Lyyli.ai - Viestinnän hallintajärjestelmäLyyli
Tillbaka till listan
Bilagor

Bilaga 4 – Tekniska och organisatoriska åtgärder

Version v1.2Senast uppdaterad 9 juni 2026

Bilaga 4 – Tekniska och organisatoriska åtgärder (TOMs)

Allmänt

Riskbaserad hantering, principen om minsta behörighet; primär placering av data inom EU/EES där det är tekniskt möjligt; för internationella överföringar och underleverantörer tillämpas skyddsåtgärder enligt GDPR kapitel V (t.ex. SCC, EU–US DPF i tillämpliga delar).

Organisatoriska åtgärder

• Modell för säkerhetshantering och årlig granskning; DPO-processer; DPIA vid behov.

• Personalens sekretessavtal (NDA), introduktion, rollbaserad åtkomst; utbildning.

• Hantering av leverantörer och underleverantörer (personuppgiftsbiträdesavtal, revisionsrätt).

Tekniska åtgärder

Kryptering

TLS 1.3 under överföring; AES-256 i vila.

Åtkomstkontroll

SSO/IdP (Clerk), MFA, principen om minsta behörighet; granskningar.

Organisatorisk isolering

Arbetsytor och kunddata isoleras på organisationsnivå.

Loggning och övervakning

Applikations- och revisionsloggar; alla innehållsåtgärder är spårbara; larm; lagring ≥ 180 dagar.

Sårbarheter

Regelbundna skanningar; riskbaserad åtgärdshantering; beroendeskanningar.

Säkerhetskopior

Dagligen krypterade; återställningstester.

DR/BCP

RPO ≤ 24 h, RTO ≤ 24 h.

Nätverk

WAF/DDoS, brandväggar, segmentering.

Utveckling

Kodgranskningar, CI/CD-kontroller, separation av dev/test/prod.

Datalagring och överföringar

Applikationsdata lagras inom EU och dataroutning sker inom Europas gränser i enlighet med GDPR. Eventuella internationella överföringar (t.ex. för AI- eller molntjänster) genomförs med skyddsåtgärder enligt GDPR kapitel V, såsom SCC och/eller EU–US DPF i tillämpliga delar.

AI-databehandling (Zero Data Retention)

Lyyli använder uteslutande leverantörer av AI-modeller som arbetar enligt principen Zero Data Retention. Kundens innehåll lagras inte av AI-leverantörerna och används inte för att träna modeller; data behandlas i minnet i realtid och raderas omedelbart efter att API-svaret returnerats. AI-förfrågningar anonymiseras och enskilda användare kan inte kopplas till specifika AI-förfrågningar.

Underhåll och testning

Årligt penetrationstest eller motsvarande tredjepartsbedömning.

Underhållsfönster

Meddelande minst 3 arbetsdagar i förväg.