Säkerhet i korthet
- EU-residens. All produktionsdata lagras på EU-baserad infrastruktur. Inga datatransfers till tredje land utöver de vendor-specifika undantag som anges nedan.
- Inga tredjepartsspårare. Vi använder inga analys-, mätnings- eller marknadsföringscookies på den publika sidan. Inga Google Analytics, Facebook Pixel eller liknande.
- Hash-kedjad revisionslogg. Varje compliance-händelse skrivs till en append-only logg där varje rad refererar föregående via kryptografisk hash. Manipulation av historik upptäcks automatiskt.
Var data lagras
Heymy körs på EU-baserade servrar via docker-compose. Den primära databasen är Postgres 16 med kryptering i vila och TLS 1.3 i transit. Säkerhetskopior tas dagligen och lagras inom EU.
Bostadsaffärsdata — parter, verifikationer, screeningar, avtal, revisionslogg — lämnar aldrig EU. Den enda data som passerar utanför EU är AI-bearbetning hos Anthropic och Cohere (se avsnittet AI-modeller nedan); detta är temporärt och migrering till Vertex AI EU planeras inom Heymys Phase 4.5a.
Vem som rör datat
Internt: Två utvecklare och en grundare har produktionsåtkomst. All åtkomst kräver Google-autentisering och loggas i Heymys åtkomstjournal. Tillgång till klientdata sker bara när det krävs för support eller incidenthantering, och dokumenteras med ändamål.
Externt:Heymy anlitar ett antal personuppgiftsbiträden — se tabellen i avsnittet "Personuppgiftsbiträden" nedan. Personuppgiftsbiträdesavtal (DPA) tillhandahålls på begäran (legal@heymy.eu).
Hash-kedjad revisionslogg
Tabellen audit_events är skyddad av en append-only-trigger i databasen. Det går alltså inte att radera eller ändra historik utan att en explicit DBA-handling gör det — och en sådan handling lämnar själv ett avtryck.
Varje rad innehåller en previous-hash-referens till föregående händelse. Tillsammans bildar raderna en kedja vars integritet kan verifieras genom att räkna om hash-sekvensen. Tysta en händelse mitt i kedjan, och hela efterföljande historik ger felaktig hash. Detta är samma princip som certifikatslogg- och blockkedjeteknologier — applicerad på en relationsdatabas.
Elektronisk signering — PAdES-B-LT
Heymys signerade dokument följer PAdES-B-LT (PDF Advanced Electronic Signatures — Basic with Long-Term validation). Det betyder att signaturen och dess certifikatkedja, tillsammans med en kvalificerad tidsstämpel, byggs in i PDF:en så att signaturen kan verifieras även efter att certifikat förfallit.
Tekniskt körs detta i en separat sidovagn (heymy-pades) baserad på pyHanko. Tidsstämplar hämtas från Telia Qualified Trusted Service Provider — en eIDAS-kvalificerad TSA inom EU.
Status: Sidovagnen är driftsatt mot freeTSA i testkonfiguration. Produktionsutrullning väntar på att Telias QTSA-cert mountats i miljön — det är ett konfigurationssteg, inte en arkitekturändring.
Identitet — BankID direct relying party
Heymy använder en direktimplementation av BankID RP v6 — mTLS mot appapi2.bankid.com/rp/v6.0. Vi går alltså inte via en mellanhand som Scrive, Criipto eller Signicat; klientcertifikatet sitter direkt i Heymys server.
Status: mock. I dagsläget körs BankID-flödet i mockläge med en intern statemachine och fixture-identiteter. Detta är otillräckligt för riktig kunddata och kommer att bytas ut innan första riktig pilot. Bytet är ett konfigurationssteg (mount av bankutfärdat RP-cert + flagga från mock till direct), inte en arkitekturändring.
AI-modeller och deras roll
AI används för extraktion, sammanfattning och författande av utkast — aldrig som juridiskt beslutsfattande. Risk- och compliance-beslut tas av regler och jurister, inte av språkmodeller. Detta är ett designval, inte en framtida ambition — se Regelverk för hur ansvarsfördelningen ser ut.
Modeller vi använder:
- Anthropic Claude (huvudsaklig — utkast, sammanfattning, dialog). Hostad i USA. Bearbetar inte data permanent enligt deras DPA. Migration till Vertex AI EU-residens planerad inom Heymys Phase 4.5a.
- Mistral (EU-residens) — alternativ för use-cases där EU-strikt residens krävs.
- Cohere (USA) — rerank för dokumentsökning inom RAG-pipelinen. Migration till EU-värd planerad.
Spårningstjänster vi inte använder
Heymy använder inte Google Analytics, Facebook Pixel, Hotjar, FullStory, reCAPTCHA, Cloudflare Turnstile eller motsvarande tjänster som skickar besökardata utanför vår infrastruktur. Det här är ett medvetet designval för att kunna leva upp till GDPR utan en bottenlös cookie-bannerlogik och för att inte dela affärskontext med tredje part.
Spam-skydd bygger på serverbaserad signaltrolighet (saltad och roterad IP-hash, honeypot-fält, ratelimit) snarare än på externa tjänster.
Personuppgiftsbiträden
Heymy anlitar följande personuppgiftsbiträden. DPA finns och kan begäras via legal@heymy.eu.
| Leverantör | Region | Ändamål |
|---|---|---|
| Brevo (Sendinblue) | Frankrike (EU) | Transaktionell e-post |
| OpenSanctions | EU (Berlin) | PEP- och sanktionsdata |
| sanctions.network | EU | Sanktionslistor |
| Roaring | Sverige | Bolagsdata och kreditupplysning |
| TIC (Tic.io) | Sverige | Bolagsdata och bakgrund |
| Bolagsverket | Sverige | Företags- och huvudmannaregister |
| BankID | Sverige | Elektronisk identifiering |
| Telia (QTSA) | Sverige (EU) | Kvalificerad tidsstämpling för PAdES |
| Anthropic | USA | AI-bearbetning (utkast, sammanfattning) |
| Mistral | Frankrike (EU) | AI-bearbetning (EU-residens-alternativ) |
| Cohere | USA | Dokumentsökning, rerank |
Rapportera en sårbarhet
Hittar du en säkerhetsrisk? Skicka rapporten till security@heymy.eu. Vi bekräftar mottagandet inom 48 timmar och håller dig uppdaterad om åtgärden. Vi följer ansvarsfull avslöjandepraxis och välkomnar samordnad publicering efter att en patch är utrullad.
PGP-nyckel för krypterad rapportering tillhandahålls vid behov — fråga via samma adress.
Lagar och tillsyn
Hur Heymys kontroller kartläggs mot Penningtvättslagen, KAMFS och övrig svensk regulatorisk ram beskrivs separat på Regelverk. Behandling av personuppgifter regleras i Integritetspolicyn.