TILLID OG SIKKERHED
Sikkerhedsposition — kun fakta.
Denne side beskriver hvor jeres data gemmes, hvem der behandler det, og hvilke sikkerhedskontroller der er på plads. Ingen markedsføring, ingen certifikater vi ikke har opnået.
Sidst opdateret: 2026-06-04
Compliance-position
Spekir er bygget mod SOC 2 Type 1-parathed. Bevisindsamling er stillet op og kontroller implementeres løbende. Vi er ikke aktuelt certificeret.
GDPR: Vi opererer som databehandler under GDPR. Behandlerforpligtelser er opfyldt. En databehandleraftale (DPA) er tilgængelig på forespørgsel.
ISO 27001: Ikke planlagt på nuværende tidspunkt. Vi genovervejer når virksomhedens skala og kundekrav gør det til den rigtige investering.
Hosting & dataplacering
| Applikationshosting | Vercel — Frankfurt, EU (eu-central-1 / fra1) |
| Database | Neon PostgreSQL — Frankfurt, EU (eu-central-1) |
| Data i hvile | Al kundedata gemmes i EU-regioner. Ingen kundedata forlader EU i hvile. |
| Build-hemmeligheder | Gemt i Vercel-miljøvariabler — aldrig i kildekode |
| CDN-edge-noder | Vercel Edge Network — anmodninger serveres fra nærmeste PoP, data fastgjort til Frankfurt |
Autentifikation
| Udbyder | NextAuth v5 — self-hosted, ingen tredjeparts identitetsmægler |
| Metoder | Email + adgangskode (bcrypt-hashed), Google OAuth |
| Sessioner | Gemt i Neon PostgreSQL (samme EU-region). JWT-signerede server-sessioner. |
| 2FA / MFA | TOTP-baseret 2FA tilgængelig i Indstillinger → Sikkerhed |
| SSO / SAML | I gang — planlagt Q4 2026 |
| SCIM-provisioning | Planlagt Q4 2026 |
Kryptering
| Under overførsel | TLS 1.3 håndhævet på alle endpoints. HSTS aktiveret med 1-årig max-age. |
| I hvile | AES-256 administreret af Neon (transparent kryptering på lagniveau). BYOK på roadmap Q3 2026. |
| Hemmeligheder & API-nøgler | Vercel-miljøvariabler — injiceret ved byggetid, aldrig gemt i git eller logs |
| Bruger-API-nøgler | Hashed med bcrypt inden lagring. Rå nøgle vises kun én gang ved oprettelse. |
Backup & dataopbevaring
| Automatisk backup | Neon point-in-time recovery — 7 dage på fri plan, 30 dage på Pro-plan |
| Selvbetjent eksport | Workspace-dataeksport (JSON + CSV) tilgængelig fra Indstillinger → Trust Dashboard |
| Sletning på forespørgsel | Workspace-data slettes inden 30 dage efter verificeret sletningsforespørgsel |
| Audit-log-opbevaring | 12 måneder, append-only. Ingen sletning fra applikationskode. |
| Backup-drill | Gendannelses-drill køres kvartalvist mod Neon child branch (ikke produktion). Beviser gemt internt. |
Sub-processorer
Følgende tredjeparter behandler data på vores vegne. Vi gennemgår sub-processorer løbende og notificerer kunder ved væsentlige ændringer.
| Processor | Formål | Region | DPA |
|---|---|---|---|
| Vercel | Application hosting and CDN | EU (Frankfurt eu-central-1) | DPA ↗ |
| Neon | PostgreSQL database hosting | EU (Frankfurt eu-central-1) | DPA ↗ |
| Anthropic | AI model inference (Claude)Zero data retention configured. Opt-out of model training enforced via API agreement. | US (no EU region available) | DPA ↗ |
| Resend | Transactional email delivery | US / EU | DPA ↗ |
| Stripe | Payment processing | EU (Ireland) | DPA ↗ |
| Langfuse | AI observability and tracing | EU (Frankfurt) — self-hosted | Internal |
| Inngest | Background job orchestration | US (no EU region) | DPA ↗ |
Brug for en DPA? Skriv til hello@spekir.com — vi sender aftalen inden for to arbejdsdage.
Platform-status
| Statusside | I gang — planlagt til Q3 2026 på status.spekir.com |
| Uptime-mål | 99,5% månedlig SLA |
| Hændelses-notifikation | Workspace-admins notificeres inden 24t efter bekræftet hændelse. GDPR Art. 33-notifikation inden 72t. |
| Sårbarhedsrapporter | Email security@spekir.com — se /security for fuld ansvarlig afsløring-politik |
Emne-dybdedyk
Sikkerhed
TLS 1.3, AES-256 at rest, NextAuth v5, audit logs og rate limits.
Sikkerhed →Compliance
GDPR-position, EU AI Act-roadmap og SOC 2-fremgang.
Compliance →Datahåndtering
Hvordan jeres data flyder — fra ingest til sletning.
Datahåndtering →Hændelser
Komplet historik. Ingen rapporterede sikkerhedshændelser pr. dags dato.
Hændelser →Sub-processorer
Vercel, Neon, Anthropic og Resend — med regioner og DPA-links.
Sub-processorer →Dataplacering
Hvor jeres data bor — Frankfurt-first, tri-state-residency-politik, AI compute-placering og sub-processordetaljer.
Dataplacering →AI-datahåndtering
Hvordan Atlas bruger AI med jeres portfolio — hvad der flyder til AI-udbydere, hvad der ikke gør, opbevaringsfakta og kundekontroller.
AI-datahåndtering →Kontakt
Sikkerhedsspørgsmål
Spørgsmål om vores sikkerhedsposition, DPA-forespørgsler eller dataplacering.
hello@spekir.comAnsvarlig afsløring
Fundet en sårbarhed? Se vores afslørings-politik og safe harbour-klausul.
Se /security-politik →