Hopp til innhold
Sikkerhet

Sikkerhetspolicy

Ansvarlig offentliggjøring av sårbarheter, håndtering av sårbarheter og vårt engasjement for sikkerheten til dataene dine.

Sist oppdatert: mai 2026

01 Policy for ansvarlig offentliggjøring

InfoPeak verdsetter sikkerhetsforskere og ønsker ansvarlig offentliggjøring av sårbarheter velkommen. Hvis du oppdager et sikkerhetsproblem i en InfoPeak-tjeneste, oppfordrer vi deg til å rapportere det.

Rapporter en sårbarhet

security@infopeak.io

For sensitive avsløringer, vennligst be om vår PGP-offentlige nøkkel.

02 Omfang

Følgende tjenester og eiendeler er innenfor omfanget av ansvarlig avsløring:

  • infopeak.io - hovedapplikasjon og nettsted
  • auth.infopeak.io - autentiseringstjeneste
  • InfoPeak Pass - nettleserutvidelse
  • InfoPeak VPN - mobil- og skrivebordsapplikasjoner

03 Retningslinjer for offentliggjøring

Vi ber sikkerhetsforskere om å følge disse retningslinjene:

  • Gi tilstrekkelige detaljer til å reprodusere sårbarheten.
  • Du må ikke få tilgang til, endre eller slette data som tilhører andre brukere.
  • Ikke utfør denial-of-service-angrep eller sosial manipulering.
  • Gi oss rimelig tid (90 dager) til å løse problemet før offentlig avsløring.

04 Svartidslinje

72 timer

Vi bekrefter mottak av rapporten din.

14 dager

Vi gir en innledende vurdering og forventet løsningstidslinje.

90 dager

Vi tar sikte på å løse alle bekreftede sårbarheter innen dette tidsvinduet.

05 Safe Harbor

InfoPeak vil ikke forfølge juridiske skritt mot sikkerhetsforskere som oppdager og rapporterer sårbarheter i god tro i henhold til denne policyen. Vi anser sikkerhetsforskning utført under denne policyen som autorisert og vil ikke innlede juridiske krav for å omgå teknologiske tiltak der forskningen utføres i samsvar med denne policyen.

06 Hendelseshåndtering & bruddvarsel

I tilfelle en sikkerhetshendelse eller databrudd følger InfoPeak disse prosedyrene i samsvar med NIS2-direktivet (EU) 2022/2555 og GDPR-artikkel 33 og 34:

  • Innen 24 timer: Tidlig varsling til relevant nasjonalt CSIRT (Computer Security Incident Response Team).
  • Innen 72 timer: Full hendelsesvarsel til tilsynsmyndigheten (GDPR) og CSIRT (NIS2), inkludert omfangsvurdering og avbøtende tiltak.
  • Uten unødig forsinkelse: Berørte brukere vil bli varslet via e-post med klar informasjon om bruddets art, berørte data, tiltak som er tatt og anbefalte handlinger.
  • Innen 1 måned: En endelig rapport sendes til relevante myndigheter med årsaksanalyse og forebyggende tiltak.

07 Sikkerhetsarkitektur

InfoPeak benytter følgende sikkerhetstiltak som en del av vår forpliktelse til Cyber Resilience Act (CRA):

  • Kryptering i hvile: AES-256-CBC for alle lagrede brukerdata.
  • Kryptering i transitt: TLS 1.3 for alle tilkoblinger.
  • Zero-knowledge-arkitektur: Personlige krypteringsnøkler er avledet på klientsiden. InfoPeak har ikke tilgang til det krypterte innholdet ditt.
  • Kun EU-hosting: All infrastruktur er plassert innenfor Den europeiske union.
  • Regelmessige sikkerhetsoppdateringer: Avhengigheter og infrastruktur overvåkes og oppdateres kontinuerlig.