Tillbaka till startsidan

Säkerhet och åtkomstkontroll

Senast uppdaterad: juni 2026


Sammanfattning av säkerhetskontroller enligt GDPR artikel 32.

Åtkomstkontroll och RBAC

  • Akademiroller: Ägare, Moderator, Medlem, Besökare
  • httpOnly JWT-sessioner
  • BFF validerar session server-side
  • Ägar-endast för betalningar och inställningar

SSO / federerad inloggning

För kommuner och företag — standard IdP, inte egenbyggd SSO:

  • WorkOS, Auth0 eller Okta via OIDC/SAML
  • BFF: GET /api/auth/sso/{provider}
  • Samma httpOnly-session efter inloggning

Säkerhetsloggar

Säkerhetsrelevanta händelser loggas:

  • Inloggning, samtycke, export, radering
  • Betalningsgranskning (Stripe)
  • 12 månaders gallring; minimal PII i loggar

Penetrationstest

Skiktad testning:

  • npm audit i CI
  • OWASP-rubriker via next.config.mjs
  • Årligt extern penetrationstest rekommenderas

Rapportera sårbarhet

Ansvarsfull disclosure: security@coursfy.com