Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Säkerhet hos YARDtwin

Hur vi skyddar kunddata, håller plattformen tillgänglig och upprätthåller efterlevnad av EU GMP Annex 11, 21 CFR Part 11 och GDPR.

Betyg 4.8/5.00 pentestfyndEU/EEA datahemvistGDPR-kompatibel

Plattform & hosting

YARDtwin körs på Microsoft Azure med beräkning i Norway East och data, register samt hemligheter i Sweden Central. All kunddata stannar inom EU/EES, i enlighet med GDPR artiklarna 44–49.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, privata containrar
Azure Key Vault — Sweden Central, RBAC-styrd
Azure Front Door + WAF — Förebyggande läge
Log Analytics + Microsoft Sentinel — 90 dagars lagring

Nätverks- och transportsäkerhet

Kontroll	Implementering	Status
TLS	TLS 1.3 med AES-256-GCM via Azure	Verifierad
WAF	Azure Front Door WAF (förebyggande läge)	Aktiv
HSTS	2 års max-age med förinläsning	Verifierad
Endast HTTPS	Upprätthålls via App Service	Verifierad
DB-brandvägg	Endast Azure + admin-IP-vitlista	Verifierad

Autentisering & åtkomstkontroll

Kontroll	Implementering	Status
Lösenordspolicy	8+ tecken, versaler, gemener, siffra, specialtecken	Upprätthållen
Intrångskontroll	HIBP k-anonymitetssökning vid registrering/ändring	Aktiv
MFA	TOTP (Google/Microsoft Authenticator)	Tillgänglig
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktiv
Brute force	5 försök, 15 min utelåsning (429)	Aktiv
JWT-token	1 timmes åtkomst, 7 dagars uppdatering	Aktiv
RBAC	8 roller med ruttbaserad kontroll	Aktiv
Klientisolering	Varje fråga filtreras efter tenant_id	Verifierad

Dataskydd

Kontroll	Implementering	Status
Kryptering i vila	Azure PostgreSQL AES-256	Aktiv
Kryptering under överföring	TLS 1.3	Aktiv
Lösenordshashning	bcrypt (12 rundor)	Aktiv
Parameteriserad SQL	154 frågor, 0 konkatenering	Verifierad
Hemligheter	Azure Key Vault	Aktiv
Granskningslogg	Tilläggsbar (append-only), ALCOA+-kompatibel	Aktiv

Content Security Policy

Strikt CSP med per-request-nonces på skript (ingen unsafe-inline). Fullständig uppsättning säkerhetsrubriker returneras vid varje svar: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testning & validering

Oberoende penetrationstestning den 17–18 april 2026 (10 OWASP-kategorier, 36 nyttolaster): 0 sårbarheter.Funktionell säkerhetstestning den 11 april 2026 med 1 890+ API-anrop över 270 bokningar: 0 fel.Årligt tredjepartspentest planerat och SOC 2 Type II-revision pågår.

Efterlevnad

EU GMP Annex 11 — Dataintegritet (ALCOA+), tilläggsbar granskningslogg, elektroniska register, åtkomstkontroll, validerad
21 CFR Part 11 — Elektroniska register, granskningslogg, tillskrivning, förseglingskedja
GDPR — Dataportabilitet (JSON + CSV), DSAR-arbetsflöde, samtyckeshantering, lagring enbart inom EU/EES
SOC 2 Type II — Revision pågår

Dokument & mallar

Mall för databehandlingsavtal (DPA) — för granskning och signering av företag
GDPR-policy
Integritetspolicy
security.txt

Ansvarsfull rapportering

Vi välkomnar rapporter från säkerhetsforskare. Skicka e-post till admin@yardtwin.commed en beskrivning av fyndet och steg för att reproducera det. Vi bekräftar mottagandet inom 2 arbetsdagar och strävar efter att åtgärda kritiska problem inom 7 dagar. Vänligen offentliggör inte sårbarheter innan vi haft möjlighet att åtgärda dem.

Senast uppdaterad: april 2026 · yardtwin.com

Hej! Starta din kostnadsfria provperiod på 2 minuter — jag hjälper dig att ställa in allt!