Dataskydd & säkerhet

En transparent genomgång av hur Northverify lagrar, behandlar och skyddar data — skriven för säkerhetsmedvetna köpare och upphandlare.

EU-hosted (Hetzner DE)

Inga inloggningsuppgifter

GDPR Art. 28-anpassat

Öppen underbiträdeslista

1. EU-datalagring

All data som Northverify behandlar lagras och bearbetas inom EU. Vi har medvetet valt infrastrukturpartners med tydliga EU-åtaganden och inga US-dataöverföringar utan SCC.

Skanningsserver: Hetzner Cloud, Nürnberg, Tyskland (EU-GDPR)
Databas & auth: Supabase (Postgres), EU-region, Irland
Edge-runtime: Cloudflare Workers — EU-routing, GDPR DPA tillgängligt
E-postleverans: Resend (EU-baserat, GDPR-anpassat)
Betalningar: Stripe — betalkortsdata lagras aldrig hos Northverify
SCC-status: Alla US-baserade underleverantörer använder EU standardavtalsklausuler (SCC)

Fullständig underbiträdeslista finns på /underbitraden.

2. Underbiträden

Northverify är personuppgiftsbiträde gentemot kunder (GDPR Art. 28). Vi anlitar ett begränsat antal underbiträden, alla med skriftliga DPA-avtal. Listan är öppen och uppdateras när underbiträden läggs till eller tas bort.

Hur vi hanterar underbiträdesändringar

30 dagars förhandsavisering per e-post vid tillkomst av nytt underbiträde
Du kan prenumerera på ändringsavisering direkt på /underbitraden
Ingen underbiträde behandlar data utan skriftlig DPA

Se fullständig underbiträdeslista

3. Datalagring

Vi lagrar data så länge det behövs för att tillhandahålla tjänsten. Nedan följer de viktigaste lagringsperioderna.

Skanningsresultat: Kvar så länge kontot är aktivt. Anonyma skanningar lagras i 30 dagar.
Delade rapporter: Publika delningslänkar (/r/$id) är aktiva i 30 dagar från skapandet.
Kontodata: Lagras tills kontot raderas. Se Dataradering nedan.
Fakturering: Fakturaunderlag och Stripe-händelseloggar sparas i 7 år enligt bokföringslagen.
Felloggar: Sentry-händelser lagras i 90 dagar. Loggar innehåller inte personuppgifter.

4. Dataradering

Du har rätt att raderas. Northverify stöder fullständig kontoborttagning på begäran.

Konto och tillhörande skanningsdata raderas permanent inom 30 dagar från begäran
Begäran kan göras via Kontoinställningar → Radera konto, eller per e-post till privacy@northverify.com
Anonyma skanningar raderas automatiskt efter 30 dagar utan krav på begäran
Fakturaunderlag kan behövas bevaras i 7 år per bokföringslagen — detta anges tydligt i raderingsbekräftelsen

Har du frågor om dataradering? Kontakta privacy@northverify.com.

5. Vad samlas in vid en skanning

Northverify analyserar offentligt tillgängligt innehåll på den URL du anger. Vi hämtar aldrig data bakom autentisering. Nedan är en fullständig lista på vad som samlas in.

Den angivna URL:en och publicerbart tillgängliga sidor (upp till plangränsen per skanning)
HTTP-svarskoder och -headers (Set-Cookie, CSP, HSTS, X-Frame-Options, m.fl.)
HTML-källkod för renderade sidor — för att identifiera tekniska compliance-signaler
JavaScript-bundles och externa script-källors ursprung (för säkerhets- och CSP-analys)
SSL/TLS-certifikatinformation (utfärdare, utgångsdatum, protokollversion)
DNS-poster (SPF, DMARC, MX) — för säkerhetskontroller
Sidladdningstider och kärnvärden för Web Vitals — för prestandakontroller
Skanningsmetadata: URL, skanningsdatum, tidsstämplar, resultatsammanfattning

Skannarens perspektiv

Northverify agerar som en vanlig webbläsarbesökare. Skanningen begär offentliga sidor med en identifierad User-Agent ("Northverify Scanner") och följer robots.txt-direktiv. Vi cacchar aldrig innehåll utöver pågående skanning.

6. Vad samlas inte in

Northverify skannar enbart offentliga webbsidor. Följande samlas aldrig in:

Innehåll bakom inloggning, betalväggar eller sessionsautentisering
Personuppgifter om besökare på den webbplats som skannas
Användarnamn, lösenord, betalkortsuppgifter eller API-nycklar
Formulärinnehåll, köpflöden eller administrativa gränssnitt
Cookies som sätts av tredje part — vi registrerar cookiens existens, inte dess innehåll
Besökarens IP-adress eller beteendedata — Northverify är ett aktivt skanningsverktyg, inte ett passivt analysverktyg
Data från sidor som inte länkas till och som inte är offentligt indexerbara

7. Inloggningsuppgifter

Northverify kräver inga inloggningsuppgifter för att skanna.

Du anger aldrig ett lösenord, en API-nyckel eller en sessionscookie för den webbplats du skannar. Skanningen sker enbart mot publika, oautentiserade sidor.

Inget credentials för målet lagras — du uppger bara URL:en
Northverify-kontolösenord hanteras av Supabase Auth (bcrypt-hashing, aldrig exponerat för Northverify)
API-nycklar (Business+) är hashed vid lagring och visas bara vid skapandet
Betalkortsdata hanteras uteslutande av Stripe — Northverify ser och lagrar aldrig kortnummer

8. Åtkomstkontroll

Åtkomst till data är begränsad på flera nivåer — från databas-RLS till applikationslagret.

Row-Level Security (RLS) i Supabase Postgres: varje rad är bunden till användarens UUID och är ej läsbar av andra användare
Skanningsresultat är privata som standard — delning kräver en explicit åtgärd
Edge functions validerar JWT-token och kontrollerar plan-behörighet på serversidan
Skanningsarbetaren (VPS) kommunicerar med Supabase via service-roll med begränsat scope — ingen läsåtkomst till kunddata
Adminåtkomst kräver separat admin-roll i databasen — ej del av vanligt konto-flöde
Northverify-teamet har inte rutinåtkomst till kunddata — åtkomst sker bara vid felsökning på begäran och loggas

9. Loggning & övervakning

Felövervakning: Sentry — enbart tekniska fel, inga personuppgifter i händelsedata. Aktiveras efter cookie-samtycke.
Webbanalys: Plausible — cookiefri, ingen IP-lagring, ingen fingeravtryckstagning. GDPR-undantagen.
Infrastrukturloggar: Hetzner och Cloudflare genererar infrastrukturloggar per sina standardpolicyer. Vi konfigurerar inte ytterligare loggning av trafik.
Skannarloggar: Skanningsarbetarens exekveringsloggar lagras tillfälligt för felsökning och raderas efter 14 dagar.
PII i loggar: Vi filtrerar bort e-postadresser och URL-parametrar från loggar i de fall de kan innehålla personuppgifter.