Säkerhet — Frostmoln

På Frostmoln är säkerhet grundläggande i allt vi bygger. Vår plattform är designad från grunden för att skydda dina data och din infrastruktur med försvar-på-djupet-principer, och drivs uteslutande inom EU/EES under svensk jurisdiktion.

Fysisk infrastruktursäkerhet

Våra datacenter finns uteslutande i Sverige och EU/EES, med fysiska säkerhetskontroller inklusive: • Säkerhetspersonal och övervakning dygnet runt • Biometrisk och multifaktor fysisk åtkomstkontroll • Dedikerade serverburar med individuell åtkomstloggning • Redundant strömförsörjning med UPS och dieselgeneratorbackup • Miljöövervakning (temperatur, fuktighet, vattendetektering) • Branddetektering och släcksystem

Kryptering

All data krypteras både i vila och under överföring: I vila: AES-256-kryptering för all blocklagring (Ceph RBD), objektlagring (MinIO) och databaslagring. Krypteringsnycklar hanteras genom HashiCorp Vault med automatisk rotation. Under överföring: TLS 1.2+ för all extern kommunikation. Intern tjänst-till-tjänst-kommunikation krypteras via ömsesidig TLS (mTLS). Vi stödjer och rekommenderar TLS 1.3 för klientanslutningar. Nyckelhantering: Centraliserad nyckelhantering genom HashiCorp Vault med strikta åtkomstkontroller, revisionsloggning och automatiserade nyckelrotationspolicyer.

Identitets- och åtkomsthantering

Vårt identitetssystem ger robust autentisering och auktorisering: • Multifaktorautentisering (MFA) stöds för alla kundkonton • API-nyckelautentisering med avgränsade behörigheter och automatisk utgång • Rollbaserad åtkomstkontroll (RBAC) för detaljerade resursbehörigheter • OpenID Connect (OIDC)-integration genom Keycloak för företagsidentitetsfederation • Sessionshantering med konfigurerbara tidsgränser och begränsningar för samtidiga sessioner • Omfattande revisionsloggning av alla autentiseringshändelser

Nätverkssäkerhet

Flera lager av nätverkssäkerhet skyddar vår infrastruktur: • Mjukvarudefinierat nätverk (OVN) ger fullständig hyresgästisolering genom virtuella privata moln (VPC) • Kundsäkerhetsgrupper med tillståndsbaserade brandväggsregler för detaljerad trafikkontroll • DDoS-detektering och -skydd vid nätverkskanten • Intrångsdetektions- och skyddssystem (Suricata IDS/IPS) • Nätverkssegmentering mellan hanterings-, lagrings- och kundtrafikplan • Årliga nätverkspenetrationstester

Övervakning och observerbarhet

Kontinuerlig övervakning över alla lager i vår infrastruktur: • Realtidsinsamling av mätvärden och larm (Prometheus/Grafana) • Centraliserad loggaggregering och analys (Loki) • Distribuerad spårning för synlighet av förfrågningsvägar (Jaeger) • Värdbaserad intrångsdetektering (Wazuh) • Korrelation och larm för säkerhetshändelser • Korrelation och regelbaserad larmning för misstänkta åtkomstmönster

Incidenthantering

Vi upprätthåller en formell process för incidenthantering: • Dokumenterad incidenthanteringsplan med tydliga eskaleringsrutiner • Jourberedskap dygnet runt för kritiska incidenter • Efterhandsgenomgångar med rotorsaksanalys för alla betydande händelser • Kundmeddelande inom 24 timmar för säkerhetsincidenter som påverkar deras data, i enlighet med vårt personuppgiftsbiträdesavtal • Samordning med Integritetsskyddsmyndigheten (IMY) och CERT-SE efter behov • Regelbundna incidenthanteringsövningar

Standarder vi arbetar aktivt mot

Vårt säkerhetsprogram är utformat i linje med de standarder och regelverk Europa förväntar sig. Frostmoln är en ung plattform och har ännu inga formella certifieringar, men vi arbetar aktivt mot varje ramverk nedan: • GDPR: Drivs i linje med EU:s dataskyddsförordning, med all data behandlad inom EU/EES • Svensk dataskyddslagstiftning: Drivs under svensk jurisdiktion i linje med svenska implementeringar av EU:s dataskyddsregler • ISO/IEC 27001: Säkerhetsarbete utformat efter standarden. Vi arbetar aktivt mot certifiering; vi är ännu inte certifierade • SOC 2: Kontroller utformade efter Trust Services Criteria. Vi arbetar aktivt mot en extern SOC 2-revision, som ännu inte är genomförd • NIS2 / Cybersäkerhetslagen: Arbetar aktivt mot anpassning till EU:s NIS2-direktiv och dess svenska transponering All data lagras och behandlas under svensk och EU-jurisdiktion — inte föremål för utländska övervakningsorder som den amerikanska CLOUD Act eller FISA avsnitt 702.

Sårbarhetshantering

Proaktivt arbete med att identifiera och åtgärda sårbarheter: • Regelbunden automatiserad sårbarhetsskanning av infrastruktur och applikationer • Beroendeskanning och automatiserade säkerhetsuppdateringar (Renovate) • Snabb patchning av operativsystem och plattformskomponenter • Säkerhetsfokuserad kodgranskning för alla ändringar • Statisk analys och säkerhetslintning integrerad i CI/CD-pipelines

Personalsäkerhet

Vårt team följer strikta säkerhetspraxis: • Utbildning i säkerhetsmedvetenhet för alla teammedlemmar • Principen om minsta behörighet för all systemåtkomst • Multifaktorautentisering krävs för alla interna system • Sekretessavtal och dataskyddsskyldigheter • Säkra utvecklingsmetoder enligt OWASP-riktlinjer

Ansvarsfull rapportering

Vi välkomnar ansvarsfull rapportering av säkerhetssårbarheter. Om du upptäcker ett säkerhetsproblem i vår plattform, vänligen rapportera det till security@frostmoln.se. Vi förbinder oss att: • Bekräfta din rapport inom 2 arbetsdagar • Ge regelbundna uppdateringar om vår utredning och åtgärdsarbete • Inte vidta rättsliga åtgärder mot forskare som agerar i god tro • Tillskriva forskare (med tillstånd) i våra säkerhetsmeddelanden Vänligen offentliggör inte en sårbarhet innan vi har haft rimlig möjlighet att åtgärda den.

Kontakt

För säkerhetsrelaterade frågor eller för att rapportera en sårbarhet: E-post: security@frostmoln.se För allmänna frågor om våra säkerhetsrutiner: Svenska Moln AB E-post: info@frostmoln.se Box 10074 434 21 Kungsbacka Sverige