Gå til hovedindhold

Sikkerhed hos JustParity

Hvordan vi beskytter dine medarbejderes løndata, hvilke sikkerhedsstandarder vi følger, og hvordan du indberetter sårbarheder.

Sidst opdateret: 7. juli 2026 · security@justparity.com

Sikkerhedsposture

JustParity er bygget på et moderne, isoleret stack med defense-in-depth-arkitektur:

  • Multi-tenant isolation: Row-Level Security (RLS) på persondata-tabeller, logisk multi-tenant-isolation testet og hærdet (senest 04-2026). Ingen kendt cross-tenant-eksponering efter hærdning.
  • Authentication: Supabase Auth med JWT, MFA-support, session hardening, og rate-limiting på login.
  • Encryption in transit: TLS 1.3 overalt. HSTS-preload submitted.
  • Encryption at rest: AES-256 på databasen og alle filer (Supabase Storage).
  • Network isolation: Databaseadgang er beskyttet af Row-Level Security, JWT og TLS. Ingen direkte SQL-eksponering til internettet.
  • Observability: Sentry til fejlmonitorering i browseren.

OWASP Top 10

JustParity er udviklet med OWASP Top 10 som baseline. Status pr. seneste interne audit (2026-01-18):

RisikoStatusKontroller
A01 Broken Access ControlMitigatedRLS, role-checks, audit-trail
A02 Cryptographic FailuresMitigatedTLS 1.3, AES-256 at rest
A03 InjectionMitigatedParameteriserede queries, Zod-validering
A04 Insecure DesignMitigatedThreat modeling, secure-by-default
A05 Security MisconfigurationMitigatedEnv-validering ved boot, HSTS, CSP
A06 Vulnerable ComponentsMonitoredDependabot, npm audit i CI
A07 Authentication FailuresMitigatedJWT, MFA, rate-limiting, session hardening
A08 Software/Data IntegrityMitigatedSigned CI/CD, immutable audit logs
A09 Security LoggingMitigatedSentry, Supabase logs, audit-trail
A10 SSRFMitigatedAllowlist på outbound calls

Certifikater og roadmap

Vi arbejder mod formelle certificeringer for at imødekomme enterprise-kunders krav:

SOC 2 Type II

Langsigtet mål. Ingen dato fastsat.

ISO 27001

Langsigtet mål.

GDPR

GDPR-compliant drift; intern security-audit gennemført jan. 2026, ekstern uafhængig erklæring (ISAE 3000) under forberedelse. Se /gdpr for detaljer og DPA for databehandleraftalen.

Penetrationstest

Intern security-audit afsluttet 2026-01-18 (security hardening sprint). Ekstern pentest under forberedelse. Resultater af eksterne pentests kan deles under NDA på anmodning til security@justparity.com.

Data retention og sletning

Lønsystem-integrationsdata opbevares kun så længe som påkrævet for compliance-rapportering og kundens aktive abonnement:

  • Aktivt kunde: Data tilgængeligt så længe abonnementet er aktivt.
  • Ved opsigelse: Persondata slettes inden 30 dage. Aggregerede compliance-rapporter (anonymiserede) opbevares iht. lovkrav.
  • Ret til sletning: Individer kan kontakte os via deres arbejdsgiver eller direkte for at udøve GDPR Art. 17-rettigheder. Se /gdpr.
  • Audit-logs: Sikkerhedsrelevante logs opbevares 12 måneder for compliance.

Ansvarlig sårbarhedsoplysning

Hvis du finder en sårbarhed i JustParity, beder vi dig indberette den ansvarligt:

Sådan indberetter du:

  1. Send en email til security@justparity.com
  2. Beskriv sårbarheden, reproduktionssti og potentiel impact.
  3. Vi bekræfter modtagelse inden 48 timer og giver dig en status-opdatering inden 7 dage.
  4. Vent med public disclosure indtil patch er deployed (90 dages standard-frist).

Bemærk: fristerne ovenfor (48 timer, 7 dage, 90 dage) gælder ansvarlig sårbarhedsoplysning. Underretning om brud på persondatasikkerheden følger databehandleraftalen (senest 24 timer til den dataansvarlige), jf. DPA § 10.1.

Vi tilbyder ikke et formelt bug bounty-program på nuværende tidspunkt, men anerkender altid ansvarlige forskere på en hall-of-fame ved patch-release.

Sub-processors og data-flow

JustParity benytter følgende sub-processors. Fuld liste med formål og lokation findes i databehandleraftalen.

  • Supabase (database og auth, EU-region)
  • Netlify (web hosting, EU-edge)
  • Google Ireland Limited (transaktionelle e-mails, EU/US)
  • Slack Technologies (interne notifikationer, EU)
  • Sentry (fejlmonitorering i browseren; EU-region ved EU-org)
  • OpenAI (AI-jobklassifikation af jobtitler, USA; EU-US DPF og SCC)
  • Redis-udbyder (rate-limiting, EU-region)

Sikkerhedsspørgsmål?

Skriv til security@justparity.com eller udfyld formularen nedenfor.

Sikkerhedsspørgsmål

Skriv din henvendelse eller benyt security@justparity.com direkte for ansvarlig sårbarhedsoplysning.