantering och transparenta beslutsprocesser.

  • ISO 42001 (ramverk)
  • Modellkort per användningsfall

Integritetsskydd

Kundens data förblir kundens. Vi följer GDPR och svensk dataskyddspraxis fullt ut.

  • GDPR-efterlevnad
  • Skolverkets praxis för elevdata

Dataskydd vid AI-träning

Vi tränar aldrig modeller på din verksamhetsdata utan uttryckligt avtal. Anonymiserad data raderas inom 30 dagar.

FIG 3.A
Dataskydd och integritet, ramverk och certifieringar

Identitet och åtkomst

Identitet och åtkomst,utan blinda fläckar

04

Varje inloggning passerar din identitetsleverantör. Rollbaserad åtkomstkontroll och tenant-isolation säkerställer att data aldrig läcker mellan skolor eller företag. Alla händelser loggas i en audit trail som är tillgänglig för dataskyddsombud på begäran.

Identitetsleverantörer

Vem loggar in

  • Studenter

    Loggar in med BankID eller e-post och lösenord. Åtkomst begränsad till egen profil, egna ansökningar och egen kommunikation.

    • BankID
    • E-post + lösenord
    • 2FA (frivilligt)

  • Skol- och företagsadmin

    SSO via er identitetsleverantör. Tvåfaktorsautentisering påtvingas. Ser endast sin egen organisations data.

    • SSO (Entra ID / Google)
    • 2FA obligatoriskt
    • SCIM-provisionering

  • Plattformsadmin (Prakto)

    SSO + hårdvarunyckel. Åtkomst till kunddata kräver godkänt supportbiljett-id och loggas synligt för kund.

    • SSO + WebAuthn
    • Just-in-time-åtkomst
    • Justäterad audit

Kryptering

Fyra lagerkrypterad data

05

Känslig information krypteras på fyra nivåer: i vila, i transit, på applikationsnivå och i backup. Varje nivå har egen nyckelhantering och egen rotationsplan. Specen nedan är densamma som vi lämnar i upphandlingsbilaga.

ENCRYPTION SPEC

PRAKTO/05REV 2026-05
  • AT REST

    AES-256-GCM

    Diskkryptering på alla persistenta volymer och databaser.

  • IN TRANSIT

    TLS 1.2+ · PFS · modern cipher suite

    Perfect forward secrecy på alla publika endpoints.

  • APP LAYER

    Per-environment keys · scheduled rotation

    Åtkomstnycklar, hemligheter, lösenordshashar och BankID-signaturer krypteras innan lagring.

  • BACKUP

    AES-256 · TLS in transit · access-logged

    Begränsad krets med åtkomst. All återställning loggas.

REJECTED
  • SSLv3
  • TLS 1.0
  • TLS 1.1
  • Lösenord lagras hashade med Argon2id, aldrig i klartext.
  • Nyckelmaterial förvaras i hanterad KMS, separat per miljö.

Integrationer

Koppla ihop Prakto medsystemen ni redan använder

06

All datautväxling mot externa system sker över TLS 1.2+ med autentiserade tokens och tydligt definierade datakontrakt. Inga delade lösenord, inga öppna nätverksvägar, inga pärmexporter via e-post.

  • LMS-integration

    Synka studenter, kurser, registreringar och betyg med Moodle och Canvas över krypterade API:er. Placeringar, handledare och resultat flödar tillbaka in i lärplattformen utan manuell export.

  • Kommunikation

    Skicka notiser om nya placeringar, godkännanden och varningsflaggor direkt till Slack och Microsoft Teams-kanaler via signerade webhooks. Rätt person reagerar på sekunder, inte dagar.

  • SSO och inloggning

    Låt studenter och personal logga in med skolans Microsoft 365- eller Google Workspace-konton via Entra ID och Google SSO. Inget extra lösenord, ingen parallell användarkatalog, ingen synkad lokal databas.

  • Webhooks och automation

    Skicka valfri händelse i Prakto som signerad JSON till er egen HTTPS-endpoint. Bygg interna automatiseringar, från CRM-uppdateringar till rapporteringspipelines, med verifierbara avsändarsignaturer.

Prakto integrationer: Moodle, Canvas, Slack, Teams, Entra ID, Google Workspace och Webhook

FAQ

Vanliga frågor

07

Svar på de frågor vi oftast får från upphandlingsteam, dataskyddsombud, IT-ansvariga och säkerhetsforskare.

  • Vart skickar jag säkerhetsfrågor från upphandling eller dataskyddsombud?

    Skicka en formell förfrågan till security@prakto.se. Vi svarar inom två arbetsdagar och bifogar relevant dokumentation (DPA, underbiträdesförteckning, säkerhetsbeskrivning).

  • Hur rapporterar jag en säkerhetssårbarhet?

    Skicka tekniska detaljer till security@prakto.se. Vi svarar normalt samma dag och åtgärdar giltiga problem efter allvarlighetsgrad. Vi vidtar inga rättsliga åtgärder mot rapportörer i god tro.

  • Var ser jag pågående incidenter och drifthistorik?

    Realtidsstatus och historik finns på status.prakto.se. Pren på uppdateringar via RSS eller e-post direkt på statussidan.

  • Hur får jag tag i DPA och fullständig säkerhetsdokumentation?​

    Standard-DPA, underbiträdesförteckning, integritetspolicy och SLA finns för nedladdning längst ned på den här sidan. För myndighetsanpassad DPA, kontakta security@prakto.se.

  • Tränar Prakto AI-modeller på vår data?

    Nej. Vi tränar aldrig modeller på din verksamhetsdata utan uttryckligt avtal. Anonymiserad data som används för modellutvärdering raderas inom 30 dagar.

  • Var lagras vår data?

    Kunddata, autentisering och bakgrundsbehandling sker uteslutande inom EU/EES. Vi byter inte leverantör utan att meddela kunder med rätt att invända.

Säkerhet du kanlita på idag

Boka säkerhetsomgångBoka demo