Hjem Blogg
Begynn her

Sikkerhet

Last updated:

Dette er en oversettelse av den engelske sikkerhetsoversikten. Den engelske versjonen er den autoritative teksten; ved motstrid gjelder den engelske ordlyden.

En oppsummering av de tekniske og organisatoriske tiltakene Teksta har innført etter personvernforordningen art. 32.

Kryptering under overføring

TLS 1.2 eller høyere håndheves på alle kundevendte endepunkter, med HSTS aktivert.

Tilgangskontroll

  • Alle API-forespørsler autentiseres og autoriseres på serversiden, med tilgangsregler på radnivå avgrenset per organisasjon slik at kunder ikke kan se hverandres data.
  • Ansattes tilgang til produksjonsressurser er begrenset til autorisert personell med tofaktorautentisering.

Nettverk og infrastruktur

  • Webfrontenden leveres fra en global edge med WAF-beskyttelse.
  • Anti-bot-beskyttelse beskytter registrering og tilbakestilling av passord.
  • Applikasjonstjenester kjører på Hetzner i Tyskland. De eksponeres ikke på offentlige porter; all inngående trafikk termineres i en reverse proxy som håndterer TLS og ruting.

E-postautentisering

  • SPF, DKIM og DMARC er konfigurert for teksta.no.
  • Utgående e-post - både transaksjonsbasert og personlig - signeres med en DKIM-signatur tilpasset teksta.no.
  • DMARC-rapporter samles inn og gjennomgås.

Logging og overvåking

Feil, spor, metrikker og applikasjonslogger samles inn på Teksta-kontrollert, selvhostet observabilitetsinfrastruktur. De brukes bare til å drifte tjenesten og er ikke utformet for å fange opp personopplysninger.

Sikkerhetskopiering og gjenoppretting

  • Databasen sikkerhetskopieres daglig med en lagringstid på 14 dager.
  • Sletting i objektlagring skjer umiddelbart på objektnivå; det finnes ingen versjonshistorikk per objekt.

Sikker utvikling

  • Kildekontroll er beskyttet med krav om kodegjennomgang på hovedgrenen.
  • Kontinuerlig integrasjon kjører lint, typecheck og tester ved hver endring.
  • Avhengigheter oppdateres automatisk.
  • Hemmeligheter lagres i et administrert secret store, ikke i kildekoden.

Håndtering av underdatabehandlere

Den gjeldende listen er publisert på /blog/INT/nb/legal/underdatabehandlere/. Hver underdatabehandler velges ut fra etterlevelse av personvernforordningen og EU-datalokalisering der det er praktisk mulig. Nye underdatabehandlere utenfor EØS legges bare til etter en dokumentert Transfer Impact Assessment.

Dataminimering

  • Lyd lagres bare så lenge det er nødvendig for å levere brukerens innhold; se personvernerklæringen §7 for detaljer.
  • Analyse kjøres på en EU-instans. Persistente identifikatorer blokkeres til brukeren gir samtykke gjennom samtykkebanneret.
  • Prompter til LLM-leverandører inneholder bare den minimumsteksten som er nødvendig; bulklyd sendes aldri.

Hendelseshåndtering

Vi følger en dokumentert prosedyre for hendelseshåndtering. Brudd på personopplysningssikkerheten varsles til Datatilsynet innen 72 timer der det er påkrevd, og til berørte B2B-kunder innen 48 timer etter at vi ble kjent med bruddet.

Sertifiseringer og revisjoner

Teksta har foreløpig ingen uavhengig SOC 2- eller ISO 27001-sertifisering. Vi baserer oss på sertifiseringene til infrastrukturleverandørene våre og på den offentlige beskrivelsen av praksisene våre på denne siden. Uavhengig sertifisering står på veikartet etter hvert som selskapet vokser.

Rapportering av sikkerhetsproblemer

Sårbarhetsrapporter og sikkerhetsspørsmål kan sendes til privacy@teksta.no. Vi svarer raskt på sikkerhetsrapporter og anerkjenner ansvarlig sårbarhetsrapportering.