Teknik

Plattformen bakom SENZAI

En översikt av hur plattformen är uppbyggd, hur säkerheten är tänkt, och vad som händer om något går fel. Skriven för den som vill förstå SENZAI:s teknik och säkerhetstänk.

1. Var din data finns

Plattformen drivs hos Hetzner i Helsingfors. All aktiv kunddata, e-post, kalendrar och filer ligger inom EU och passerar inte mellan kontinenter, varken under daglig drift eller vid backup.

Hetzner är ett tyskt företag med datacenter i Tyskland och Finland. Anläggningen i Helsingfors är ISO 27001-certifierad, vilket innebär att åtkomstkontroll, datahantering och fysisk säkerhet är granskade och dokumenterade enligt internationell standard.

En separat lagringsmiljö, även den hos Hetzner inom EU, används för automatiska backuper samt för delade resurser som typsnitt och annat statiskt innehåll. Aktiv data och backuper ligger därmed inom samma juridiska och geografiska område.

SENZAI använder inte amerikanska molntjänster för någon del av kunddatahanteringen. Konsekvenser av det valet:

  • Ingen tredjelandsöverföring av personuppgifter.
  • Ingen Schrems II-bedömning krävs.
  • Inga rättsliga konstruktioner som måste underhållas över tid.
  • En enklare GDPR-efterlevnad i grunden.

2. Hur kunder hålls åtskilda

Varje kund kör i en isolerad miljö på servern. Principen är samma som i ett hyreshus, alla bor i samma byggnad, men varje lägenhet har sin egen dörr, sin egen nyckel och sina egna rum.

Tekniskt innebär det att varje kunddomän har:

  • En egen systemanvändare på servern.
  • Egen webbrot och egna filrättigheter.
  • Egna databaser med egna inloggningsuppgifter.
  • Egen e-postkonfiguration med egen avsändarverifiering.

Filer från kund A är inte läsbara för processer som tillhör kund B. Om en kund av någon anledning skulle drabbas av en säkerhetsincident kan den inte sprida sig till andra kunder på samma server. Det blir ett avgränsat problem för en kund, inte en kedjereaktion.

Provisionering av nya kunder följer en automatiserad och standardiserad process. Det manuella momentet är inte beroende av minne eller noggrannhet i stunden, utan följer samma mall varje gång.

3. Vad som skyddar mot vanliga hot

Plattformen har flera lager av skydd. Varje lager fångar en annan typ av angrepp, och inget enskilt skydd utgör hela försvaret.

Nätverksnivå

En brandvägg framför servern blockerar all trafik utom det som uttryckligen är tillåtet.

Servernivå

Ett dynamiskt filter fångar misstänkta inloggningsförsök i realtid. Källor som upprepar felaktiga försök blockeras automatiskt. För varje försök blir filtret snabbare.

E-post

E-post är ett av det mest utsatta sätten för angrepp och har därför fått ett eget separerat försvarssystem:

  • Geografisk filtrering av inkommande mail till nordiska länder.
  • Filtrering mot spam och skadlig kod på flera nivåer.
  • Avsändarverifiering på domännivå.
  • Användaren kan blockera oönskade avsändare direkt i SENZAI Mail.

Den geografiska filtreringen stänger ute majoriteten av automatiserade botnät utan att påverka normala användare, eftersom kundernas legitima mail i praktiken inte kommer från hela världen den vägen.

Säkerhetsuppdateringar

Säkerhetsuppdateringar för operativsystem och underliggande programvara installeras automatiskt och löpande. Kritiska uppdateringar är på plats inom timmar efter publicering. Större uppgraderingar med risk för avbrott planeras manuellt och kommuniceras i förväg.

Användarens egen del

Vissa angrepp riktar sig mot användaren snarare än mot infrastrukturen. På en separat sida finns tips om hur man känner igen bluffmail.

4. Vart datan tar vägen

SENZAI följer 4-3-2-1-strategin för backup. Fyra kopior av all data, lagrade på minst tre olika typer av media, i två geografiska lägen, med minst en kopia frånkopplad.

Kopia Plats Typ
1 Primärserver i Helsingfors Aktiv data
2 Lagringsmiljö inom EU Automatisk nattlig backup
3 Oberoende enhet i Sverige Daglig synkronisering, separat nätverk
4 Extern hårddisk, Sverige Frånkopplad när ej i bruk

Den fjärde kopian är ett extra lager säkerhet. En frånkopplad fysisk kopia är immun mot nätverksbaserade angrepp som annars kan ta sig in i molnbaserade backuplösningar.

Distinktion: dataredundans, inte tjänsteredundans

Om den primära servern drabbas av ett allvarligt fel återställs tjänsten från backup. I praktiken innebär det timmar av nedtid snarare än minuter eller sekunder. För kunder vars verksamhet kräver att en reservserver omedelbart tar över är SENZAI inte rätt val, och det förtjänar att sägas rakt ut. För de flesta små och medelstora företag är skillnaden mellan några timmars återställning från intakt backup och automatisk omkoppling till reservserver inte värd merkostnaden.

Skydd för data i drift

  • All trafik mellan användare och plattform är krypterad.
  • E-posttrafik är krypterad både inkommande och utgående.
  • Hemligheter, nycklar och databasinloggningar lagras separat från webbplatsernas kod.
  • Administrativ åtkomst är personlig, inga delade tjänstekonton.

De juridiska detaljerna kring personuppgiftsbehandling, vilka tjänster som används och vilka rättigheter den registrerade har, finns samlade i integritetspolicyn.

5. Vilka standarder som styr

Två tekniska kvalitetsmått ligger i centrum: GDPR-arkitektur och tillgänglighet. Båda bygger på samma grundtanke, att sajten är till för användaren och inte tvärtom.

GDPR i arkitekturen, inte bara i policyn

På SENZAI:s sajter och tjänster sker ingen kommunikation med tredjepartstjänster utan att kunden själv har bett om det. Konkret innebär det:

  • Ingen Google Analytics.
  • Ingen Facebook Pixel.
  • Inga externa annonsnätverk.
  • Inga inbäddade chattfönster från amerikanska leverantörer.
  • Inga Google Fonts från Google.

Funktioner som andra plattformar löser med externa tjänster har SENZAI byggt egna versioner av inom EU. Webbstatistik samlas in lokalt på servern utan cookies. Typsnitt levereras från ett eget innehållsnätverk inom EU. Videomöten sker via SENZAI:s egna servrar och inte via tredje part. För översättning och AI-funktioner används EU-baserade leverantörer från Tyskland och Frankrike.

Egna val på besökarsidan

  • SENZAI:s egna sajter använder inga cookies, och samma princip gäller för de sajter SENZAI bygger åt kund.
  • Statistikverktyget aktiveras endast om kunden själv vill använda det, och samlar då in data lokalt på servern utan personliga identifierare.

Det är inte en GDPR-strategi som tagits fram i efterhand, det är inbyggt i systemet från grunden. Läs mer om hur vi tänker kring dina data.

Snabba sajter som följd

Frånvaron av externa beroenden gör att SENZAI:s sajter laddar snabbt, även på långsamma uppkopplingar. En typisk dynamisk sajt med kontaktformulär och databasdrivna funktioner laddar färdigt på under en sekund och är ungefär 500 kB till 1 MB totalt.

Som jämförelse: HTTP Archives mätningar visar att medianen för en webbsida i juli 2025 låg på 2,4 MB på mobil och 2,9 MB på desktop. Tunga e-handelssajter med spårning, chattfönster och insticksmoduler kan hamna på 7 MB eller mer.

Det går snabbare för besökaren. Men det är också en miljöfråga. Mindre data som transporteras genom hela kedjan, från datacenter via nätverk till slutanvändarens enhet, ger lägre energiförbrukning.

Bidragande faktorer

  • Bilduppladdningar konverteras automatiskt till WebP och skalas till lämplig storlek.
  • Tyngre statiska filer som typsnitt och produktbilder levereras från ett separat innehållsnätverk inom EU.
  • Inga externa skript laddas i bakgrunden.
  • Sajter byggs utan tunga ramverk eller insticksmoduler.

Tillgänglighet inbyggt från första raden

Tillgänglighet enligt WCAG 2.2 AA är den europeiska standarden för att webbplatser ska kunna användas av alla, oavsett funktionsförmåga. Det handlar bland annat om:

  • Skärmläsarstöd för personer med synnedsättning.
  • Tangentbordsnavigering för personer med motorisk nedsättning.
  • Tillräcklig kontrast i text för läsare med nedsatt syn.
  • Stöd för förstoring och anpassad teckenstorlek.
  • Hantering av rörelse och animationer.

Resultat på senzai.se

  • 9,9 av 10 i WAVE-granskning.
  • Samtliga sex nya AA-kriterier i WCAG 2.2 verifierade.
  • Formell tillgänglighetsredogörelse publicerad enligt EU-praxis.

WCAG 2.2 AA ingår i alla paket utan extra kostnad. För kunder som omfattas av tillgänglighetslagen (LPTT, gällande sedan juni 2025) innebär det en grundnivå som minskar risken för juridiska anmärkningar. Se vår tillgänglighetsredogörelse.

6. När något händer

Inget system är immunt mot incidenter, oavsett hur väl det är byggt. Det avgörande är hur de hanteras när de inträffar.

Plan

SENZAI har en dokumenterad incidenthanteringsplan som beskriver vilka åtgärder som vidtas, i vilken ordning, vid olika typer av händelser:

  • Misstänkt obehörig åtkomst.
  • Oväntade driftavbrott.
  • Hot mot personuppgifter.
  • Attacker mot e-postsystemet.

Planen har testats i verkliga incidenter och säkerhetsfunktioner uppdateras kontinuerligt.

Anmälningsplikt

Vid en personuppgiftsincident gäller GDPR:s 72-timmarsregel. Om en händelse riskerar att skada enskilda personers integritet anmäls den till Integritetsskyddsmyndigheten inom 72 timmar och de berörda informeras. Regeln tillämpas även i gränsfall, hellre öppen än tyst.

Kommunikation under incident

Kommunikationen är alltid enkel och rak:

  • Vad som hänt så långt det är känt.
  • Vad som görs just nu.
  • När nästa uppdatering kommer.

Efterarbete

Efter varje incident dokumenteras vad som hände, vad som fungerade och vad som inte gjorde det. Slutsatserna förs in i incidenthanteringsplanen.

7. Vem som vårdar plattformen

Säkerhet och kvalitet är ett löpande arbete, inte en checklista som kan kryssas av en gång.

Sårbarhetsbevakning

  • Daglig genomgång av publicerade säkerhetsbrister i använda komponenter.
  • Automatisk installation av kritiska säkerhetsuppdateringar.
  • Manuell granskning av innehållet i uppdateringarna, för att bedöma om konfiguration eller arbetsrutiner behöver justeras.

Drift- och loggövervakning

  • Servrar och tjänster övervakas löpande.
  • Driftloggar granskas regelbundet.
  • Avvikelser, oväntade fel eller plötsliga ökningar i resursanvändning leder till närmare granskning innan de utvecklas till större problem.

Utvecklingsarbete

  • Nya funktioner byggs och befintliga förbättras löpande.
  • Underliggande systemkomponenter uppdateras innan de hinner bli övergivna eller osäkra.
  • Större förändringar publiceras på SENZAI:s blogg, för att kunder ska kunna följa utvecklingen och för att branschen ska kunna ta del av lärdomar.

8. Varför den här sidan finns

Sidan finns för att den som är kund eller överväger att bli det ska kunna göra en informerad bedömning av vem datan anförtros. Att välja leverantör för sina digitala tjänster är en relation som ofta sträcker sig över år. Då är det rimligt att veta hur infrastrukturen är uppbyggd, hur säkerheten är tänkt, och vad som händer om något går fel.

Sidan uppdateras när arkitekturen ändras. Om en ny tjänst läggs till, om backup-strategin justeras, eller om något här inte längre stämmer med verkligheten, så ändras texten.

Frågor, oklarheter eller motsägelser, hör av dig. Frågor besvaras personligen.

Relaterade sidor

För den som vill fördjupa sig i specifika delar:

Frågor om innehållet på den här sidan: info@senzai.se, eller via kontaktformuläret längst ner till höger på sidan.