Grantigo · Sikkerhet & personvern
Sikkerhet & personvern

Det som havner hos Grantigo blir hos Grantigo.

Vi vet at informasjon om virksomheten er sensitiv. Sikkerhet er ikke en funksjon, det er grunnlaget vi bygger på. Her er hvordan, i klartekst.

GDPR · Data i EU (Frankfurt) Zero Data Retention EU-US Data Privacy Framework EU AI Act · Limited-risk SSO & SCIM 2.0
Teknisk oversikt

Datavern og systemintegritet hos Grantigo.

En oversikt over tekniske og organisatoriske tiltak i tråd med GDPR Art. 32. Designvalg, gjenstående avveininger og referanser til relevante standarder.

Nettverksisolering

Forsvar i dybden mellom applikasjonslag og datalag.

Transport
TLS for all ekstern HTTP-trafikk (klient ↔ API). Data i transitt er kryptert.
Intern trafikk
API ↔ database over et privat Docker-nettverk. Databaseporten er ikke offentlig eksponert.
Ref: OWASP ASVS V9 (Communication)

Personvernfokusert logging

Strukturert logging (Serilog) med bevisst begrensning av personopplysninger i klartekst.

Innhold
Tekniske hendelser og referanse-ID-er (f.eks. ProjectId) prioriteres foran direkte identifikatorer.
Feilsøking
Verbose debug-kanaler er miljøstyrt og deaktivert i produksjon.
Begrensning: enkelte identifikatorer kan korreleres, analyse pågår.

Sletting & anonymisering

Differensiert håndtering ved utøvelse av retten til sletting (GDPR Art. 17).

Kontoer
Hard delete av identitet og personlige innstillinger, ikke bare deaktivering.
Tilbakemelding
Anonymisering: koblingen til individet fjernes, men aggregert signal beholdes for modellevaluering.
Eksterne systemer
Sletteinstrukser sendes til databehandlere (f.eks. Stripe).
Avveining: nytte for modellkvalitet vs. strengere sletting, dokumentert og reviderbart.

Kontinuerlig verifisering

Sikkerhet behandles som en løpende prosess, ikke en engangskontroll.

Statisk analyse
SAST i CI; container-skanning via Trivy og Checkov.
Dynamisk analyse
DAST mot deployerte miljøer.
Betaling
PCI-omfang minimeres ved delegering til Stripe, ingen kortdata i egne systemer.
Ref: NIST SSDF, OWASP SAMM

Dataminimering

Innsamling begrunnes per felt av kjernetjenesten: matching av organisasjon mot tilskudd.

Hva
Finansielle nøkkeltall og virksomhetsbeskrivelse, kreves for kvalifikasjonsvurdering.
Virksomhetsobjekter
Soft delete med tidsbegrenset retensjon for gjenoppretting; skiller seg fra kontoer.
Ref: GDPR Art. 5(1)(c) Dataminimering

Dine data trener aldri vår AI

Informasjon du deler brukes kun til å matche deg med finansiering, aldri til å trene AI-modeller eller deles med tredjepart.

Zero Data Retention
AI-anrop går via OpenAI med ZDR-avtale. Ingen utkast lagres hos modelleverandøren.
Ingen gjenbruk
Prosjektbeskrivelsene dine er dine. Punktum.
Ref: EU AI Act · Limited-risk klassifisering
"Det som havner hos Grantigo blir hos Grantigo."
Denne oversikten beskriver gjeldende implementasjon. Dokumentasjon, trusselmodell og DPIA tilgjengeliggjøres på forespørsel for forskningssamarbeid og Enterprise-evaluering.
Rammeverk & standarder

Hva vi følger, og hvordan vi anvender det.

Ingen avkrysningsøvelse. Hvert rammeverk gjenspeiles i hvordan produktet faktisk er bygget.

GDPR

Full etterlevelse

Databehandleravtale (DPA) inkludert for Enterprise. Hard delete ved kontosletting.

Status: Aktiv
EU-DPF

Data Privacy Framework

Anvendes for dataoverføring til underleverandører iht. Schrems II.

Status: Aktiv
EU AI Act

Limited-risk klassifisering

Transparent modelldokumentasjon, beslutningsstøtte, databehandling.

Status: Aktiv
VR

Vetenskapsrådets AI-retningslinjer

AI-deteksjon på utkast, flagger passasjer som trenger menneskelig språk.

Status: Aktiv
SSO/SCIM

SAML 2.0 / OIDC / SCIM 2.0

Føderasjon mot Azure AD, Okta, ADFS. Automatisert lifecycle-håndtering.

Status: Enterprise
Rammeavtale

Kammarkollegiets rammeavtale

Tilgjengelig for programvare og skytjenester. ISO 27001 på roadmap.

Status: Aktiv
Hva vi ikke gjør

Sikkerhet er også hva man velger bort.

Tydelige forpliktelser, slik at dere ikke trenger å gjette.

For compliance-team

Dokumentasjon dere kan referere til.

Trenger dere DPA, sikkerhetsoversikt eller trusselmodell for internrevisjon? Ta kontakt, vi sender.

DPA

Databehandleravtale

Standardmal for Enterprise. Kan tilpasses sektorspesifikke krav.

Be om dokument → Sikkerhet

Sikkerhetsoversikt & arkitektur

Topologi, dataflyt, krypteringsstrategi, tilgangsmodell.

Be om dokument → AI Act

AI-modelldokumentasjon & DPIA

EU AI Act-konform: modellvalg, treningsdata, beslutningsstøtte, trusselmodell.

Be om dokument →
Spørsmål til sikkerhetsteamet?

Ta kontakt, vi svarer konkret.

Compliance-spørsmål besvares vanligvis innen én arbeidsdag. For Enterprise-evaluering booker vi en teknisk gjennomgang med personvernombudet.

Kontakt sikkerhetsteamet → For offentlig sektor