Sikkerhet og infrastruktur

• Applikasjon: Vercel Edge Network, hovedregion Frankfurt (eu-central-1).
• Database: Supabase managed Postgres, EU-region.
• Filer/vedlegg: Vercel Blob (EU-rutet, S3-kompatibel lagring).
• E-post: Brevo, Paris.
• AI: Anthropic Claude via Vercel AI Gateway, prosesseres uten å lagre for trening.

• TLS 1.2/1.3 for all trafikk inn og ut av tjenesten.
• Disk-kryptering (AES-256) på alle datalager hos Supabase og Vercel Blob.
• Passord lagres som bcrypt-hash (12 runder), aldri i klartekst.
• Session-tokens er JWT signert med HS256, kort levetid.

• Rollebasert tilgang: ANSATT, LEDER, ADMIN.
• Brukere ser kun egne regninger (med mindre de er leder/godkjenner eller admin).
• Admin-handlinger logges i audit-logg.
• Database-tilgang fra applikasjon kun via service-rolle.

• Supabase point-in-time recovery (PITR) i 7 dager.
• Daglige fullbackuper, oppbevares 30 dager.
• Vedlegg lagres i replisert blob-lagring med 99,999 % oppetidsmål.
• RTO 4 timer, RPO 1 time.

Ved sikkerhetshendelse som involverer personopplysninger melder vi til Datatilsynet innen 72 timer og informerer berørte brukere så raskt det er praktisk mulig. Vi opprettholder en intern hendelseslogg med rotanalyse, tiltak og oppfølging.

Vi publiserer en oppdatert liste i personvernerklæringen. Nye sub-processors varsles per e-post minst 30 dager før de tas i bruk.

• API-trafikk til Anthropic brukes ikke til modelltrening.
• Vercel AI Gateway lagrer ikke prompt eller respons til trening.
• Du kan velge bort AI-tolkning og fylle inn manuelt.
• Vi logger metadata (modell, tid, regnings-id), men aldri bildet etter prosessering.

Alle bedriftskunder får signert DPA basert på EUs standardkontrakter (SCC). Ta kontakt på [email protected] for å motta gjeldende mal.

Vi setter pris på ansvarlig avsløring. Send rapport til [email protected] med tittel «Security report». Vi forsøker å svare innen 2 arbeidsdager.