Sikkerhed hos JustParity
Hvordan vi beskytter dine medarbejderes løndata, hvilke sikkerhedsstandarder vi følger, og hvordan du indberetter sårbarheder.
Sidst opdateret: 7. juli 2026 · security@justparity.com
Sikkerhedsposture
JustParity er bygget på et moderne, isoleret stack med defense-in-depth-arkitektur:
- Multi-tenant isolation: Row-Level Security (RLS) på persondata-tabeller, logisk multi-tenant-isolation testet og hærdet (senest 04-2026). Ingen kendt cross-tenant-eksponering efter hærdning.
- Authentication: Supabase Auth med JWT, MFA-support, session hardening, og rate-limiting på login.
- Encryption in transit: TLS 1.3 overalt. HSTS-preload submitted.
- Encryption at rest: AES-256 på databasen og alle filer (Supabase Storage).
- Network isolation: Databaseadgang er beskyttet af Row-Level Security, JWT og TLS. Ingen direkte SQL-eksponering til internettet.
- Observability: Sentry til fejlmonitorering i browseren.
OWASP Top 10
JustParity er udviklet med OWASP Top 10 som baseline. Status pr. seneste interne audit (2026-01-18):
| Risiko | Status | Kontroller |
|---|---|---|
| A01 Broken Access Control | Mitigated | RLS, role-checks, audit-trail |
| A02 Cryptographic Failures | Mitigated | TLS 1.3, AES-256 at rest |
| A03 Injection | Mitigated | Parameteriserede queries, Zod-validering |
| A04 Insecure Design | Mitigated | Threat modeling, secure-by-default |
| A05 Security Misconfiguration | Mitigated | Env-validering ved boot, HSTS, CSP |
| A06 Vulnerable Components | Monitored | Dependabot, npm audit i CI |
| A07 Authentication Failures | Mitigated | JWT, MFA, rate-limiting, session hardening |
| A08 Software/Data Integrity | Mitigated | Signed CI/CD, immutable audit logs |
| A09 Security Logging | Mitigated | Sentry, Supabase logs, audit-trail |
| A10 SSRF | Mitigated | Allowlist på outbound calls |
Certifikater og roadmap
Vi arbejder mod formelle certificeringer for at imødekomme enterprise-kunders krav:
Penetrationstest
Intern security-audit afsluttet 2026-01-18 (security hardening sprint). Ekstern pentest under forberedelse. Resultater af eksterne pentests kan deles under NDA på anmodning til security@justparity.com.
Data retention og sletning
Lønsystem-integrationsdata opbevares kun så længe som påkrævet for compliance-rapportering og kundens aktive abonnement:
- Aktivt kunde: Data tilgængeligt så længe abonnementet er aktivt.
- Ved opsigelse: Persondata slettes inden 30 dage. Aggregerede compliance-rapporter (anonymiserede) opbevares iht. lovkrav.
- Ret til sletning: Individer kan kontakte os via deres arbejdsgiver eller direkte for at udøve GDPR Art. 17-rettigheder. Se /gdpr.
- Audit-logs: Sikkerhedsrelevante logs opbevares 12 måneder for compliance.
Ansvarlig sårbarhedsoplysning
Hvis du finder en sårbarhed i JustParity, beder vi dig indberette den ansvarligt:
Sådan indberetter du:
- Send en email til security@justparity.com
- Beskriv sårbarheden, reproduktionssti og potentiel impact.
- Vi bekræfter modtagelse inden 48 timer og giver dig en status-opdatering inden 7 dage.
- Vent med public disclosure indtil patch er deployed (90 dages standard-frist).
Bemærk: fristerne ovenfor (48 timer, 7 dage, 90 dage) gælder ansvarlig sårbarhedsoplysning. Underretning om brud på persondatasikkerheden følger databehandleraftalen (senest 24 timer til den dataansvarlige), jf. DPA § 10.1.
Vi tilbyder ikke et formelt bug bounty-program på nuværende tidspunkt, men anerkender altid ansvarlige forskere på en hall-of-fame ved patch-release.
Sub-processors og data-flow
JustParity benytter følgende sub-processors. Fuld liste med formål og lokation findes i databehandleraftalen.
- Supabase (database og auth, EU-region)
- Netlify (web hosting, EU-edge)
- Google Ireland Limited (transaktionelle e-mails, EU/US)
- Slack Technologies (interne notifikationer, EU)
- Sentry (fejlmonitorering i browseren; EU-region ved EU-org)
- OpenAI (AI-jobklassifikation af jobtitler, USA; EU-US DPF og SCC)
- Redis-udbyder (rate-limiting, EU-region)
Sikkerhedsspørgsmål?
Skriv til security@justparity.com eller udfyld formularen nedenfor.
Sikkerhedsspørgsmål
Skriv din henvendelse eller benyt security@justparity.com direkte for ansvarlig sårbarhedsoplysning.