Vi använder kakor (cookies) för att webbplatsen ska fungera på ett bra sätt för dig. Genom att surfa vidare godkänner du att vi använder kakor.

GoZero Logo

Informationssäkerhetspolicy

Senast uppdaterad: December 2025

Denna informationssäkerhetspolicy (ISP) beskriver hur GoZero Sverige AB skyddar information och IT-system. Policyn gäller för all verksamhet och alla medarbetare, konsulter och samarbetspartners som hanterar företagets information.

Syfte och omfattning

Syftet med denna policy är att säkerställa att GoZero Sverige AB:

  • Skyddar konfidentialiteten, integriteten och tillgängligheten av all företagsinformation
  • Följer tillämpliga lagar och förordningar, inklusive GDPR
  • Minimerar risken för säkerhetsincidenter och dataintrång
  • Säkerställer kontinuitet i verksamheten
  • Upprätthåller förtroendet hos kunder, partners och intressenter

Policyn omfattar all informationshantering, oavsett om den sker digitalt eller fysiskt, och gäller för alla system, nätverk och tjänster som används i verksamheten.

Organisation och ansvar

Säkerhetsansvarig

Andreas Kviby (VD)

Email: andreas@gozero.se

Responsibilities:

  • Övergripande ansvar för informationssäkerhet
  • Uppdatering och underhåll av säkerhetspolicyer
  • Hantering av säkerhetsincidenter
  • Beslut om säkerhetsinvesteringar
  • Rapportering till ledning och styrelse

Alla medarbetare och konsulter har ansvar att följa denna policy och rapportera eventuella säkerhetsincidenter omedelbart.

Riskhantering

GoZero Sverige AB arbetar systematiskt med riskhantering för att identifiera, bedöma och hantera säkerhetsrisker.

Riskhanteringsprocess

  1. Identifiering av tillgångar och hot
  2. Bedömning av sannolikhet och konsekvens
  3. Prioritering baserat på risknivå
  4. Implementering av skyddsåtgärder
  5. Kontinuerlig uppföljning och revidering

Riskbedömningar genomförs årligen samt vid väsentliga förändringar i verksamheten eller IT-miljön.

Åtkomstkontroll

Tillgång till information och system begränsas enligt principen om minsta privilegium.

Principer

  • Behörighet beviljas endast efter godkänd identitetsverifiering
  • Åtkomst begränsas till vad som krävs för arbetsuppgifterna
  • Alla konton har unika inloggningsuppgifter
  • Tvåfaktorsautentisering (2FA) krävs för alla administrativa konton
  • Regelbunden granskning av behörigheter genomförs

Autentiseringspolicy

  • Lösenordsfri autentisering med engångskoder (OTP)
  • OTP skickas via e-post eller SMS vid varje inloggning
  • Tidsbegränsade engångskoder som löper ut efter kort tid
  • Ingen lagring av permanenta lösenord i systemet

Vid anställningens upphörande återkallas alla åtkomsträttigheter omedelbart.

Dataskydd och kryptering

All känslig information skyddas genom kryptering och andra tekniska säkerhetsåtgärder.

Kryptering

  • All datatrafik krypteras med TLS 1.3
  • Känsliga data krypteras i vila med AES-256
  • Databaskryptering för personuppgifter
  • Krypterade backuper med separat nyckelhantering

Dataklassificering

Öppen

Information som kan delas offentligt

Intern

Information för internt bruk

Konfidentiell

Känslig affärsinformation

Strikt konfidentiell

Personuppgifter och kritisk affärsinformation

Incidenthantering

GoZero Sverige AB har etablerade rutiner för att hantera säkerhetsincidenter snabbt och effektivt.

En säkerhetsincident är varje händelse som hotar konfidentialiteten, integriteten eller tillgängligheten av information eller system.

Exempel på incidenter

  • Obehörig åtkomst till system eller data
  • Förlust eller stöld av utrustning
  • Skadlig kod (malware, ransomware)
  • Nätfiskeattacker (phishing)
  • Dataläckage eller dataintrång
  • Denial of Service-attacker (DoS/DDoS)

Incidenthanteringsprocess

  1. Upptäckt och rapportering till säkerhetsansvarig
  2. Initial bedömning och klassificering
  3. Inneslutning och begränsning av skadan
  4. Utredning och analys
  5. Åtgärd och återställning
  6. Dokumentation och uppföljning

Rapportering

Personuppgiftsincidenter rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om de medför risk för registrerades rättigheter.

Säkerhetsincidenter rapporteras omedelbart till: support@gozero.se

Kontinuitetsplanering

GoZero Sverige AB säkerställer verksamhetskontinuitet genom redundans, backup och återställningsplaner.

Backup och återställning

  • Daglig automatisk backup av all kritisk data
  • Veckovis fullständig systembackup
  • Geografiskt separerad backuplagring
  • Regelbunden testning av återställning
  • Retention: 30 dagar daglig, 12 månader månatlig

Katastrofåterställning

Recovery Time Objective (RTO): 4 timmar

Recovery Point Objective (RPO): 1 timme

Tillgänglighet

Vi strävar efter 99,9% tillgänglighet för våra tjänster.

Kontinuerlig övervakning av system och tjänster med Oh Dear.

Nätverks- och systemsäkerhet

Våra system och nätverk skyddas genom flera lager av säkerhetsåtgärder.

Säkerhetsåtgärder

  • Brandväggar och nätverkssegmentering
  • Intrångsdetektering och prevention (IDS/IPS)
  • Regelbundna säkerhetsuppdateringar och patchar
  • Antivirus och anti-malware skydd
  • Säker konfiguration av alla system
  • Loggning och övervakning av all kritisk aktivitet

Uppdateringar

Säkerhetsuppdateringar installeras inom 24 timmar för kritiska sårbarheter och inom 7 dagar för övriga.

Underleverantörer och underbiträden

GoZero Sverige AB använder noggrant utvalda tjänsteleverantörer som uppfyller våra säkerhetskrav.

Aktuella underbiträden

Name Service Location Purpose
Vultr Holdings LLC Molninfrastruktur och hosting Stockholm, Sverige Servrar och datalagring
Laravel Forge (Laravel Holdings Inc.) Serverhantering och deployment USA Automatiserad serverhantering
Oh Dear BV Webbplatsövervakning Belgien (EU) Tillgänglighetsövervakning och larm
Mailgun (Sinch) E-posttjänster USA/EU Transaktionella e-postmeddelanden
Google Ireland Limited Analysverktyg (Google Analytics) Irland (EU) Webbanalys och statistik
OpenAI, LLC AI-tjänster (GPT-5-mini) USA AI-baserad analys och textgenerering
Forss IT AB IT-support, konsulttjänster och serverhosting Katrineholm, Sverige Teknisk support, utveckling och serverinfrastruktur

Krav på underleverantörer

  • Signerat personuppgiftsbiträdesavtal (PUB)
  • Dokumenterade säkerhetsrutiner
  • EU-godkända överföringsmekanismer för icke-EU leverantörer
  • Regelbunden granskning av säkerhetsåtgärder

Internationella överföringar

För överföringar till USA används EU-US Data Privacy Framework eller standardavtalsklausuler (SCC) som godkänts av EU-kommissionen.

Fysisk säkerhet

GoZero Sverige AB arbetar primärt med molnbaserade tjänster. Fysisk säkerhet hanteras av våra datacenterpartners.

Datacentersäkerhet

  • ISO 27001-certifierade datacenter
  • 24/7 övervakning och åtkomstkontroll
  • Brandskydd och klimatkontroll
  • Redundant strömförsörjning (UPS och diesel)
  • Geografisk redundans

Utrustning

All företagsutrustning ska ha hårddiskkryptering aktiverad och fjärrraderingsmöjlighet.

Personalsäkerhet

Medarbetare är en viktig del av säkerhetsarbetet.

Utbildning

  • Säkerhetsintroduktion vid anställning
  • Årlig säkerhetsutbildning
  • Regelbunden phishing-medvetenhet
  • Uppdateringar vid nya hot

Policyer

  • Acceptabel användning av IT-resurser
  • Hemarbete och mobil säkerhet
  • Sociala medier och extern kommunikation
  • Rapportering av incidenter

Efterlevnad och revision

GoZero Sverige AB följer tillämpliga lagar och branschstandarder.

Regelefterlevnad

  • Dataskyddsförordningen (GDPR)
  • Lagen om elektronisk kommunikation (LEK)
  • NIS2-direktivet (där tillämpligt)

Revisioner och granskningar

Intern säkerhetsgranskning genomförs årligen. Externa penetrationstester genomförs vid behov.

Kontinuerlig förbättring

Säkerhetsarbetet följs upp kontinuerligt och policyn revideras minst årligen eller vid väsentliga förändringar.

Kontakt

Vid frågor om denna policy eller för att rapportera säkerhetsincidenter, kontakta:

GoZero Sverige AB

Blomstergatan 6, 591 70 Motala, Sverige

Security: support@gozero.se

Privacy: support@gozero.se

Versionshistorik

Version 1.0 - December 2025

Initial version av informationssäkerhetspolicyn.