Spring til indhold
Sikkerhed

Sikkerhedspolitik

Ansvarlig offentliggørelse af sårbarheder, håndtering af sårbarheder og vores forpligtelse over for sikkerheden af dine data.

Sidst opdateret: maj 2026

01 Politik for ansvarlig offentliggørelse

InfoPeak værdsætter sikkerhedsforskere og byder ansvarlig offentliggørelse af sårbarheder velkommen. Hvis du opdager et sikkerhedsproblem i en InfoPeak-tjeneste, opfordrer vi dig til at rapportere det.

Rapporter en sårbarhed

security@infopeak.io

For følsomme afsløringer bedes du anmode om vores PGP-offentlige nøgle.

02 Omfang

Følgende tjenester og aktiver er inden for rammerne af ansvarlig afsløring:

  • infopeak.io - hovedapplikation og websted
  • auth.infopeak.io - godkendelsestjeneste
  • InfoPeak Pass - browserudvidelse
  • InfoPeak VPN - mobil- og skrivebordsapplikationer

03 Retningslinjer for offentliggørelse

Vi beder sikkerhedsforskere om at følge disse retningslinjer:

  • Giv tilstrækkelige detaljer til at reproducere sårbarheden.
  • Du må ikke tilgå, ændre eller slette andre brugeres data.
  • Udfør ikke denial-of-service-angreb eller social engineering.
  • Giv os rimelig tid (90 dage) til at behandle problemet, inden det offentliggøres.

04 Svarstidslinje

72 timer

Vi bekræfter modtagelsen af din rapport.

14 dage

Vi leverer en indledende vurdering og forventet løsningstidslinje.

90 dage

Vi sigter mod at løse alle bekræftede sårbarheder inden for dette tidsvindue.

05 Safe Harbor

InfoPeak vil ikke forfølge juridiske skridt mod sikkerhedsforskere, der opdager og rapporterer sårbarheder i god tro i overensstemmelse med denne politik. Vi anser sikkerhedsforskning, der udføres under denne politik, for at være autoriseret og vil ikke indlede juridiske krav for at omgå teknologiske foranstaltninger, når forskningen udføres i overensstemmelse med denne politik.

06 Håndtering af hændelser & brudmeddelelse

I tilfælde af en sikkerhedshændelse eller databrud følger InfoPeak disse procedurer i overensstemmelse med NIS2-direktivet (EU) 2022/2555 og GDPR-artiklerne 33 og 34:

  • Inden for 24 timer: Tidlig advarsel til den relevante nationale CSIRT (Computer Security Incident Response Team).
  • Inden for 72 timer: Fuld hændelsesmeddelelse til tilsynsmyndigheden (GDPR) og CSIRT (NIS2), inklusive omfangsvurdering og afhjælpningsforanstaltninger.
  • Uden unødigt ophold: Berørte brugere underrettes via e-mail med klare oplysninger om bruddets karakter, berørte data, trufne foranstaltninger og anbefalede handlinger.
  • Inden for 1 måned: En endelig rapport indsendes til de relevante myndigheder med analyse af grundårsag og forebyggende foranstaltninger.

07 Sikkerhedsarkitektur

InfoPeak anvender følgende sikkerhedsforanstaltninger som en del af vores forpligtelse over for Cyber Resilience Act (CRA):

  • Kryptering ved hvile: AES-256-CBC for alle gemte brugerdata.
  • Kryptering i transit: TLS 1.3 for alle forbindelser.
  • Zero-knowledge-arkitektur: Personlige krypteringsnøgler genereres på klientsiden. InfoPeak kan ikke få adgang til dit krypterede indhold.
  • Kun EU-hosting: Al infrastruktur er placeret inden for Den Europæiske Union.
  • Regelmæssige sikkerhedsopdateringer: Afhængigheder og infrastruktur overvåges og opdateres løbende.