Sikkerhet & databeskyttelse
Messedataene dine er forretningskritiske. Vi beskytter dem med bransjestandard kryptering, streng klientisolering og EU-basert infrastruktur.
Europeisk infrastruktur
Alle data lagres og behandles innenfor EU.
Hostet på Hetzner
Tysk skyleverandør med ISO/IEC 27001-sertifiserte datasentre i Nürnberg, Falkenstein og Helsinki.
Hetzner-sertifiseringer
ISO/IEC 27001:2022
Informasjonssikkerhetsadministrasjon, sertifisert av SOCOTEC Certification
BSI C5 Type 2
Cloud Computing Compliance Controls Catalogue, verifisert av det tyske føderale kontoret
EU-datajurisdiksjon
All databehandling innenfor EUs grenser. Ingen tredjelandsoverføringer.
Tekniske sikkerhetskontroller
Flere beskyttelseslag fra nettverk til applikasjon.
Kryptering under transport
Alle tilkoblinger sikret med TLS 1.3 via automatiske Let's Encrypt-sertifikater. HTTP-forespørsler oppgraderes til HTTPS.
Autentisering
JWT-tilgangstokener med automatisk rotasjon av oppdateringstokener. Passord hashet med bcrypt (10 saltrunder). Passordtilbakestillingstokener er engangs og utløper etter 24 timer.
Rollebasert tilgang
Trestegs tilgangskontroll (ansatt, koordinator, superbruker). Hvert API-endepunkt håndhever rollekrav. Ansatte kan bare få tilgang til arrangementer de er tildelt.
Klientisolering
Streng dataseparasjon på selskapsnivå. Hver databasespørring er begrenset til den autentiserte klienten. Ingen datalekkasje mellom selskaper er mulig.
Inndata-validering
All API-inndata valideres med Zod-skjemaer før behandling. Prisma ORM sikrer parameteriserte spørringer — null risiko for SQL-injeksjon.
Mobilsikkerhet
Autentiseringstokener lagres i enhetens nøkkelring (iOS) eller krypterte SharedPreferences (Android) — aldri i åpen lagring.
Databeskyttelse
Hvordan vi håndterer og sikrer informasjonen din.
Passordsikkerhet
Passord hashes med bcrypt før lagring. Vi lagrer eller overfører aldri passord i klartekst. Passordtilbakestillingstokener er kryptografisk tilfeldige og engangs.
Tokenadministrasjon
Oppdateringstokener er SHA-256-hashet i databasen. Tokenrotasjon sikrer at kompromitterte tokener umiddelbart ugyldiggjøres. Utlogging tilbakekaller alle aktive sesjoner.
API-sikkerhet
CORS-hviteliste begrenser API-tilgang til autoriserte domener. Filopplastinger er størrelsesbegrenset. Feilmeldinger er generiske for å forhindre informasjonslekkasje.
Revisjonslogging
Autentiseringshendelser, dataendringer og administrative handlinger logges med tidsstempler, brukerkontekst og IP-adresser.
Infrastruktur & utrulling
Produksjonsgrad containerisert arkitektur.
Docker-containere
Alle tjenester kjører i isolerte Docker-containere med helsesjekker og automatiske omstarter.
PostgreSQL 16
Database i bedriftsklasse med vedvarende volumer. Ikke eksponert mot offentlig internett — kun tilgjengelig fra applikasjonscontainere.
Traefik reverse proxy
Automatisk TLS-sertifikatadministrasjon, helsesjekkbasert trafikkruting og utrullinger uten nedetid.
Automatisert CI/CD
Alle kodeendringer gjennomgår automatiserte tester før utrulling. Databasemigrasjoner utføres atomisk før trafikkovergang.
Vårt løfte
Sikkerhet er en pågående prosess. Vi gjennomgår og styrker kontinuerlig vår sikkerhetsstilling etter hvert som plattformen vokser. Har du sikkerhetsspørsmål eller ønsker å rapportere en sårbarhet, kontakt oss.