Kedja – säkerhet och åtkomstkontroll

Säkerhet i kedjedrift bygger inte på att "dölja knappar i gränssnittet" utan på riktiga regler direkt i databasen. Varje gång någon försöker läsa eller ändra data kör systemet en kontroll – även om någon försöker kringgå appen och prata direkt med vårt API, får de inte se eller ändra data de saknar behörighet till.

Grundprinciper

1. Säkert från start: nya funktioner startar låsta och öppnas bara upp för de roller som ska ha åtkomst
2. Rättigheter ärvs via kedjemedlemskap: en kedjeadmin får automatiskt tillgång till sina medlemsrestauranger utan extra konfiguration
3. Kedjedata är separat från restaurangdata: en kedjeägare ser kedjeövergripande info utöver restaurangerna
4. Flera lager: appen, API:et och databasen kontrollerar alla behörigheter oberoende av varandra

Roller och vad de ser

Capability inheritance – ärvda rättigheter

När Alice är kedjeadmin för "Burgerbuffé Holding" (5 restauranger) och öppnar en av enheterna i admin:

1. Systemet kollar: är Alice direkt medlem av restaurangen? Nej.
2. Är hon kedjeadmin för kedjan som restaurangen tillhör? Ja.
3. → Access beviljas automatiskt.

Hon behöver aldrig läggas in manuellt i varje enhet. Det sparar tid och minskar misstag.

Kedjepresentkort – åtkomst över enheter

Ett kedjepresentkort är inlösbart på alla medlemsrestauranger. I praktiken betyder det:

• En restaurangmedlem ser lokala kort och alla kort som lösts in hos dem
• En kedjemedlem ser alla kedje-scopade kort i sin kedja
• Ingen utanför kedjan ser något

Samma princip gäller för meny-mallar, brand-inställningar och intercompany-transaktioner.

Data-isolering mellan kedjor

Olika kedjor kan aldrig se varandras data. Kedja A:s gästpresentkort är osynligt för Kedja B:s admin. Systemet filtrerar automatiskt per kedjetillhörighet i varje relevant kontroll.

Vi testar detta löpande med negativa tester: "Försök att läsa data från kedja B när du är admin i A" → 0 rader returneras.

När delningsflaggor är AV

Om du stänger av central meny-styrning i kedjeinställningarna försvinner meny-mall-sidan från navigationen för alla kedjeadmins. Befintliga publicerade menyer finns kvar i respektive restaurang – de fryses där de var.

Samma princip för brand-lås, delad lojalitet och delade presentkort.

Spårbarhet – audit log

Alla kritiska ändringar loggas för spårbarhet:

Frågan "vem stängde av lojalitet den 15 juni?" ska alltid kunna besvaras. Kedjeadmins ser sin egen kedjas logg; Vendion-support ser hela loggen.

Regional data-residens

• Kunddata lagras inom EU (eu-west-1 / eu-north-1)
• Data lämnar aldrig EU
• Vendion använder inte US-baserade tjänster för kärndata
• Uppfyller GDPR och svenska dataskyddskrav

Penetration testing och monitoring

Vendion kör:

• Intern pen-test före produktion
• Kontinuerlig monitoring via felrapportering
• Årlig extern audit när kundvolymen växer

Säkerhetsincident – flöde

Om en incident skulle ske:

1. Upptäckt (via monitoring, loggar eller kundrapport)
2. Omedelbart: isolera drabbad data
3. Analys: vad hände?
4. Patch: fixa grundorsaken
5. Kommunikation: informera berörda kedjeägare inom 72 timmar (GDPR-krav)
6. Rapport: dokumentera incidenten

Summering

• Databasnivå: behörigheter kontrolleras per rad, inte bara i gränssnittet
• Ärvda rättigheter: kedjeadmin får access till medlemsrestaurangerna automatiskt
• Data-isolering: kedjor kan aldrig se varandras data
• Audit log: alla kritiska ändringar är spårbara
• EU-residens: data lämnar aldrig EU
• Flera lager: app, API och databas kontrollerar alla oberoende

Denna multi-lager-modell ger starkt skydd mot både externa attacker och interna misstag.

Nästa steg: För djupare bokföringsaspekter, läs Kedjebokföring – flera legala enheter (eller motsvarande i Bokföringsmodulen).