Tillidscenter

Tillidscenter

Gennemsigtighed er kernen i alt, hvad vi gør. Udforsk vores sikkerhedspraksis, compliancestatus og de foranstaltninger, vi træffer for at beskytte dine data.

Sikkerhed i overblik

Datakryptering

Alle data krypteres under transport med TLS 1.3 og i hvile med AES-256-kryptering.

Infrastruktur

Hostet på EU-baseret infrastruktur med Bunny.net CDN for global ydeevne og DDoS-beskyttelse.

Adgangskontrol

Multi-faktor-autentificering, rollebaseret adgangskontrol og omfattende revisionslogning.

Privacy by design

Minimal dataindsamling, ingen sporings-cookies og privatlivsfokuseret arkitektur fra grunden.

Hændelsesrespons

Dokumenteret hændelsesresponsproces med forpligtelse til notifikation inden for 24 timer ved databrud.

Løbende overvågning

Automatiseret sårbarhedsscanning, afhængighedsrevisioner og løbende sikkerhedsvurderinger.

Compliance & regulering

Vi er forpligtet til at opfylde og overgå lovgivningsmæssige krav. Nedenfor er vores aktuelle overholdelsesstatus.

Overholdt

GDPR

Fuld overholdelse af EU's generelle databeskyttelsesforordning, herunder dataminimering, samtykkeforvaltning og registreredes rettigheder.

Overholdt

EPrivacy-direktivet

I overensstemmelse med EU's ePrivacy-krav. Vores analyser fungerer uden sporings-cookies.

Overholdt

CCPA

Overholdelse af California Consumer Privacy Act med gennemsigtig datapraksis og brugerrettigheder.

Planlagt

SOC 2 type II

SOC 2 Type II-revisionscertificering er planlagt som en del af vores sikkerhedskøreplan.

Planlagt

ISO 27001

Certificering af informationssikkerhedsstyring er planlagt som en del af vores compliance-køreplan.

Underdatabehandlere

Vi tror på fuld gennemsigtighed om de tredjepartstjenester, vi bruger til at levere vores platform. Alle underdatabehandlere er bundet af databehandleraftaler.

LeverandørFormålPlaceringJurisdiktionBehandlede data
ScalewayCloud-infrastruktur (Kubernetes, PostgreSQL, MySQL, NATS, image registry)EU (frankrig)Kun EUAlle applikationsdata
Bunny.netCDN og DNSEU (slovenien)Kun EUAnmodningsmetadata, IP-adresser
ProtonE-mail og arbejdsområdeSchweizFADP (schweizisk)E-mailkommunikation
PaddleBetalingsbehandling (merchant of record)UKUK (ingen FISA)Fakturerings- og betalingsdata
GitHubKoderepositoriesUSAFISA section 702 / Cloud actKildekode, udviklingsdata
BillyBogføringEU (Danmark)Kun EUFinans- og faktureringsdata
Simply.comDomæneregistrator (primære domæner)EU (Danmark)Kun EUDomæneregistreringsdata
CloudflareDomæneregistrator (varemærke-tLD'er)USAFISA section 702 / Cloud actDomæneregistreringsdata

Vi giver mindst 30 dages forudgående varsel om eventuelle ændringer i vores underdatabehandlere, som beskrevet i vores databehandleraftale.

Vores tilgang til datasuverænitet

Amerikanske udbydere er underlagt FISA Section 702 og Cloud Act, som kan kræve udlevering af data, uanset hvor de er gemt. Serverplacering alene beskytter ikke data mod disse love. FISA Cloud Act

Vi arbejder aktivt på at minimere vores afhængighed af tjenester underlagt amerikansk jurisdiktion. Vores kerneinfrastruktur (hosting, databaser, CDN, DNS, e-mail og betalinger) drives udelukkende af EU-baserede udbydere uden for FISA's og Cloud Act's rækkevidde. De eneste amerikanske tjenester, vi bruger (GitHub, Cloudflare), håndterer kildekode og domæneregistreringer, ikke kunders persondata.

Vores langsigtede mål er at eliminere alle afhængigheder af udbydere underlagt ekstraterritoriale amerikanske overvågningslove.

Juridiske dokumenter & politikker

Rapporter et sikkerhedsproblem

Vi tager sikkerhed alvorligt og sætter pris på ansvarlig offentliggørelse. Hvis du opdager en sårbarhed, bedes du kontakte os direkte.

[email protected]

Ordliste

GDPR
Generel databeskyttelsesforordning: EU's omfattende databeskyttelseslov, der regulerer, hvordan persondata fra EU-borgere indsamles, behandles og opbevares.
EPrivacy-direktivet
EU-direktiv 2002/58/EF om regulering af privatlivets fred i elektronisk kommunikation, herunder cookies, sporing og fortrolighed i kommunikation.
CCPA
California Consumer Privacy Act: en amerikansk delstatslov, der giver borgere i Californien rettigheder over deres persondata, herunder retten til at vide, slette og fravælge salg af data.
FISA section 702
Foreign Intelligence Surveillance Act, Section 702: giver amerikanske efterretningstjenester tilladelse til at indsamle kommunikation fra ikke-amerikanske personer uden for USA, herunder data hos amerikanske cloud-udbydere, uden retskendelse.
Cloud act
Clarifying Lawful Overseas Use of Data Act (2018): en amerikansk føderal lov, der giver amerikanske myndigheder mulighed for at tvinge amerikanske teknologivirksomheder til at udlevere data, uanset om dataene er gemt i USA eller i udlandet.
FADP (schweizisk)
Federal Act on Data Protection: Schweiz' nationale databeskyttelseslov, der giver et beskyttelsesniveau, som EU anerkender som tilstrækkeligt. Schweiziske udbydere er ikke underlagt FISA eller Cloud Act.
DPA
Databehandleraftale: en juridisk bindende kontrakt mellem en dataansvarlig og en databehandler, der beskriver, hvordan persondata håndteres, krævet i henhold til GDPR.
SOC 2
Service Organization Control 2: en revisionsstandard, der evaluerer en organisations kontroller vedrørende sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
ISO 27001
En international standard for informationssikkerhedsstyringssystemer (ISMS), der giver en systematisk tilgang til håndtering af følsomme virksomhedsoplysninger.
TLS 1.3
Transport Layer Security version 1.3: den nyeste kryptografiske protokol, der krypterer data under transport mellem en brugers browser og en server.
AES-256
Advanced Encryption Standard med 256-bit nøgler: en bredt betroet symmetrisk krypteringsalgoritme, der bruges til at beskytte data i hvile.
Merchant of record (moR)
En tredjepart, der håndterer betalingsbehandling, skatteoverholdelse og fakturering på vegne af en sælger og fungerer som den juridiske sælger for transaktioner.

Spørgsmål om sikkerhed?

Vores team er klar til at drøfte dine sikkerheds- og compliancekrav.