Informasjonssikkerhet

• All kommunikasjon går over HTTPS/TLS – ingen sider serveres ukryptert.
• Data krypteres ved lagring (kryptert database og fillagring).
• Påloggingstokens lagres sikkert per bruker og per enhet.

• Rollebasert tilgang: Ansatt, Leder og Administrator.
• Row Level Security i databasen håndhever tilgang på radnivå.
• Ansatte ser kun tildelte beboere; ledere ser egen virksomhet.
• Automatisk utlogging ved inaktivitet.
• Roller lagres i egen tabell for å hindre rettighetseskalering.

• Revisjonslogg fanger innlogging, utlogging, opprettelse/endring/sletting av dokumentasjon, eksport og profilvisninger.
• AI-logg fanger forespørsel, svar og hvem som godkjente AI-forslag.
• Hver hendelse viser hvem, hva, når og hvor.
• Logg er kun lesbar for ledere/administratorer.

• SQL-injeksjon: all databasetilgang skjer via parametriserte spørringer og et tilgangsstyrt API – ingen rå SQL fra klienten.
• XSS (skripting): brukerinnhold rendres som tekst via React, uten å sette inn rå HTML.
• CSRF: autentisering bruker tokenbaserte forespørsler (Authorization-header), ikke cookies som kan misbrukes på tvers av nettsteder.
• Inndatavalidering på både klient og server (skjema-validering).

Hubra er multi-tenant: hver virksomhet er fullstendig isolert. Sikkerhetsregler på databasenivå sørger for at en ansatt aldri kan se data fra en annen virksomhet. Isolasjonen er dekket av automatiserte tester.

• Daglig sikkerhetskopiering håndtert av skyplattformen.
• Løpende sikkerhetsgjennomganger av database og tilgangsregler.
• Sikkerhetshendelser varsles til virksomheten i tråd med databehandleravtalen.