Trust Center

Svenskägt. Data lagras i Sverige. Certifierad säkerhet. Öppna standarder. Här hittar ni information om hur vi skyddar data, uppfyller regulatoriska krav och bygger en plattform som organisationer med höga krav kan lita på.

Därför litar organisationer på Elastx

  • Digital suveränitet

    Svensk jurisdiktion och Cloud Act-fritt.

  • Data stannar i Sverige

    Data lagras och hanteras i Sverige.

  • Certifierad säkerhet

    ISO 27001, 27017, 27018 och 14001.

  • Hög tillgänglighet

    Redundans, övervakning och expertstöd dygnet runt.

  • Ingen inlåsning

    Öppna standarder och full kontroll över er data.

  • Har vi som kund rätt att granska er?NIS2GDPRDORA

    Ja, granskningsrätten följer av era avtal med oss och kan uppstå på flera sätt. Om vi behandlar personuppgifter för er räkning har ni enligt vårt biträdesavtal (PUB-avtal) rätt att, själva eller genom en tredje part ni utser, på egen bekostnad genomföra årliga revisioner av den behandling som omfattas av avtalet (GDPR artikel 28.3(h)). För kunder som omfattas av DORA regleras revisions- och åtkomsträttigheter i ett särskilt avtalstillägg, och för er som har krav på leverantörsuppföljning enligt Cybersäkerhetslagen (NIS2) tillhandahåller vi det underlag ni behöver. I många fall kan behovet också mötas av våra certifikat och sammanfattningar av genomförda säkerhetsgranskningar, som kan delas på begäran. Kontakta oss så hjälper vi er att planera en granskning.

  • Leverans & SLA
  • Kan vi få mätetal för vår egen miljöpåverkan?Hållbarhet & miljö

    Ja. Vi kan ta fram mätetal för er miljöpåverkan - energiförbrukning och koldioxidutsläpp - baserat på er resursanvändning i vår OpenStack IaaS. Ni begär ett sådant datautdrag via ett supportärende, och underlaget kan användas i exempelvis er hållbarhetsredovisning eller leverantörsuppföljning.

  • Har er personal åtkomst till våra data?Dataskydd & krypteringGDPR

    Nej, inte i den löpande driften. Vår personal arbetar med den underliggande plattformen utan insyn i ert datainnehåll och har inte åtkomst till era instanser eller applikationer. Åtkomst till er miljö sker endast om ni uttryckligen begär och godkänner det, till exempel i ett supportärende och avgränsas då till det aktuella behovet. All privilegierad åtkomst till infrastrukturen sker med personliga konton, kräver flerfaktorsautentisering och loggas.

  • Vem äger vår data?Digital suveränitet & oberoendeDigital suveränitet

    Ni äger er data, alltid. Vi gör inga anspråk på den och använder den inte för egna ändamål. Ni kan när som helst exportera er data programmatiskt via öppna standard-API:er, inte bara inför en uppsägning, och vi tillämpar inga bindande inlåsningsperioder. När en tjänst avvecklas eller på er skriftliga begäran.

  • Vilka certifieringar har Elastx?Certifieringar & granskningar

    Vi är certifierade enligt ISO/IEC 27001:2022 för informationssäkerhet och tillämpar samtliga kontroller i standarden på hela vår verksamhet. Vi innehar även ISO/IEC 27017 (molnsäkerhet) och ISO/IEC 27018 (skydd av personuppgifter i molnet) samt ISO 14001:2015 (miljöledning). Certifikaten finns tillgängliga för nedladdning.

  • Genomför ni en oberoende revision av typen SOC 2?Certifieringar & granskningar

    ISO/IEC 27001 är vårt primära ramverk för informationssäkerhet. Vi genomför också en oberoende revision av typen ISAE 3000 Type II, som är den internationella motsvarigheten till SOC 2 Type II.

  • Hur ofta granskas Elastx externt och kan vi ta del av rapporterna?Certifieringar & granskningar

    Vi genomför externrevision av vårt ISO/IEC 27001- och ISO 14001-ledningssystem en gång per år, och säkerhetsgranskningar och penetrationstester genomförs återkommande under året. Det senaste året har detta omfattat en externrevision av ISO/IEC 27001:2022 samt säkerhetsgranskningar av vår Cloud Console med tillhörande API:er. Våra certifikat finns för nedladdning, och sammanfattningar kan delas med kunder på begäran.

  • Genomför ni internrevisioner?Certifieringar & granskningar

    Ja. Vi genomför internrevision en gång per år enligt en revisionsplan. Ledningen utser två medarbetare som granskar evidens och intervjuar ägarna till kontrollerna. Utfallet rapporteras till ledningen och eventuella avvikelser registreras för åtgärd. Oberoende säkring av vårt ledningssystem kommer dessutom från vår externa ISAE 3000-revision och våra ISO-certifieringar.

  • Genomför ni tekniska efterlevnadsgranskningar?Certifieringar & granskningar

    Ja. Informationssystem granskas regelbundet mot våra informationssäkerhetspolicyer och standarder, både genom automatiserad kontroll av konfiguration och säkra baslinjer och genom återkommande tekniska revisioner, till exempel sårbarhetsanalyser och penetrationstester. Avvikelser dokumenteras och följs till åtgärd.

  • Vad innebär digital suveränitet hos Elastx?Digital suveränitet & oberoendeDigital suveränitet

    Vår grund är helsvensk digital infrastruktur under uteslutande svensk och europeisk jurisdiktion. Elastx är ett svenskt bolag med svenska ägare och bakgrundskontrollerad personal som är EU-medborgare, och er data på plattformen stannar inom Sveriges gränser. Vi äger och driftar vår egen hårdvara, och endast Elastx personal administrerar plattformen. Vi bygger på öppna standarder och öppen källkod. Eftersom vi inte har koncernkoppling utanför Sverige är vi inte föremål för tredjelands lagstiftning, som amerikansk CLOUD Act och FISA eller motsvarande lagstiftning i andra länder. Det ger er kontroll över var er data lagras, vem som kan komma åt den och möjligheten att flytta den när ni vill.

  • Är era tjänster fria från utländsk lagstiftning som CLOUD Act?Digital suveränitet & oberoendeGDPRDigital suveränitet

    Ja. Elastx är ett svenskt företag utan koncernkopplingar utanför Sverige och omfattas därför inte av tredjelandslagstiftning såsom den amerikanska CLOUD Act, FISA eller motsvarande lagstiftning i andra länder.

    Om lagstiftning som CLOUD Act är tillämplig avgörs av var tjänsteleverantören är etablerad – inte enbart av var datacentren är placerade. Att välja ett datacenter inom EU som drivs av en leverantör med hemvist utanför EU innebär därför inte i sig att de rättsliga konsekvenserna av tredjelandslagstiftning undanröjs.

    Kunddata på Elastx molnplattform omfattas av svensk och europeisk lagstiftning. Enligt artikel 48 i dataskyddsförordningen (GDPR) får dessutom domar eller myndighetsbeslut från tredjeland inte ensamma utgöra rättslig grund för överföring eller utlämnande av personuppgifter, om de inte stöds av ett tillämpligt internationellt avtal.

    Läs mer om hur vi arbetar med digital suveränitet och varför Elastx är en del av EuroStack.

  • Hur ser er exitstrategi ut om vi vill flytta?Digital suveränitet & oberoendeDORADigital suveränitet

    Målet är att ni aldrig ska känna er inlåsta. Vi bygger på öppna standarder och öppen källkod (bland annat OpenStack och Kubernetes), vilket gör att ni kan flytta era applikationer och data till en annan miljö. Ni kan exportera er data inför ett avslut, och vi tillämpar inga tvingande bindningstider, i linje med EU:s Data Act.

  • Hur arbetar Elastx löpande med efterlevnad?Styrning & efterlevnad

    Vi har ett Compliance-team som träffas varannan vecka och där ledningen är representerad. Arbetet sker strukturerat och spårbart, från krav via policy och instruktion till hur kontrollen fungerar i praktiken. Varje kontroll har en utsedd ägare som ansvarar för hela kedjan och som intervjuas vid interna och externa granskningar.

  • Hur involveras ledningen i informationssäkerheten?Styrning & efterlevnadNIS2

    Ledningen går igenom vårt ledningssystem kvartalsvis för att utvärdera att det är relevant och fungerande. Genomgången utgår från eventuella händelser sedan föregående tillfälle, inklusive risker, avvikelser och incidenter. Det säkerhetsarbete vi bedriver och våra väsentliga risker rapporteras dessutom på styrelsenivå.

  • Vilka lagar och regelverk följer ni?Styrning & efterlevnadNIS2

    Utöver ISO-standarderna följer vi svenska och europeiska lagar och regler, bland annat Cybersäkerhetslagen (NIS2), GDPR, Data Act och AI Act.

  • Hur hanterar ni avvikelser?Styrning & efterlevnad

    Avvikelser fångas upp systematiskt genom interna och externa revisioner, tekniska efterlevnadsgranskningar och löpande i det dagliga arbetet. Varje avvikelse registreras centralt för spårbarhet och utvärderas för att fastställa grundorsaken. Den tilldelas en kontroll- eller processägare som ansvarar för att ta fram och genomföra en åtgärd, och framdriften följs upp regelbundet och rapporteras till ledningen vid de kvartalsvisa genomgångarna.

  • Hur säkerställer ni säkerhetsmedvetenhet hos personalen?Styrning & efterlevnadNIS2AI Act

    All personal, inklusive ledning, genomgår obligatorisk och återkommande utbildning i informationssäkerhet, dataskydd och ansvarsfull användning av AI, och ny personal utbildas innan systembehörighet tilldelas. Vi förstärker säkerhetskulturen löpande, bland annat med återkommande nätfiskesimuleringar, externa penetrationstester och löpande intern delning av sårbarhetsinformation. Vi kräver i avtal att underleverantörer upprätthåller strikt säkerhetsmedvetenhet hos sin egen personal och följer relevanta regelverk och säkerhetskrav.

  • Hur styr ni IT-strategin?Styrning & efterlevnad

    Styrelse och ledning fastställer IT-strategin utifrån verksamhetens mål, säkerhetskrav och branschstandarder, och följer upp och omprövar den regelbundet så att tjänsterna levereras säkert både nu och framåt. Kunder kan påverka prioriteringen av nya tjänster och funktioner genom dialog med oss.

  • Hur fördelas säkerhetsansvaret mellan er och oss (delat ansvar)?Styrning & efterlevnad

    Vi tillämpar en delad ansvarsmodell. Elastx ansvarar för säkerheten i den underliggande infrastrukturen - fysisk säkerhet i datacentren, hypervisor- och nätverksisolering, plattformens tillgänglighet och grundläggande härdning. Ni ansvarar för säkerheten i det ni bygger ovanpå plattformen: era applikationer, data, identiteter, konfigurationer och säkerhetskopiering av er data. Modellen gäller både för infrastrukturtjänster (IaaS) och containertjänster (CaaS), och en detaljerad ansvarsmatris finns i vår molnsäkerhetspolicy (ISO/IEC 27017) och kan delas på begäran.