Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Sikkerhet i YARDtwin

Hvordan vi beskytter kundedata, holder plattformen tilgjengelig og overholder EU GMP Annex 11, 21 CFR Part 11 og GDPR.

Score 4,8/5,00 pentestfunnEU/EEA datalagringGDPR-kompatibel

Plattform og hosting

YARDtwin kjører på Microsoft Azure med beregning i Norway East og Sweden Central for data, register og hemmeligheter. Alle kundedata forblir innenfor EU/EØS, i samsvar med GDPR artikkel 44–49.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, private containere
Azure Key Vault — Sweden Central, RBAC-kontrollert
Azure Front Door + WAF — Forebyggingsmodus
Log Analytics + Microsoft Sentinel — 90 dagers oppbevaring

Nettverks- og transportsikkerhet

Kontroll	Implementering	Status
TLS	TLS 1.3 med AES-256-GCM via Azure	Verifisert
WAF	Azure Front Door WAF (forebyggingsmodus)	Aktiv
HSTS	2-år max-age med forhåndsinnlasting	Verifisert
Kun HTTPS	Håndhevet av App Service	Verifisert
DB-brannmur	Kun Azure + admin-IP-tillatelsesliste	Verifisert

Autentisering og tilgangskontroll

Kontroll	Implementering	Status
Passordpolicy	8+ tegn, stor bokstav, liten bokstav, tall, spesialtegn	Håndhevet
Sikkerhetsbruddsjekk	HIBP k-anonymitet oppslag ved registrering / endring	Aktiv
MFA	TOTP (Google/Microsoft Authenticator)	Tilgjengelig
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktiv
Brute force	5 forsøk, 15 minutters utestenging (429)	Aktiv
JWT-tokens	1-times tilgang, 7-dagers fornyelse	Aktiv
RBAC	8 roller med håndhevelse på rutenivå	Aktiv
Leietakerisolasjon	Alle spørringer filtrert etter tenant_id	Verifisert

Databeskyttelse

Kontroll	Implementering	Status
Kryptering i hvile	Azure PostgreSQL AES-256	Aktiv
Kryptering under overføring	TLS 1.3	Aktiv
Passordhashing	bcrypt (12 runder)	Aktiv
Parameterisert SQL	154 spørringer, 0 sammenslåinger	Verifisert
Hemmeligheter	Azure Key Vault	Aktiv
Revisjonsspor	Append-only, ALCOA+-kompatibel	Aktiv

Content Security Policy

Streng CSP med per-forespørsel-nonces på skript (ingen unsafe-inline). Fullt sett med sikkerhetshoder returnert på hvert svar: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testing og validering

Uavhengig penetrasjonstesting 17.–18. april 2026 (10 OWASP-kategorier, 36 nyttelaster): 0 sårbarheter.Funksjonell sikkerhetstesting 11. april 2026 som dekker 1 890+ API-kall på tvers av 270 avtaler: 0 feil.Årlig tredjeparts penetrasjonstest planlagt og SOC 2 Type II-revisjon pågår.

Samsvar

EU GMP Annex 11 — Dataintegritet (ALCOA+), append-only revisjonsspor, elektroniske poster, tilgangskontroll, validert
21 CFR Part 11 — Elektroniske poster, revisjonsspor, attribusjon, forseglingsvaretektskjede
GDPR — Dataportabilitet (JSON + CSV), DSAR-arbeidsflyt, samtykkesporing, kun EU/EØS-lagring
SOC 2 Type II — Revisjon pågår

Dokumenter og maler

Mal for databehandleravtale (DPA) — for gjennomgang og signering i virksomheten
GDPR-policy
Personvernpolicy
security.txt

Ansvarlig varsling

Vi ønsker rapporter fra sikkerhetsforskere velkommen. Send e-post til admin@yardtwin.commed en beskrivelse av funnet og trinn for å reprodusere det. Vi bekrefter mottak innen 2 virkedager og sikter mot å rette kritiske problemer innen 7 dager. Vennligst ikke offentliggjør sårbarheter før vi har hatt mulighet til å utbedre dem.

Sist oppdatert: april 2026 · yardtwin.com

Hei! Start den gratis prøveperioden på 2 minutter — jeg hjelper deg med å sette opp alt!