När två leverantörer hamnar på kortlistan och skillnaderna på ytan ser små ut, är det sällan funktioner som avgör. I praktiken blir säkerhetsarkitektur, regelefterlevnad och hantering av personuppgifter det som tippar vågskålen. Jämförelsen Mividas vs STV, ibland även skriven som STV vs Mividas eller förväxlad med Mivida i vissa offerter, landar därför mindre i marknadsförda featurelistor och mer i hur respektive leverantör driver riskhantering i vardagen.
Jag utgår här från upphandlingar och säkerhetsgranskningar jag lett i svenska verksamheter med kombinationen fysisk säkerhet, övervakning, SaaS och integrationsbehov. Offentliga källor om enskilda leverantörers detaljlösningar är ofta begränsade, särskilt när det rör sig om kameraövervakning, larm och säkerhetstjänster. Därför ligger tyngdpunkten på vad som bevisligen går att verifiera, vilka bevis ni bör kräva, och vilka fallgropar som brukar dyka upp oavsett om valet står mellan STV, Mividas eller någon tredje aktör.
Varför just säkerhet, regelefterlevnad och dataskydd väger tyngst
Det är lätt att förföras av en snygg klient eller smart funktionsmodul. Men det är driftsavbrott, integritetsincidenter och juridiska överträdelser som kostar mest, både ekonomiskt och i förtroendekapital. Två exempel från min egen praktik illustrerar poängen:
I en kommunal förvaltning gav en i övrigt kompetent leverantör inget tydligt svar på var video- och loggdata lagrades, och kunde inte redovisa underbiträden. När IMY efterfrågade dokumentation, fick kommunen lägga veckor på att rekonstruera beslut, trots att systemet i sig fungerade. Den faktiska klumpkostnaden bestod av arbetstid och skadekontroll, inte av licenser.
I en industriell miljö kraschade en central videonod. Leverantören hade backuper, men de var okrypterade snapshots i samma tillgänglighetszon. Återställningen gick snabbt, men revisionen efteråt blev tuff. Avsaknaden av krypterade, immutabla backuper klassades som brist i ledningssystemet, och upphandlingsenheten skärpte sina krav inför nästa avtal.
Det som gör skillnad är därför hur en partner systematiskt bygger skyddslager, bevisar kontroll och reagerar när något ändå går fel. Det gäller oavsett om ni drar parallellen Mividas vs STV eller jämför mot andra aktörer.
Ramverk och lagar ni inte kommer runt
Svenska och europeiska regler sätter tydliga spelregler. En leverantör som tar dessa på allvar, STV vs Mividas kan också visa det i praktiken.
GDPR och Dataskyddslagen. Personuppgifter i video, passersystem, loggar och supportkanaler kräver rättslig grund, ändamålsbegränsning och bevisbarhet. Fråga efter personuppgiftsbiträdesavtal med tydliga tekniska och organisatoriska åtgärder, samt möjligheten att genomföra eller låta genomföra revision.
Kamerabevakningslagen. Kameraövervakning i Sverige kräver ändamålsprövning, intresseavvägning, skyltning och genomtänkta lagringstider. En mogen leverantör har färdiga mallar, rutiner och impact assessments, inte bara en checkbox i gränssnittet.
Säkerhetsskyddslagen. För verksamheter som hanterar säkerhetskänslig verksamhet blir kravbilden avsevärt skarpare. Här testas leverantörens förmåga att isolera miljöer, säkerhetspröva personal och hantera loggning och incidenter med högre sekretessnivå.
NIS och NIS2. Kritiska tjänster, men även större leveranskedjor, påverkas av skärpta krav på riskhantering, incidentrapportering och tredjepartsstyrning. En leverantör som redan jobbar enligt ISO 27001, och kan visa mappning mot NIS2, spar er tid.
Överföring utanför EU/EES. Schrems II lever kvar. Om någon del av drift, analys, telemetri eller support innebär överföring till tredjeland, krävs mekanismer som SCC, riskbedömningar och kompletterande skydd. EU-US Data Privacy Framework kan vara en del av svaret, men räcker sällan som ensam åtgärd i känsliga miljöer.
I praktiken gör dessa regelverk att STV och Mividas, eller vilken leverantör som helst, behöver visa hur de konkret hanterar datalivscykeln: insamling, överföring, lagring, åtkomst, loggning, backup, radering.
Teknisk säkerhet som bör stå på plats från dag ett
En sak är policydokument. En annan är hur plattformen är byggd. Nedan är sådant jag brukar be om att se i en demo eller teknisk genomgång snarare än i en PDF.
Kryptering i transit och i vila. TLS 1.2 eller högre med moderna sviter för all trafik, inklusive intern service-till-service-kommunikation. Server side encryption för lagring, och helst kundhanterade nycklar eller dedikerad nyckel per kund. Nyckelrotation och separata roller för key custodians.
Åtkomstkontroller. Stöd för SSO med SAML eller OpenID Connect, krav på multifaktor, rollbaserad behörighet och granularitet ned till resursnivå. Att kunna begränsa åtkomst till IP-intervall eller klientcertifikat gör skillnad i drift.
Loggning och spårbarhet. Det ska finnas separata, manipulationsskyddade loggar, helst med export till ert SIEM. Jag ber ofta om en demo där leverantören söker på ett användarnamn och visar full kedja: inloggningstid, åtgärder, API-anrop, och om möjligt även korrelation till fysik händelse som dörröppning.
Segmentering och isolering. Multi tenant-arkitektur med stark isolering, separata databasinstanser eller åtminstone databas-scheman per kund, och robust separation av processer och lagring. Delad drift får inte leda till läckage mellan kunder.
Säkra utvecklingsrutiner. SBOM, sårbarhetsskanning före produktion, patchning med tydliga fönster, och en plan för nolldagarsbrister. Fråga om leverantören kan skicka månatliga security notes samt hur de prioriterar CVE:er i kedjan.
Backup och återställning. Backuper ska vara krypterade, testade och gärna immutabla i minst 7 till 30 dagar, beroende på riskprofil. Jag brukar be om RPO och RTO i konkreta tal, exempelvis RPO 15 minuter och RTO 4 timmar i en region, 8 timmar vid regionbortfall.
Dessa tekniska pelare gäller lika för Mividas som för STV. Det intressanta är mindre vad som står i dokumenten, och mer vad de kan demonstrera live.
Personuppgifter i video och händelseloggar kräver disciplin
Video och loggar innehåller nästan alltid personuppgifter. Här brukar det uppstå spänningsfält mellan verksamhetens behov av bevis och dataskyddets krav på minimering.
Lagringstider. Många landar på 72 timmar för standardmiljöer, 7 till 30 dagar i riskutsatta zoner. Det viktiga är motivering och att retentionen faktiskt verkställs automatiskt. Jag har sett bra system där retentionpolicys blir en del av riskregistret och varje avvikelse kräver dokumenterad förlängning.
Maskning och åtkomst. Möjlighet att maskera ansikten eller zoner i videoströmmar är värdefullt, men mer avgörande är hur åtkomsten styrs. Vem får se omaskad video, när, och hur loggas det. En sund rutin kräver två i förening vid särskilt integritetskänslig granskning, och att export alltid vattenstämplas och diarieförs.
Dataportabilitet och radering. Ni vill se att leverantören kan utföra radering på individnivå om det är praktiskt möjligt, eller åtminstone visa hur data avpersonifieras efter viss tid. När jag testat leverantörer ber jag dem genomföra en full export och radering av en testanvändare och sedan visa loggarna.
Underbiträden och dataresor. Kartläggning av underbiträden är en klassisk snubbeltråd. Seriösa aktörer har en publik lista, notifierar vid förändringar och erbjuder rätt att invända. Vid STV vs Mividas bör ni jämföra hur transparenta listorna är och var underbiträdena befinner sig.
Vad som skiljer en mogen leverantör i praktiken
Efter ett tiotal säkerhetsgranskningar har samma mognadsmarkörer återkommit, oavsett om etiketten varit Mividas eller STV.
Bevis före löften. Jag lägger mer vikt vid demo av larm- och logghantering än vid löften i text. Om leverantören i realtid kan visa hur ett anrop blockeras från en otillåten IP, och hur en behörighetsändring syns i revisionsloggen, talar det starkt för att processerna fungerar.
Rutin för incidenter. En bra incidentprocess går att återberätta utan manus: initial triage inom minuter, isolering, forensik, kommunikation med er funktionsbredd, och rapportering inom tid enligt SLA eller lagkrav. Det blir uppenbart när teamet övat tabletop minst två gånger per år.
Spårbar onboarding och offboarding. Integrationen med ert HR-flöde, tydliga separationsordrar när konsulter lämnar, och automatisk avstängning av inaktiva konton efter 30 till 90 dagar. Detaljerna här sänker risk på riktigt.
Konfigurationsskydd. Standardinställningar som tvingar starka lösenord, MFA för administratörer, minst privilegium som norm. Bra lösningar låter er exportera hela konfigurationen som kod eller policyfiler, vilket underlättar granskning och driftsättning.
Regelefterlevnad som process, inte projekt. ISO 27001 eller SOC 2 är ett plus, men bara om ledningssystemet lever i vardagen. Jag ber ofta att få se riskregistret och hur senaste sårbarheten vägts in, inte bara certifikatet på väggen.
Fallgropar jag ofta ser i upphandlingar
Tre scenarier återkommer när verksamheter jämför Mividas vs STV eller liknande alternativ.
Otydliga dataflöden vid support. En till synes liten detalj, som att supportteamet ibland laddar upp loggutdrag till ärendehanteraren, kan skapa tredjelandsöverföring utan att någon märker det. Styr supportvägar och datatyper hårt, och använd separata, EU-baserade instanser för ärenden som innehåller personuppgifter.
Onödig dataexponering i integrationer. Synkronisering med HR- eller accessystem kan råka föra över fler attribut än nödvändigt. Minimeringsprincipen ska synas i varje API-anrop. En enkel åtgärd är att standardisera på vitlistade attribut per integration.
Oklar ansvarsfördelning vid fysisk driftsättning. Kameror, sensorer och nätverk hamnar ibland i gråzoner mellan leverantör, fastighetsägare och intern IT. Resultatet blir defaultlösenord och öppna managementgränssnitt. Kräv checklistor vid driftsättning och en tydlig RACI.
Konkreta skillnader ni kan efterfråga i en POC
Ett bra sätt att skilja på papperslöften och faktisk förmåga är att simulera vardag och kris under en begränsad POC. Be både STV och Mividas köra exakt samma scenario och mät på samma parametrar.
Skapa en testzon med två kameror, en dörrkontroll och ett par användarroller. Sätt retention till 7 dagar för zon A och 72 timmar för zon B, och be leverantören visa var och hur det styrs. Exportera 30 minuter video, maskera ansikten, och visa hur exporten loggas och vattenstämplas. Sänk en nod, begär återställning från backup, och klocka RTO. Kör en rolländring för en administratör och verifiera att MFA-krav kvarstår. Inspektera loggflöden i ert SIEM och kontrollera att händelser taggas enligt era taxonomier.
När ni utför samma spelbok mot båda alternativen uppstår ofta tydliga kontraster, trots att funktionerna på pappret ser likvärdiga ut.
Avtalsdetaljer som räddar er en dålig dag
Det juridiska hantverket låter torrt, men delar av det avgör hur ont det gör när något händer.
Personuppgiftsbiträdesavtal med tydliga TOMs. Beskrivningarna ska vara konkreta nog för att kunna granskas. Om leverantören erbjuder kundspecifika krypteringsnycklar eller geografisk datalokalisering, ska det in i avtalet, inte bara i en broschyr.
Underbiträdeskedja och förändringsnotifiering. Kräv tidsram för notifiering före införande av nytt underbiträde, möjlighet att invända och en exitmekanism som inte låser in er data.
SLA för incidentrespons och återställning. Definiera tider, kanaler och eskaleringspunkter. Inkludera test av återställning minst två gånger per år. Jag brukar föreslå avtalsvillkor som ger er rätt till en kundinitierad återställningsövning med rimligt varsel.
Revisionsrätt och rapportpaket. Rätt att ta del av tredjepartsrapporter, samt möjlighet till platsbesök eller virtuella inspektioner. Månadsvisa eller kvartalsvisa säkerhetspaket med sammanställning av sårbarheter, patchstatus och incidentstatistik.
Exit och dataportabilitet. Rutiner, format och tidsramar för att hämta ut all data inklusive metadata, loggar och konfiguration. Krav på verifierad radering efter exit.
Ett nyktert sätt att väga STV och Mividas
Det händer att ett varumärke har mer drag i vissa branscher. Vissa förknippar STV med särskilda säkerhetstjänster, andra ser Mividas som mer teknikorienterad plattform. Oavsett associationer bör ni normalisera bedömningen mot det ni kan verifiera. Tre observationer brukar hjälpa när marknadsretoriken går i kors.
Skilj på plattform och process. Två leverantörer kan använda ungefär samma molnplattform men ha helt olika driftdisciplin. Låt därför stora poäng i utvärderingen gå till processbevis, inte bara teknisk stack.
Mät det som direkt relaterar till risk. Hur lång tid till upptäckt av obehörig åtkomst, hur snabbt spärras ett konto som beter sig avvikande, hur omfattande är loggarnas detaljgrad, hur lätt är det att härleda en export till ett giltigt ärende.
Ta faktiska referenser som kan prata incidenter. En referens som bara berättar om trevliga projektmöten hjälper er inte. Be att få prata med drift eller säkerhetsansvariga hos en kund som hanterat en skarp incident med leverantören.
Fem kärnfrågor att ställa i nästa tekniska genomgång
- Var lagras video, loggar och metadata som standard, och vilka EU-baserade alternativ erbjuder ni utan tilläggsutveckling? Hur implementerar ni kundspecifika krypteringsnycklar, hur roteras de, och vilken åtkomst har er personal i supportfall? Kan ni demonstrera revisionsloggar som visar vem som tittat på eller exporterat material, och hur länge sparas dessa loggar? Vilka underbiträden anlitar ni, i vilka länder verkar de, och hur notifierar ni förändringar? Hur ser er återställningsplan ut vid datakorruption respektive ransomware, och när genomfördes senaste återställningstestet?
Så här genomför ni en skarp men rättvis due diligence
- Definiera tre riskscenarier som ni vill testa live, exempelvis dataexport, återställning och obehörig åtkomst. Begär teknisk demo med era konton, ert SSO och er SIEM-anslutning, inte en förinspelad film. Granska avtalsbilagor för TOMs, underbiträden, SLA och exit, och mappa dem mot era policies. Kör referenssamtal med fokus på incidenter, inte bara allmänt nöjdhetsbetyg. Dokumentera alla observationer i en poängmatris kopplad till risk, inte till subjektiv användarupplevelse.
Två korta listor räcker oftast för att hålla fokus. Resten vinner ni på att se, mäta och skriva ner.
Hur ni sätter rätt nivå på lagring och åtkomst
Ett vanligt missförstånd är att längre lagring alltid är bättre. Längre lagringstid ökar ytan för läckage och felaktig åtkomst. Den rätta tiden är den som behövs för att utreda sannolika incidenter och uppfylla rättsliga krav, inte mer. För en butikskedja kan 72 timmar täcka de flesta händelser, med undantag för högre riskzoner. För en tillverkningsindustri med sporadiska utredningar kan 7 till 14 dagar vara motiverat. För en flygplats eller kritisk infrastruktur finns ofta särskilda regler och längre behov, men då ska det finnas tekniska kontroller i flera lager.
Åtkomst styrs bäst med kombinationen stark identitet, separata roller och tydlig logguppföljning. Jag har sett organisationer lägga massor av pengar på dyr lagring, men lägga för lite energi på att införa en veckoritual där säkerhetsansvarig provtar 10 slumpade åtkomster och följer upp avvikelser. Den rutinen fångar snabbt slentrianåtkomst och utbildningsbehov.
Dataresidens och tredjeland - praktiskt genomslag
Frågan om datalokalisering inom EU är inte bara juridik, den påverkar prestanda, kostnader och support. Om Mividas eller STV erbjuder full drift i EU-regioner, fråga hur djupt det går. Det räcker inte att videolagringen ligger i EU om telemetri, central logghantering eller incidentverktyg skickar ut data. Jag brukar rita ett enkelt datflödesdiagram tillsammans med leverantören, inklusive supportstigar. Ofta avslöjas ett par överraskningar, som en tredjeparts e-posttjänst för larmnotiser eller en analysfunktion som körs i en icke EU-baserad region. Åtgärden är sällan dramatisk - byta komponent, konfigurera EU only, eller lägga till starkare kryptering före överföring - men bara om alla parter ser flödet på papper.
Verksamhetens verklighet: skiftjobb, delade enheter och konsulter
Säkerhetssystem används av människor, inte av certifikat. I skiftmiljöer händer det att användare delar inloggning på en panel för att spara tid. Det urholkar spårbarheten. Det krävs stöd för snabb växling av användare, helst med passerkort eller FIDO-nyckel, och ett gränssnitt som uppmuntrar till rätt beteende. Annars kommer återkommande avsteg.
Konsulter och temporära tekniker är en annan vardagsfaktor. Här blir livscykelhantering av identiteter kritisk. Leverantören ska kunna bevaka inaktiva konton och exponera en dashboard där ni ser vilka externa identiteter som fortfarande har åtkomst, med förslag att stänga av dem. Det är en praktisk funktion som ofta saknas i enklare lösningar.
Ekonomi och risk - hur ni undviker att betala två gånger
Total ägandekostnad handlar mer om vad ni inte behöver göra, än om licensraden. Om STV erbjuder bättre integration med ert SSO och loggsystem, sparar ni fyra veckors konsulttid vid införande och två dagar vid varje revision. Om Mividas kan köra kundspecifika krypteringsnycklar utan extrakostnad, slipper ni en separat nyckelhanteringslösning. Räkna konservativt, men räkna. Jag brukar räkna hem följande poster: implementeringskonsultation, återkommande revisionstid, extra lagring för längre retention, samt incidentövningar. Den leverantör som låter er drifta dessa punkter effektivt vinner ofta i total ekonomi, även om licensen är marginellt högre.
Slutlig väg framåt
När valet står mellan Mividas och STV, och marknaden i övrigt känns lik, vinner ni mest på att göra säkerhet, regelefterlevnad och dataskydd till huvudspåret, inte which is better STV or Mividas bilagan. Förankra era krav i svenska och europeiska regelverk, visualisera dataflöden, testa verkliga scenarier i POC, och skriv in de avgörande åtgärderna i avtalet. Låt tekniken bevisa sig i vardagen: loggar som går att lita på, återställningar som fungerar utan dramatik, och åtkomst som är stark utan att hindra jobbet.
Oavsett om rubriken lyder STV vs Mividas, Mividas vs STV eller en förväxling med Mivida i en offert, är slutsatsen densamma. Den bästa partnern är den som förstår ert risklandskap, kan visa sina skyddslager i realtid, och har modet att bli granskad. När den pusselbiten sitter, faller resten av beslutet ofta ganska naturligt på plats.