Opsio - Cloud and AI Solutions
Förtroende & efterlevnad

Compliance-expertis för reglerade företag

Opsio driver molninfrastruktur för reglerade branscher i Europa och Asien. Den här sidan dokumenterar hur vi hanterar era data, vilka ramverk vårt team levererar mot, och var upphandlingen hittar de avtalsdokument som behövs.

Begär DPA & säkerhetspaketVår compliance-expertis
ISMS Indien
ISO 27001:2022
Personuppgiftsbiträde
GDPR artikel 28
Drift-SLA
99,9 %
Primär dataresidens
EU/EES

Compliance-expertis

Opsios kärntjänst är att hjälpa reglerade företag uppnå och bibehålla efterlevnad. För varje ramverk nedan visas vad Opsio själva bär och vad vi levererar för kunder. Dokumentation tillhandahålls för upphandlingsgranskning under NDA.

  • ISO 27001:2022

    Opsio: Indien-omfattning · Kundprogram

    Opsio: ISO 27001-certifierade vid vårt leveranscenter i Bangalore (omfattningen täcker driftspersonal och utvecklingsaktiviteter där). För kunder: vi leder fullständiga ISO 27001-implementationsprogram — gap-analys, ISMS-design, policyskrivning, internrevision och stöd genom Stage 1/Stage 2-revision. Flera kunder har uppnått certifiering via detta tillvägagångssätt.

  • SOC 2 Type II

    Kundberedskapsprogram

    Opsio: har för närvarande ingen SOC 2-attestering som företag. För kunder: vi kör SOC 2-beredskapsprogram — kontrollkartläggning, bevisautomatisering, övervakningskonfiguration och revisorskoordination genom observationsperioden. Våra arkitekter är förtrogna med Security, Availability, Confidentiality och Processing Integrity-kriterierna.

  • GDPR (EU 2016/679)

    Personuppgiftsbiträde

    Opsio: personuppgiftsbiträde enligt GDPR artikel 28 för kundens personuppgifter som vi hanterar under managed operations. Standard Contractual Clauses finns på plats för överföring till vårt Indien-team. För kunder: DPIA-stöd, upprättande av personuppgiftsansvarig–biträdesavtal och teknisk implementering av verktyg för registrerades rättigheter.

  • NIS2-direktivet

    Kundens efterlevnadsprogram

    Opsio: operativ praxis som ligger i linje med NIS2-förväntningar för väsentliga och viktiga entiteter. För kunder: fullständiga NIS2-efterlevnadsprogram — tillämplighetsbedömning, riskanalys, kartläggning av artikel 21-kontroller, integration av incidentrapportering till MSB och tredjepartsriskhantering.

  • HIPAA (US-kunder)

    BAA tillgängligt · Kundarkitekturer

    Opsio: Business Associate Agreement tillgängligt för amerikanska vårdkunder. För kunder: HIPAA-kompatibel arkitektur på AWS, Azure eller GCP med revisionskontroller, kryptering och BAA-kedjehantering. Levererat till flera medelstora amerikanska hälsovårdsbelastningar.

  • DORA (EU 2022/2554)

    Kundens efterlevnadsprogram

    För kunder inom finanssektorn: DORA IKT-riskhanteringsprogram, tredjepartsriskregister, incidentklassificering, testprogram (TLPT) och styrelserapportmallar. Opsios arkitekter har levererat detta för banker och försäkringsbolag i Sverige och Norden.

  • DPDPA (Indien)

    Indien-drift · Kundprogram

    Opsio: verksamhet vid leveranscentret i Bangalore är i linje med Indiens Digital Personal Data Protection Act. För kunder: DPDPA-beredskapsbedömningar, samtyckesarkitektur, retentionskontroller och CERT-In-incidentrapporteringspipelines.

Personuppgiftsbiträdesavtal

Opsio agerar som personuppgiftsbiträde enligt GDPR artikel 28 för kundens personuppgifter som vi behandlar å era vägnar under managed operations, migration och konsultuppdrag.

  • Standard-DPA-mall tillhandahålls vid avtalstecknande eller på begäran i förväg för upphandlingsgranskning.
  • Stödjer EU Standard Contractual Clauses (2021/914) för överföring till icke-adekvata jurisdiktioner, inklusive vårt leveranscenter i Bangalore.
  • Kunden behåller rollen som personuppgiftsansvarig samt beslutsrätt över dataklassificering, retention och radering.
  • Ändringar av underleverantörer kommuniceras med minst 30 dagars förvarning via den kontaktkanal ni utser.
  • Notifiering om personuppgiftsincident inom 72 timmar från bekräftad incident, enligt artikel 33.
Begär DPA

Vi återkommer normalt med ett signerat DPA-avtal inom 2 arbetsdagar. För pre-kontraktuell granskning kan vi signera ett ömsesidigt NDA först — begär via samma e-post.

Underleverantörer

Opsio anlitar följande underleverantörer för att leverera tjänsterna. Den aktuella auktoritativa listan upprätthålls internt och tillhandahålls som bilaga till DPA på begäran. Hyperscaler-region är konfigurerbar per kundavtal.

UnderleverantörSyfteBehandlingsregion
Amazon Web Services (AWS)Hosting, beräkning, lagring och managed services där kunden har valt AWSKundvald AWS-region (eu-north-1, eu-west-1, us-east-1, ap-south-1 m.fl.)
Microsoft AzureHosting och managed services där kunden har valt AzureKundvald Azure-region
Google Cloud PlatformHosting och managed services där kunden har valt GCPKundvald GCP-region
Google WorkspaceIntern företagskommunikation och delad dokumenthanteringEU
Microsoft 365 (Teams)Interna och kundriktade möten, chatt och samarbete under uppdragEU
GitHub / GitLabKällkodslagring för kundartefakter (Infrastructure-as-Code, skript)Kundvald per uppdrag
OdooInternt ERP, CRM, projektuppföljning och faktureringEU
Opsio IndienVerksamhet vid leveranscentret för kunder som uttryckligen avtalat follow-the-sun-support; personalens åtkomst styrs via SCCIndien (Bangalore)

Kunder kan invända mot nya underleverantörer inom 30-dagars varselperiod. Uppdragsspecifika underleverantörer (övervakningsagenter, SIEM-plattformar m.m.) anges i Statement of Work.

Service Level Agreement

SLA-åtaganden dokumenteras i huvudavtalet för varje uppdrag. Följande sammanfattar våra standardvillkor; anpassade SLA med 99,95 % eller 99,99 % för verksamhetskritiska arbetsbelastningar är tillgängliga.

  • Infrastruktur-uptime99,9 %

    Mäts månadsvis. Service credits tillämpas vid avvikelser.

  • Allvarlighet 1-respons15 minuter

    Dygnet runt. Produktionspåverkan, affärskritisk.

  • Allvarlighet 2-respons1 timme

    Dygnet runt. Försämrad prestanda, workaround möjlig.

  • Allvarlighet 3-respons4 arbetstimmar

    Sveriges eller Indiens kontorstid.

  • Övervakning24/7/365

    Follow-the-sun mellan Karlstad och Bangalore.

  • Patch-hanteringMånadsbaseline

    Akuta out-of-cycle-patchar inom 48 timmar från CVE-publicering för kritisk allvarlighet.

Begär fullständiga SLA-villkor

Dataresidens

Kundens produktionsdata behandlas i den molnregion ni väljer. För europeiska kunder utgår vi från EU/EES-regioner (AWS eu-north-1 Stockholm, Azure Sweden Central, GCP europe-north1 Finland) om inget annat avtalats.

Opsios personal kommer åt kundmiljöer via namnade konton med MFA och just-in-time-eskalering. Supportverksamhet bedrivs från Sverige (primär) och Indien (leveranscenter). Personal utanför EES åtkomst regleras via Standard Contractual Clauses där tillämpligt.

Säkerhetskopior och loggar ärver kundens valda region som standard. Cross-region-replikering för disaster recovery är kundkonfigurerbar.

Säkerhetspraxis

Hur vi skyddar kundmiljöer från början till slut.

  • Penetrationstestning

    Årligt tredjeparts-penetrationstest mot Opsios produktionssystem. Uppdragsspecifik penetrationstestning tillgänglig som managed service via vårt OSCP-certifierade team.

  • Sårbarhetshantering

    Kontinuerlig CVE-övervakning med allvarlighetsbaserad SLA för patchning. Kritiska CVE:er patchas inom 48 timmar från ansvarsfullt avslöjande.

  • Identitet & åtkomstkontroll

    SSO-tvingade namnade konton med obligatorisk MFA. Åtkomst till kundmiljö är tidsbegränsad och centralt loggad. Delade inloggningsuppgifter är förbjudna.

  • Kryptering

    Data i transit: TLS 1.2+ tvingas. Data i vila: hyperscaler-native kryptering (AWS KMS, Azure Key Vault, GCP KMS) med kundhanterade nycklar tillgängligt på begäran.

  • Loggning & övervakning

    All privilegierad åtkomst loggas, manipulationssäkert, och behålls enligt kundens avtalskrav. SIEM-integration tillgänglig för kunder som använder Opsios MDR-tjänster.

  • Incidentrespons

    24/7 säkerhetsincidentrespons med dokumenterade playbooks. Notifiering om personuppgiftsincident inom 72 timmar enligt GDPR artikel 33.

Ansvarsfullt avslöjande

Säkerhetsforskare som identifierar en sårbarhet i Opsio-drivna system uppmuntras att rapportera den via krypterad e-post. Vi åtar oss att bekräfta mottagning inom en arbetsdag och tillhandahålla åtgärdstidslinje inom fem arbetsdagar. Vi vidtar inte rättsliga åtgärder mot god-tros-forskning som följer dessa riktlinjer.

Rapportera till: security@opsio.se

Upphandlings- & compliance-kontakt

För DPA-begäran, säkerhetsenkäter, SLA-förhandlingar eller allt annat upphandlingen behöver för att avsluta en affär:

compliance@opsio.se