Säkerhet

Åtkomst och autentisering

• Dashboarden skyddas med inloggning och sessionshantering.
• Lösenord lagras hashade, inte i klartext.
• Användare kopplas till restaurang och roll så att dashboarddata isoleras per kund.
• Publika TV-länkar visar endast displayinnehåll, inte administrativa funktioner.

Dataminimering

• AI-bilder ska inte innehålla inbränd menytext eller personuppgifter.
• TV-pollning använder displayversion för att undvika tunga och onödiga databasfrågor.
• Prompts bör bara innehålla den information som krävs för att skapa rätt visuell känsla.

Drift och infrastruktur

• Miljövariabler används för hemligheter som databasanlutning, auth-secret och API-nycklar.
• Produktionsmiljö ska använda HTTPS, säkra cookies och separata nycklar från lokal utveckling.
• Databasmigreringar ska köras kontrollerat och backup-rutin bör finnas innan skarp kunddrift.

Leverantörer

Tjänsten kan använda externa leverantörer för hosting, databas, bildlagring, autentisering, AI-generering och betalning. Leverantörer ska väljas med hänsyn till säkerhet, dataskydd och avtalade biträdesvillkor.

Rapportera säkerhetsproblem

Om du hittar ett säkerhetsproblem, kontakta security@sintari.se med en tydlig beskrivning, steg för att återskapa problemet och eventuell påverkan. Undvik att hämta, ändra eller radera data som inte tillhör dig.

Rekommenderad produktionschecklista

• Sätt stark NEXTAUTH_SECRET och separata API-nycklar per miljö.
• Aktivera HTTPS och secure cookie-inställningar i produktion.
• Granska vilka data som skickas till AI-leverantörer.
• Lägg till backup och återställningsrutin för databasen.
• Inför loggning för säkerhetshändelser utan att logga känsliga hemligheter.
• Dokumentera incidentprocess och kontaktväg.