REGELEFTERLEVNAD & SÄKERHET
Förtroende & Regelefterlevnad
Senast uppdaterad: 14 mars 2026
1. Tillgänglighet
Tillgänglighetsdirektivet (Lag 2023:254): Från och med 28 juni 2025 måste digitala tjänster inom EU uppfylla tillgänglighetskrav. Denna redovisning dokumenterar vår efterlevnad.
1.1 Standard
Stageboxx eftersträvar WCAG 2.1 nivå AA på alla publika och inloggade sidor. Detta är den standard som hänvisas av det europeiska tillgänglighetsdirektivet (EAA) och den svenska implementeringen (Lag 2023:254).
1.2 Åtgärder
- Semantisk HTML — korrekt rubrikhierarki, landmärkeselement (
<main>,<nav>,<footer>), ARIA-attribut - Tangentbordsnavigering — alla interaktiva element nåbara och användbara via tangentbord
- Fokushantering — synliga fokusindikatorer på alla interaktiva element
- Färgkontrast — minst 4,5:1 för normal text, 3:1 för stor text (WCAG 1.4.3)
- Tryckmål — minst 44×44px för interaktiva element (WCAG 2.5.8)
- Skärmläsarstöd — ARIA-attribut för dynamiskt innehåll och tillståndsändringar
- Automatisk efterlevnad — arkitekturtester blockerar
v-htmlutan sanering, kräver ARIA-attribut
1.3 Feedback
Om du stöter på ett tillgänglighetshinder, kontakta oss på privacy@stageboxx.com. Vi svarar inom 14 dagar och arbetar för att lösa problemet.
2. GDPR & Dataskydd
Stageboxx följer EU:s dataskyddsförordning (GDPR, förordning 2016/679) och svensk lag (Lag 2018:218). Vår fullständiga integritetspolicy beskriver hur vi hanterar personuppgifter.
2.1 Samtyckeshantering
| Kontroll | Implementering |
|---|---|
| Dubbel opt-in | Alla marknadsföringsprenumerationer kräver e-postbekräftelse |
| Samtycke per lista | Samtycke gäller per e-postlista — prenumeration på lista A täcker inte lista B |
| Kryptografiska samtyckes-tokens | 256-bitars slumpade tokens, engångs, ej återspelbara |
| RFC 8058 ett-klicks avprenumeration | List-Unsubscribe-Post-headers i alla marknadsföringsmeddelanden |
| Automatisk återkallelse vid klagomål | Skräppostanmälningar återkallar samtycket omedelbart |
| Ojämförbar samtyckespårning | Varje samtyckesändring loggas med tidstämpel — raderas aldrig (Art. 7(1) beviskrav) |
2.2 Datalagring
| Datatyp | Lagringstid | Mekanism |
|---|---|---|
| E-postinnehåll (kampanjer) | 30 dagar | Automatisk rensning |
| E-postleveransmetadata | 730 dagar (2 år) | Automatisk radering |
| Applikationsloggar | 30 dagar | Automatisk rensning |
| Inaktiva konton | 36 månader utan aktivitet | Automatisk anonymisering |
| Orderhistorik | 7 år | Bokföringslagen |
| Samtyckeshistorik | Tills vidare | Art. 7(1) beviskrav |
2.3 Incidenthantering
Vid personuppgiftsincident anmäler vi till Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR Art. 33. Berörda personer meddelas utan dröjsmål om incidenten innebär hög risk för deras rättigheter (Art. 34). Vår incidenthanteringsplan klassificerar incidenter efter allvarlighetsgrad (P1–P4) med definierade eskaleringsrutiner.
2.4 Pågående arbete
Arkitektur designad för GDPR-dataportabilitet (Art. 20) och automatiserad radering (Art. 17) — implementering pågår.
3. Säkerhetsstandarder
3.1 ISO 27001-anpassning
Vi utvärderar vår plattform mot ISO/IEC 27001:2022 Annex A-kontroller. Vår interna bedömning visar 85–90% anpassning inom autentisering, behörigheter, dataskydd, indatavalidering, loggning, API-säkerhet och driftsäkerhet.
Observera: Vi är inte ISO 27001-certifierade. Denna poäng representerar vår självbedömning mot standarden. Vi strävar efter anpassning som ramverk för kontinuerlig förbättring.
3.2 ISO 27034 Applikationssäkerhet
Vi underhåller 46 Application Security Controls (ASC) mappade mot specifika hotaktörer och riskscenarier, enligt ISO 27034:s ASC-ramverk. Varje kontroll har en definierad verifieringsaktivitet — många upprätthålls automatiskt via arkitekturtester.
| Kategori | Kontroller |
|---|---|
| Transport- & protokollsäkerhet | HSTS (1-års max-age + CDN Edge Rule), Content Security Policy |
| Indatavalidering | Backend HTML-sanering, frontend DOMPurify, parametriserade frågor, filuppladdning med magic byte-validering |
| Autentisering & session | CSRF double-submit cookies, säkra session-cookies (HttpOnly, Secure, SameSite) |
| Behörigheter | 70+ granulära CRUD-behörigheter, leverantörsisolering (IDOR-skydd), tidsbegränsade rättigheter |
| Hastighetsbegränsning & hotanalys | IP-reputationspoäng (AbuseIPDB-integration), konfigurerbara gränsvärden |
| Automatisk efterlevnad | 43 arkitekturtester + 3 CI stop hooks upprätthåller säkerhetsmönster vid byggtid |
4. Svensk lagstiftning
| Lagstiftning | Krav | Så uppfyller vi |
|---|---|---|
| Bokföringslagen 1999:1078 | 7 års arkivering av räkenskapsinformation | All order- och transaktionsdata sparas i 7 år. SIE4-export tillgänglig för integration med bokföringssystem. |
| Kulturmoms Mervärdesskattelagen 7 kap. 1 § | 6% reducerad moms för kulturella evenemang | Plattformen stöder konfigurerbara momssatser per produktkategori. Kulturella evenemangsbiljetter sätts till 6% som standard. |
| Kassaregisterlag 2007:592 | Certifierat kassaregister för fysisk försäljning | Lokalens ansvar. Stageboxx stöder BYOL-integration (Bring Your Own Ledger) med certifierade terminaler (t.ex. iZettle). |
| Ångerrätt Distansavtalslagen 2005:59 | Undantag för ångerrätt för evenemangsbiljetter | Evenemangsbiljetter är undantagna från ångerrätten enligt EU:s konsumenträttsdirektiv Art. 16(l) (tjänster för fritidsaktiviteter på ett bestämt datum). Undantaget kommuniceras vid kassan. |
5. Underbiträden
Vi delar personuppgifter enbart med följande underbiträden, som var och en är bundna av ett personuppgiftsbiträdesavtal (Art. 28 GDPR). All data behandlas inom EU/EES.
| Leverantör | Delad data | Syfte | Behandlingsregion |
|---|---|---|---|
| Brevo | E-post, Namn, Telefon | E-postleverans & marknadsföring | EU (Frankrike) |
| Stripe | Kort-token (inga kortnummer sparas) | Betalningshantering | EU |
| Swish | Telefonnummer, Belopp | Mobilbetalning | Sverige |
| BunnyCDN | IP-adresser (CDN-loggar) | Innehållsleverans | EU |
| GleSYS | All plattformsdata | Infrastrukturhosting | Sverige |
| 46elks | Telefonnummer, SMS-innehåll | SMS-leverans | Sverige |
| Mailjet | Inkommande e-post (avsändare, innehåll) | Inkommande e-posttolkning | EU (Frankrike) |
Vi säljer aldrig personuppgifter till tredje part. För detaljer om varje leverantör, se vår integritetspolicy.
6. Kryptering
| Lager | Metod | Detaljer |
|---|---|---|
| Under transport | TLS + HSTS | HTTPS påtvingat på hela sajten. HSTS med 1 års max-age förhindrar protokollnedgradering. BunnyCDN Edge Rule som reservmekanism. |
| Lösenord | SHA-512 + salt | Varje användare har ett unikt slumpmässigt salt. Lösenord lagras aldrig i klartext. |
| Betalningsdata | Lagras ej | Kreditkortsnummer berör aldrig våra servrar. Betalning hanteras av PCI-kompatibla leverantörer (Stripe, Swish). |
7. Granskningsloggning
Stageboxx har omfattande granskningsloggning över flera domäner:
- Samtyckespårning — varje beviljande, återkallande och ändring av samtycke loggas med tidstämpel, IP-adress och åtgärdstyp. Loggen är oföränderlig och raderas aldrig (GDPR Art. 7(1) samtyckesbevis).
- Leveranshändelser — e-postleverans, öppningar, studsar och klagomål spåras per meddelande för leveranshantering.
- Applikationsaktivitet — användaråtgärder loggas med automatisk kontextinfångning (användare, IP, URL, leverantörsomfång).
- Leverantörsisolerad loggning — varje leverantörs granskningspår är isolerat. Leverantörer kan inte se andra leverantörers aktivitet.
- PII-maskering — e-postadresser i applikationsloggar maskeras automatiskt (t.ex.
p***@example.com). - Automatisk lagring — applikationsloggar raderas automatiskt efter 30 dagar.
8. Kontakt
För frågor om dataskydd, säkerhet, tillgänglighet eller regelefterlevnad:
Stageboxx AB
E-post: privacy@stageboxx.com
Webb: www.stageboxx.com
Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY)
E-post: imy@imy.se