Underbiträden (Sub-processors) — Northverify
Gäller från: 2026-06-08 Version: 1.7
Denna sida listar samtliga underbiträden som Swe1 AB (org.nr 559341-8436) anlitar för att leverera tjänsten Northverify. Listan utgör en del av vårt personuppgiftsbiträdesavtal (DPA) enligt GDPR Artikel 28.2 och 28.4.
Aktiva underbiträden
| Underbiträde | Tjänst | Plats / region | Datakategorier | Rättslig ram |
|---|---|---|---|---|
| Supabase Inc. | Databas, autentisering, fillagring | EU-West (Dublin, IE) | Konto, e-post, scan-resultat, krypterade lösenord | DPA + SCC 2021/914 |
| Stripe Payments Europe Ltd. | Betalningshantering | Irland (EU) | Faktureringsadress, transaktionsdata, kortnummer (Stripe-vault) | DPA + SCC + DPF |
| Hetzner Online GmbH | Scan-infrastruktur (VPS) | Nürnberg, Tyskland | IP-adresser, scan-target-URL:er, scan-loggar | DPA |
| Hetzner Storage Box (BX11) | Krypterad off-site databasbackup (Layer 2) | Helsingfors, Finland (EU) | GPG-krypterade databasdumpar (konto, e-post, scan-resultat) | DPA |
| Resend, Inc. | Transaktionell e-post (kvitton, scan-rapporter) | EU (Irland) | E-postadress, namn, e-postinnehåll | DPA + SCC |
| Cloudflare, Inc. | Edge SSR (Cloudflare Workers), CDN, DDoS-skydd, WAF | Global edge (närmaste EU-nod prioriteras) | IP-adress, request-metadata, User-Agent | DPA + SCC + DPF |
| Simply.com A/S | DNS-hosting + e-postlagring för northverify.com | EU (Sverige/Danmark) | Mejladresser, IP-adress, mejlinnehåll | DPA |
| Sentry GmbH (Functional Software, Inc.) | Felrapportering & Session Replay (endast efter samtycke) | EU-region (*.ingest.de.sentry.io, Tyskland) | Felstacks, anonym session-id, maskat session replay | DPA + SCC |
| Plausible Insights OÜ | Webbanalys (cookieless, ingen IP-lagring) | Estland (EU) | Aggregerad besöksdata, anonym session — laddas alltid (opt-out via cookie-inställningar) | DPA |
| Lovable AI Gateway | LLM-anrop för executive summary av scan | EU | Sammanställda scan-findings (avidentifierade) | DPA |
| WPScan Vulnerability Database / Automattic, Inc. | CVE-data-API för WordPress-pluginsårbarhetskontroller | USA | Måldomänens URL, installerade plugins och versionsnummer (inga personuppgifter) | SCC 2021/914 |
Hur datan flödar
- Konto- och scan-data: lagras primärt hos Supabase i Dublin (Irland). Inga personuppgifter lämnar EU/EES under normal drift.
- Betalningar: Stripe är personuppgiftsansvarig för kortdata; vi får endast tokens och kvittometadata.
- Scan-infrastruktur: Hetzner Tyskland kör headless browsers och scanners. Inga inloggningsuppgifter till skannade sajter lagras.
- Backup: krypterade databasdumpar (GPG) kopieras off-site till en Hetzner Storage Box i Helsingfors (Finland, EU). Dumparna är krypterade i vila, EU-residenta och rullar ut på en 30-dagars retention. Vid radering tas data bort omedelbart ur livesystemet och åldras ut ur backuperna inom retentionsperioden.
- E-post: Resend skickar kvitton och scan-rapporter. E-postinnehåll lagras i 30 dagar för debugging.
- Cloudflare: kör Edge SSR (Cloudflare Workers) för
northverify.comsamt CDN/WAF. Global infrastruktur — konfigurerad att prioritera EU-noder via Geo Steering. Hanterar inte DNS. - Simply.com: hanterar DNS för
northverify.comoch lagrar e-post för 5 mailkonton (support@,security@,privacy@m.fl.). Drift inom EU (Sverige/Danmark), ingen tredjelandsöverföring. - Sentry: laddas endast efter att besökaren aktivt accepterat analytics i cookie-bannern. Replays maskar all text och blockerar all media.
- Plausible: cookieless webbanalys. Lagrar ingen IP-adress och sätter inga cookies. Laddas alltid (kräver inget samtycke per GDPR/ePrivacy — ingen cookie, ingen PII). Besökare kan välja bort via cookie-inställningar, vilket sätter
plausible_ignore=truesom Plausible respekterar nativt. - Lovable AI Gateway: anropas endast för Standard/Pro-tier scans. Vi skickar enbart avidentifierade findings (URL:er + regel-id) — aldrig konto-, e-post- eller IP-data.
Tredjelandsöverföringar
Vi försöker hålla all behandling inom EU/EES. Där överföringar till tredjeland sker (främst Cloudflare-edge och Stripes USA-infrastruktur för viss redundans) skyddas datan av Standard Contractual Clauses (SCC 2021/914) och EU-US Data Privacy Framework.
Hur vi meddelar ändringar
Innan vi lägger till eller byter underbiträde meddelar vi:
- Aktiva kunder via e-post med minst 30 dagars varsel innan ändringen träder i kraft.
- Allmänheten via uppdatering av denna sida samt versionshöjning.
- Prenumeranter via e-post — anmäl dig nedan för att få notiser automatiskt.
Du har rätt att invända mot ett nytt underbiträde enligt vårt DPA. Om vi inte kan hitta en alternativ lösning har du rätt att säga upp avtalet utan kostnad.
Versionshistorik
| Version | Datum | Ändring |
|---|---|---|
| 1.0 | 2026-04-29 | Initial publik publicering. |
| 1.1 | 2026-04-29 | Plausible borttagen — ingen webbanalys används. |
| 1.2 | 2026-04-29 | Plausible Insights OÜ tillagd som webbanalys-leverantör (cookieless, consent-gated). |
| 1.3 | 2026-05-03 | Sentry-rad uppdaterad för att tydliggöra EU-region och mask-beteende vid Session Replay. |
| 1.4 | 2026-05-06 | Korrigerade Cloudflares roll (DNS sköts av Simply.com, inte Cloudflare). Lade till Simply.com som sub-processor för DNS-hosting och e-postlagring. |
| 1.5 | 2026-05-29 | Lade till WPScan Vulnerability Database / Automattic, Inc. (USA, SCC). Justerade description för Lovable AI Gateway. |
| 1.6 | 2026-06-01 | Korrigerade Supabase-regionen till EU-West (Dublin, Irland, eu-west-1) — tidigare felaktigt angiven som Frankfurt/EU-Central. |
| 1.7 | 2026-06-08 | Lade till Hetzner Storage Box (Helsingfors, Finland) som backup-underbiträde för krypterade off-site databasdumpar. Förtydligade att Plausible laddas utan samtycke (cookieless, ingen PII) i linje med cookiepolicyn. |
Kontakt
Swe1 AB E-post: privacy@northverify.com Org.nr: 559341-8436