Hoppa till innehåll
PayAtt
Logga inKom igång med Testa — 95 kr/mån

Säkerhet & GDPR

Vi tar dina kunders data på allvar.

Här är allt du behöver veta om hur PayAtt skyddar dina kunders telefonnummer, vilka rättigheter de har enligt GDPR — och vilka säkerhetsåtgärder vi har vidtagit.

Vad vi sparar

Företagsuppgifter (för dig som PayAtt-kund)

  • Kontaktuppgifter, organisationsnummer, fakturaadress.
  • Abonnemang, paketnivå och uppgift om hur du betalar (kort via Stripe eller faktura via Fortnox).
  • Inställningar och varumärkesdesign för dina verksamheter (logga, färger, SMS-avsändarnamn).

Identifiering av slutkund

  • Mobilnummer (obligatoriskt, primär identifierare).
  • Tidpunkt och GPS-koordinater där kunden registrerade sig första gången på registreringsskärmen. Används för att knyta registreringen till rätt verksamhet och stämpelkortskampanj.

Lojalitetsdata

  • Stämplar, belöningar och bonushändelser per stämpelkortskampanj.
  • Presentkortssaldon, transaktionshistorik, samt namn på avsändare och mottagare och det personliga meddelandet om någon har angetts vid köp.

Kommunikationshistorik

  • Skickade SMS — innehåll, mottagarnummer, leveransstatus, tidpunkt, vilket segment som filtrerades och om IntelliSMS användes. Sparas för kampanjhistorik, detaljerad fördelning av levererade och misslyckade utskick, koll på din användning av månadens fria SMS och eventuell extra kostnad, samt för att kunna förbättra dina IntelliSMS-förslag över tid.

Valbar profildata i kundportalen

  • Namn, e-post, valt språk och eventuellt lösenord — om kunden själv väljer att ange något av detta i sin kundportal.

Användning av kundportalen

  • Cookie-samtycke per kund och per portal (necessary / analytical / marketing m.fl.).
  • Sidvisningar i stämpelkortet (anonymiserad webbläsar- och enhetstyp) med 60 dagars retention för att förstå hur portalen används och för att kunna visa dig hur dina kunder använder ditt stämpelkort.

GDPR-spårbarhet

  • Förändringshistorik om en kund byter mobilnummer (förra mobilnumret sparas så vi kan svara på radering- och portabilitetsfrågor enligt artikel 15 och 17).

Vad vi inte sparar

  • Kreditkortsuppgifter — Stripe hanterar all kortdata.
  • Personnummer.
  • Slutkundens hemadress.

Servrar & geografi

All kunddata lagras inom EU/EES, fysiskt i Stockholm. Databasen är MongoDB Atlas och kör i AWS-regionen eu-north-1 (Stockholm). Övrig infrastruktur — filer, mediaobjekt och applikationsservrar — ligger också i AWS eu-north-1. Inga US-baserade molntjänster används för PII-data.

Kryptering

  • I vila: AES-256.
  • I transit: TLS 1.3.
  • Lösenord: bcrypt med salt.
  • API-anrop: signerade.

GDPR

PayAtt följer GDPR fullt ut. Detaljerade rättigheter och rättslig grund finns i vår integritetspolicy.

I kundportalen kan kunden själv avsluta sitt medlemskap eller begära att vi raderar all data.

Personuppgiftsansvar

PayAtt AB är personuppgiftsansvarig för slutkundsdata. Du som driver verksamheten ser aldrig enskilda telefonnummer eller annan individuell PII — du arbetar istället med övergripande statistik, kampanjhistorik och smarta filter som låter dig segmentera dina medlemmar (t.ex. ”alla som inte besökt på 30 dagar”). Systemet utför sedan utskicket utan att exponera enskilda nummer för dig. Det är därför du inte behöver något separat personuppgiftsbiträdesavtal med oss — du är inte personuppgiftsbiträde eftersom du aldrig hanterar individuell PII. Vi har i sin tur underbiträdesavtal (DPA:er) med våra leverantörer (Stripe, AWS, sms-gateway m.fl.) — det är där skyddet för slutkundens data sitter.

Incident-rapportering

Om vi upptäcker ett dataintrång rapporterar vi inom 72 timmar enligt GDPR — både till dig som verksamhetsägare och till Integritetsskyddsmyndigheten (IMY).

Säkerhetsrapportering

Hittar du ett säkerhetsfel hos oss? Hör av dig direkt på security@payatt.store så svarar vi inom en arbetsdag. Vi tackar alla som hjälper oss göra PayAtt säkrare.

Frågor om säkerhet eller dataskydd?

Skriv till oss på info@payatt.store