● Trust Center
Säkerhet, datahantering och styrning.
Kapaciti bygger AI-infrastruktur för svenska regulerade industrier. Här finns vår säkerhetspolicy, datahanteringsmodell, audit-rutin och listan över sub-processors. Senast uppdaterad 2026-05-07.
Frågor? Email vår DPO på dpo@kapaciti.se eller boka 30 min med en arkitekt.
● 01 Säkerhet
Säkerhet.
Säkerhetsmodellen är byggd kring två principer. Customer-data separeras kryptografiskt och operatör-actions loggas oavbrutet. Allt nedan gäller både on-prem och EU-cloud-deployments om inget annat anges.
Kryptering
TLS 1.3 för alla yttre anslutningar. AES-256 för data i vila. Customer keyspaces isolerade på filesystem-nivå.
Access control
Role-based access med audit-logg för alla operatör-actions. Multi-factor authentication mandatory för alla operatörer. Customer-data lever endast i customer keyspace, ingen cross-tenant queries.
Network security
Private VPC per customer-shell vid on-prem-deployment. EU-cloud-deployments använder svensk eller nordisk region exklusivt.
Hardening
Container images byggs från distroless base, scannas mot CVE-databaser per build. Secrets hanteras via dedicated vault, aldrig i code-bases.
● 02 Data och GDPR
Datahantering och GDPR.
Vår datamodell följer GDPR per default. Personuppgiftsbiträdesavtal ingås med varje customer. Inga era data används för annat än det som kontraktet uttryckligen tillåter.
Personuppgiftsbiträdesavtal (DPA)
Kapaciti ingår DPA med varje customer per Article 28 GDPR. Standard-template på begäran.
Data minimization
Era data används endast för det specifika use case som customer.config.ts definierar. Ingen träning på era data utan separat skriftligt samtycke.
Geografisk lokalisering
On-prem-deployments håller all data i ert nätverk. EU-cloud-deployments använder svenska eller nordiska regioner. Ingen amerikansk eller asiatisk routing för regulerade workflows.
Lagringstid
Audit-logs 7 år (compliance-krav). Operational logs 90 dagar. Customer-data per ert avtal, default 24 månader efter kontraktets slut.
Right to deletion
Begär via dpo@kapaciti.se. Verifierad slutexekvering inom 30 dagar.
● 03 Audit
Audit-rutin.
Audit-formatet är samma som lämnas till notified body. Append-only hash chain bevisar tamper-evidence. Per-kund keyspace bevisar isolation. Externa revisorer hanteras enligt standardprocess.
Append-only hash chain
Varje agent-beslut, voice-validation-resultat, hallu-guard-flagg, och operatör-action loggas i append-only hash chain per kund. Verify-on-demand bevisar att ingen post manipulerats.
Per-kund keyspace
Ingen cross-tenant access. Audit-logs är cryptographically segregated per customer.
Externa revisioner
Vi accepterar er externa revisor med 30 dagars varsel. Standard-process inkluderar genomgång av audit-rutin, deployment-arkitektur och DPA-efterlevnad.
AI Act-readiness
Audit-formatet är designat för att passa konformitetsbedömning enligt artikel 12 och 19.
● 04 On-prem
On-prem och hybrid-deployments.
Regulerade workflows defaultar till on-prem. Det innebär att customer-data aldrig lämnar ert datacenter eller er VPC. Modell-hosting, hardware och uppdateringar styrs av er.
Default för regulerade workflows
Bank, vård, kritisk infrastruktur, public sector defaultar till on-prem. Ingen data lämnar er datacenter eller VPC.
Hardware-krav
Specifikation tillhandahålls per use case. Typiskt en eller flera GPU-noder beroende på modell-storlek och samtidiga inferenser.
Modell-hosting
Vi stödjer Llama, Mistral, Phi och egen-tränade modeller on-prem. Claude och GPT som EU-cloud-routing om kontraktet tillåter.
Updates
Air-gapped update-paket via signerade artifacts. Ni styr när uppdateringar går in.
● 05 Sub-processors
Sub-processors.
Listan nedan gäller publik webb och optional EU-cloud-deployments. Varje sub-processor är knuten till en specifik teknisk funktion och en geografisk region.
Notering. On-prem-deployments använder INGA sub-processors för customer-data. Listan ovan gäller publik webb och optional cloud-deployments.
● 06 Incident-response
Incident-response.
Tidslinjen följer GDPR Article 33. Klassificering, kommunikation och post-mortem är dokumenterade i runbook och tränas regelbundet.
Tidslinje
Detection till customer notification inom 72 timmar enligt GDPR Article 33.
Klassificering
Tre nivåer. Low: ej customer-data. Medium: degraded service. High: data-exposure eller data-loss.
Kommunikation
Direktkontakt till customer security contact, plus skriftlig incident-rapport inom 5 arbetsdagar.
Post-mortem
Skriftlig post-mortem och åtgärdsplan inom 14 arbetsdagar för medium och high.
● 07 Certifikat
Certifikat och compliance-roadmap.
Vi publicerar inga certifikat vi inte har. GDPR och EU AI Act-arkitektur är compliant idag. ISO 27001 och ISO 42001 är planerade enligt följande tidslinje.
GDPR och EU AI Act compliant arkitektur
GDPR-arkitektur compliant. EU AI Act-arkitektur compliant från dag ett (audit chain, human oversight, transparency-loggning).
ISO-gap-analyser påbörjade
ISO 27001-gap-analys påbörjad. ISO 42001 (AI management systems) gap-analys parallellt.
ISO 27001-certifiering
ISO 27001-certifiering planerad.
ISO 42001-certifiering
ISO 42001-certifiering planerad.
Notified body-dialog
Pågår med RISE och alternativa svenska kandidater.
Avslut. Vi publicerar inga certifikat vi inte har. Roadmap uppdateras kvartalsvis.
● 08 Kontakt
Kontakt för säkerhetsfrågor.
Tre kontaktytor för olika typer av frågor. Ansvarig DPO är Kapaciti AB DPO. Vid akuta säkerhetsincidenter, använd security-adressen.
DPO
dpo@kapaciti.se
För GDPR och data-frågor.
Säkerhet
security@kapaciti.se
För incident och vulnerability disclosure.
Sales och scoping
hello@kapaciti.se
För kommersiella frågor.
Ansvarig DPO
Kapaciti AB DPO
Officiellt namn publiceras vid uppdaterad version. För formell korrespondens, använd dpo@kapaciti.se eller adress till Kapaciti AB.
● Behöver ni mer underlag?
Boka 30 min med en arkitekt så går vi igenom er compliance-kontext.
DPA-mall, audit-rapportexempel, deployment-arkitektur eller pen-test-rapport. Säg vad ni behöver, vi skickar inom en arbetsdag.