Hoppa till innehåll
Säkerhet

Säkerhetspolicy

Ansvarsfull rapportering, hantering av sårbarheter och vårt åtagande om säkerheten för dina data.

Senast uppdaterad: maj 2026

01 Policy för ansvarsfull rapportering

InfoPeak värdesätter säkerhetsforskare och välkomnar ansvarsfull rapportering av sårbarheter. Om du upptäcker ett säkerhetsproblem i någon InfoPeak-tjänst uppmuntrar vi dig att rapportera det till oss.

Rapportera en sårbarhet

security@infopeak.io

För känsliga rapporter, begär vår offentliga PGP-nyckel.

02 Omfattning

Följande tjänster och tillgångar omfattas av ansvarsfull rapportering:

  • infopeak.io - huvudapplikation och webbplats
  • auth.infopeak.io - autentiseringstjänst
  • InfoPeak Pass - webbläsartillägg
  • InfoPeak VPN - mobil- och skrivbordsappar

03 Riktlinjer för rapportering

Vi ber säkerhetsforskare att följa dessa riktlinjer:

  • Ge tillräcklig information för att återskapa sårbarheten.
  • Få inte åtkomst till, ändra eller radera andra användares data.
  • Utför inte överbelastningsattacker eller social ingenjörskonst.
  • Ge oss rimlig tid (90 dagar) att åtgärda problemet innan offentlig rapportering.

04 Svarstidslinje

72 timmar

Vi bekräftar mottagandet av din rapport.

14 dagar

Vi lämnar en inledande bedömning och förväntad tidsplan för åtgärd.

90 dagar

Vi strävar efter att åtgärda alla bekräftade sårbarheter inom denna tidsram.

05 Safe Harbor

InfoPeak kommer inte att vidta rättsliga åtgärder mot säkerhetsforskare som upptäcker och rapporterar sårbarheter i god tro enligt denna policy. Vi betraktar säkerhetsforskning som utförs under denna policy som auktoriserad och inleder inte rättsliga anspråk för att kringgå tekniska skyddsåtgärder när forskningen sker i enlighet med denna policy.

06 Incidenthantering & anmälan vid intrång

Vid en säkerhetsincident eller dataläcka följer InfoPeak dessa rutiner i enlighet med NIS2-direktivet (EU) 2022/2555 och GDPR artiklarna 33 och 34:

  • Inom 24 timmar: Tidig varning till relevant nationellt CSIRT (Computer Security Incident Response Team).
  • Inom 72 timmar: Fullständig incidentanmälan till tillsynsmyndigheten (GDPR) och CSIRT (NIS2), inklusive omfattningsbedömning och åtgärder.
  • Utan onödigt dröjsmål: Berörda användare informeras via e-post med tydlig information om intrångets art, berörda data, vidtagna åtgärder och rekommenderade åtgärder.
  • Inom 1 månad: En slutrapport lämnas till berörda myndigheter med rotorsaksanalys och förebyggande åtgärder.

07 Säkerhetsarkitektur

InfoPeak använder följande säkerhetsåtgärder som en del av vårt åtagande enligt Cyber Resilience Act (CRA):

  • Kryptering i vila: AES-256-CBC för all lagrad användardata.
  • Kryptering under överföring: TLS 1.3 för alla anslutningar.
  • Zero-knowledge-arkitektur: Personliga krypteringsnycklar härleds på klientsidan. InfoPeak kan inte komma åt ditt krypterade innehåll.
  • Endast EU-hosting: All infrastruktur finns inom Europeiska unionen.
  • Regelbundna säkerhetsuppdateringar: Beroenden och infrastruktur övervakas och uppdateras kontinuerligt.