Tillbaka till startsidan
Säkerhet och åtkomstkontroll
Senast uppdaterad: juni 2026
Sammanfattning av säkerhetskontroller enligt GDPR artikel 32.
Åtkomstkontroll och RBAC
- Akademiroller: Ägare, Moderator, Medlem, Besökare
- httpOnly JWT-sessioner
- BFF validerar session server-side
- Ägar-endast för betalningar och inställningar
SSO / federerad inloggning
För kommuner och företag — standard IdP, inte egenbyggd SSO:
- WorkOS, Auth0 eller Okta via OIDC/SAML
- BFF: GET /api/auth/sso/{provider}
- Samma httpOnly-session efter inloggning
Säkerhetsloggar
Säkerhetsrelevanta händelser loggas:
- Inloggning, samtycke, export, radering
- Betalningsgranskning (Stripe)
- 12 månaders gallring; minimal PII i loggar
Penetrationstest
Skiktad testning:
- npm audit i CI
- OWASP-rubriker via next.config.mjs
- Årligt extern penetrationstest rekommenderas
Rapportera sårbarhet
Ansvarsfull disclosure: security@coursfy.com