Trust Center

Sist oppdatert: 18. juni 2026 · Sikkerhetskontakt: security@utfordre.no

Denne siden samler de sikkerhets- og etterlevelsestiltakene som er mest relevante for personvernombud, sikkerhetsansvarlige og innkjøpere i offentlig sektor. Detaljert sikkerhetspakke utleveres på forespørsel under taushetserklæring.

Rammeverk vi arbeider etter

• NSM Grunnprinsipper for IKT-sikkerhet 2.0 — vi har en intern mapping av våre kontroller mot prinsippene Identifisere, Beskytte,Oppdage og Håndtere & gjenopprette. Utleveres på forespørsel.
• ISO/IEC 27001:2022 — vi arbeider etter prinsippene og har som mål å være sertifiseringsklare innen 12–18 måneder etter selskapets etablering.
• SOC 2 Type II — vurderes som neste steg etter ISO 27001, rettet mot kunder som krever attestasjon (Trust Services Criteria).
• OWASP ASVS L2 brukes som teknisk akseptansekriterium for nye features. OWASP Top 10 dekkes av løpende kode-/avhengighetsskanning.
• WCAG 2.1 AA for respondent- og presentasjonsflater, jf. forskrift om universell utforming.

Tekniske og organisatoriske tiltak

• TLS 1.2+ i transport, AES-256 i hvile, krypterte sikkerhetskopier (PITR 7 dager).
• Row-Level Security (RLS) på alle multi-tenant-tabeller, daglig RLS-test (CI).
• 2FA (TOTP) påkrevd for super-admin, valgfritt og anbefalt for org-admin og brukere.
• Revisjonslogg for admin-handlinger (admin_audit_log) — uforanderlig, skrives via SECURITY DEFINER og er kun lesbar for super-admin. Dekker rolleendringer, sletting, eksport, prisjusteringer og andre privilegerte handlinger.
• Sikkerhetslogg over pålogging, eksport, rolleendringer; IP trunkeres etter 30 dager.
• Avhengighetsskanning (Dependabot) og statisk kodeanalyse i CI.
• Minst-privilegium for driftstilgang; produksjonsdata-tilgang logges og begrenses.
• Hemmeligheter i KMS/Secrets Manager — aldri i kode eller logger.

Datalokasjon

All vedvarende lagring av svar, brukerkontoer og KI-prosessering skjer i EU/EØS — primært Frankfurt (Supabase/AWS eu-central-1) og Frankrike (Mistral La Plateforme). Utviklings- og driftsplattformen leveres av Lovable Cloud (Sverige) med underliggende infrastruktur i EU. Sikkerhetskopier ligger i samme region, kryptert. Edge/CDN-laget (Cloudflare) er globalt distribuert, men behandler kun tekniske metadata (IP, headers, TLS-fingeravtrykk) — ingen svar- eller PII-innhold lagres i edge. Full oversikt med overføringsgrunnlag og TIA finnes på utfordre.no/subprocessors.

Penetrasjonstesting

Utfordre planlegger ekstern penetrasjonstest fra anerkjent norsk leverandør (f.eks. Mnemonic, Watchcom eller NetSecurity) før første brede utrulling i offentlig sektor og deretter årlig. Rapport-sammendrag (executive summary) deles på forespørsel; full rapport deles under NDA. Kritiske og høye funn lukkes før eller umiddelbart etter publisering, jf. NSM 2.0 prinsipp 3.

Ansvarlig sårbarhetsrapportering

Vi følger RFC 9116 og publiserer kontaktinformasjon på /.well-known/security.txt. Send funn til security@utfordre.no — gjerne PGP-kryptert (nøkkel utleveres ved første respons). Vi forplikter oss til å svare innen 3 virkedager og holder rapportør informert om status.

Vennligst ikke utfør tester som kan ramme andre kunder eller respondenter (DoS, sosial manipulering, fysisk inntrengning). Vi anerkjenner forskere i en valgfri offentlig liste (hall-of-fame).

Hall of fame

Ingen oppføringer ennå — vær den første.

Relaterte dokumenter

• Personvernerklæring
• Databehandleravtale (DPA)
• DPIA-mal
• Underdatabehandlere (TIA)
• Kort personverninfo til respondenter

Kontakt

• Sikkerhet: security@utfordre.no
• Personvern / DPO-kontakt: personvern@utfordre.no
• Offentlig sektor / DPA: offentlig@utfordre.no