Sikkerhet

Tekniske og organisatoriske tiltak.

Personvern handler om hva vi gjør med data. Sikkerhet handler om at vi faktisk klarer det. Her er hvordan.

Datalagring

  • Barnedata: egen MariaDB på egendriftet server i EØS (one.com-gruppen, Nederland). Norsk datasenter (Bulk Infrastructure, Vestby) er planlagt før full offentlig lansering. Vi har valgt bort Vercel og Supabase for å holde data i EØS uten et amerikansk mor-selskap i kjeden.
  • Voksen-metadata: samme egendriftede EØS-server, migreres til Norge sammen med resten.
  • Krypterte backups daglig, 30 dagers retention.

Kryptering

  • TLS 1.3 på all trafikk
  • Direkte-meldinger ende-til-ende-kryptert (parent↔parent, parent↔kid)
  • Medisin-skjema er Artikkel 9-data — ende-til-ende-kryptert + begge foreldre må samtykke
  • Bekreftelses-tokens enkeltbruk, utløper 24 timer

Tilgang

  • Tilgang til produksjons-databasen er begrenset til Stian Åsen Engen
  • 2FA påkrevd for alle administrasjons-verktøy
  • Alle administrasjons-handlinger logges i AuditEntry

Sårbarheter

Vi tar imot ansvarsfulle sårbarhets-rapporter på post@coparent.no med «Sikkerhet:» i emnefeltet (dedikert sikkerhet@coparent.no kommer ved lansering). 72 timers respons, 90 dagers koordinert publisering.

Avhengigheter

Vi reviderer alle direkte avhengigheter månedlig (npm audit + Snyk på CI). Sikkerhetsoppdateringer lander samme dag som de slippes.

Rate-limiting på AI-endepunkter

Hver AI-funksjon (konflikt-chat, skiftvakt-planlegger, Roligere ord, kvittering-skanning, bytte-forslag) er begrenset per bruker per time for å hindre misbruk og kontrollere kostnader. Treffer du grensen får du beskjed med "Retry-After"-info — ingen funksjon blir noensinne slått av permanent.

Hendelser

Ved en sikkerhetshendelse som påvirker personopplysninger varsler vi Datatilsynet innen 72 timer (GDPR Art. 33) og berørte brukere uten ugrunnet opphold.

Sikkerhet · CoParent.no