Säkerhet & Compliance

Kjorre hanterar betalningar och försäljningsdata åt föreningar och organisationer. Det innebär att datasäkerhet och integritet är centralt i allt vi bygger. Här beskriver vi hur vi arbetar med säkerhet, vilka leverantörer vi använder och deras certifieringar.

Senast uppdaterad: 1 mars 2026

GDPR

Kjorre följer EU:s dataskyddsförordning (GDPR). Sandstream AB (org.nr 559517-0610) är personuppgiftsansvarig. Vi har tecknat databehandlingsavtal (DPA) med alla underleverantörer som hanterar personuppgifter. Du har rätt att begära tillgång till, rättelse av och radering av dina uppgifter. Kontakta say@hello.kjorre.com för att utöva dina rättigheter.

Datahantering

All data lagras i Supabase med datacenter inom EU (AWS eu-central-1, Frankfurt). Data krypteras i transit (TLS 1.2+) och i vila (AES-256). Vi använder inga tredjepartscookies för spårning eller reklam — enbart sessionscookies för autentisering.

Betalningar

Kjorre hanterar inte kortuppgifter direkt. Betalningar sker via Stripe Connect och andra certifierade betalningsleverantörer. Stripe är PCI DSS Level 1-certifierad — den högsta säkerhetsnivån för kortbetalningar. Kjorre stödjer hela betalmedel-portföljen: Swish, kort, Apple Pay, Google Pay — plus lokala plånböcker som MobilePay (DK), Vipps (NO), PayNow (SG), Pix (BR), UPI (IN), SnapScan (ZA) och PromptPay (TH). För verksamheter som omfattas av kassaregisterlagen: Kjorre skriver kassabeteckning, kontrollkod, momsuppdelning och en oföränderlig journal på varje kvitto enligt Skatteverkets föreskrifter (SKVFS 2014:9 m.fl.). Compliance ingår — ingen extra hårdvara krävs.

Leverantörer & certifieringar

Supabase

Databas och autentisering. EU-region (Frankfurt).

SOC 2 Type II

Resend

E-postutskick. Penetrationstestad.

SOC 2 Type II, DPA

Vercel

Webbhosting och CDN.

SOC 2 Type II

Stripe

Kortbetalningar och fakturering.

PCI DSS Level 1

Säkerhetsåtgärder

Strikt åtkomstkontroll — varje organisation ser enbart sin egen data på databasnivå. PIN-koder hashas — aldrig lagrade i klartext. Rate limiting på API-anrop och autentisering. Webhook-verifiering med signaturer för Stripe och andra integrationer. Atomisk rabattkods-inlösen — koder med begränsad mängd kan aldrig användas dubbelt, även vid samtidiga försök från flera kassor. Regelbundna säkerhetsgranskningar av kod och infrastruktur (senaste extern granskning genomförd 2026-05).

Kontakt

Har du frågor om säkerhet eller vill rapportera en sårbarhet? Kontakta oss.

Säkerhet & Compliance – Kjorre