Tilbake til blogg
Ember Booking
Teknisk

Sikkerhet i bookingsystemer: Hva du bør vite

Kim Runar Heggen
26. januar 2026
5 min lesetid

Et bookingsystem håndterer personopplysninger, betalingsinformasjon og tilgangskoder. Det gjør sikkerhet til en kritisk del av løsningen. Her er de viktigste områdene du må ha kontroll på.

Kryptering av sensitiv data

All sensitive data må krypteres både i transit og i hvile. Kommunikasjon mellom klient og server skjer over HTTPS med TLS 1.3. Personopplysninger som navn, e-post og telefonnummer lagres kryptert i databasen med AES-256-GCM.

// Eksempel på kryptering av kundedata
const crypto = require('crypto');

function encryptCustomerData(data, key) {
  const iv = crypto.randomBytes(16);
  const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

  const encrypted = Buffer.concat([
    cipher.update(data, 'utf8'),
    cipher.final()
  ]);

  const tag = cipher.getAuthTag();

  return {
    encrypted: encrypted.toString('base64'),
    iv: iv.toString('base64'),
    tag: tag.toString('base64')
  };
}

Betalingssikkerhet og PCI DSS

Vi lagrer aldri kortinformasjon selv. All betalingshåndtering går gjennom PCI DSS-sertifiserte betalingsleverandører som Vipps og Stripe. Det betyr at sensitive kortopplysninger aldri når våre servere.

Autentisering og tilgangskontroll

Bookingsystemer må skille mellom ulike brukerroller. En gjest skal ikke se admin-funksjoner, og en kunde fra organisasjon A skal ikke se data fra organisasjon B. Vi bruker row-level security i databasen for å sikre at hver spørring bare returnerer data brukeren har tilgang til.

-- Eksempel på row-level security i PostgreSQL
CREATE POLICY customer_isolation ON customers
  USING (organizationId = current_setting('app.current_org_id')::int);

GDPR og personvern

Bookingsystemer faller inn under GDPR fordi de behandler personopplysninger. Det betyr at du må ha rutiner for å:

  • Innhente samtykke fra kunden
  • La kunder se hvilke data du har om dem
  • Kunne slette kundedata på forespørsel
  • Logge hvem som har tilgang til data og når
  • Rapportere databrudd innen 72 timer

Logging og overvåking

God sikkerhet inkluderer å oppdage og reagere på mistenkelig aktivitet. Vi logger alle viktige hendelser med strukturert logging som gjør det enkelt å spore hva som har skjedd.

{
  "timestamp": "2025-02-08T14:30:00Z",
  "level": "info",
  "category": "BOOKING",
  "action": "CREATED",
  "userId": "uuid",
  "organizationId": 42,
  "ipAddress": "192.168.1.1",
  "correlationId": "abc-123"
}

Sikkerhet handler ikke om én enkelt tiltak, men om lag på lag av beskyttelse. Kryptering, tilgangskontroll, betalingssikkerhet og GDPR-compliance må alle være på plass for å beskytte kundene dine og virksomheten din.

sikkerhetgdprkryptering

Relaterte artikler

Teknisk

Aktivitetsflyt: Slik sporer vi hele bookingkjeden

Når en booking går gjennom flere systemer, hvordan holder vi oversikt? Vi bygget en korrelasjon-basert sporingsarkitektur som følger hele brukerreisen.

10. feb. 2026
6 min
Teknisk

API-guide: Bygg din egen bookingwidget

Med vårt REST API kan du bygge skreddersydde bookingløsninger. Her er en komplett guide til å lage din egen widget.

6. jan. 2026
6 min
Teknisk

Webhook-integrasjon for sanntidsoppdateringer

Webhooks lar systemene dine kommunisere i sanntid. Her er hvordan du setter opp webhooks for å motta bookingoppdateringer automatisk.

22. des. 2025
5 min