1. Hosting & lokasjon
All produksjonsdata lagres i EU. Primær infrastruktur er hos Hetzner i Falkenstein, Tyskland, med replikering til Nürnberg. Ingen kundedata sendes til USA eller andre tredjeland uten gyldig overføringsgrunnlag.
Primær region
Falkenstein, DE — ISO 27001-sertifisert datasenter, biometrisk adgangskontroll.
Replikering
Synkron replikering til Nürnberg, DE. Failover-RTO under 5 minutter.
Backup-lokasjon
Daglige snapshots til separat region, kryptert med egne nøkler.
Ingen overføring
Ingen kundedata krysser EU-grensen. CDN og e-post går via EU-noder.
2. Kryptering
- I transitt: TLS 1.3 mot alle endepunkter. HSTS preload, HTTP/2.
- I hvile: AES-256 på disk, kolonnenivå-kryptering på sensitive felt (telefon, e-post).
- Backup: Kryptert med separate nøkler oppbevart i HashiCorp Vault.
- Passord: Argon2id med per-bruker salt. Passord lagres aldri i klartekst.
3. Tilgangskontroll
FeltKart følger prinsippet om minst privilegium. Ingen ansatte har tilgang til kundedata uten konkret behov, og all tilgang logges.
- Tofaktor-autentisering (TOTP) påkrevd for alle interne systemer.
- SSO-støtte (Google Workspace, Microsoft Entra) for kunder på Vekst- og Skala-plan.
- Sesjonstokens roteres ved sensitive operasjoner.
- Adminhandlinger logges og er tilgjengelig i revisjonsspor for kunden.
4. Backup & gjenoppretting
| Type | Frekvens | Oppbevaring |
|---|---|---|
| Inkrementell snapshot | Hver 6. time | 14 dager |
| Daglig fullbackup | 03:00 CET | 30 dager |
| Månedlig arkiv | Første i mnd. | 12 måneder |
Vi tester gjenoppretting hver måned mot et isolert miljø. RPO: 6 timer. RTO: 4 timer for full produksjon, 5 minutter for region-failover.
5. SLA & oppetid
Vi forplikter oss til 99,9 % månedlig oppetid for alle betalende kunder. Planlagt vedlikehold varsles minst 48 timer i forveien og legges utenfor norsk arbeidstid.
Ved brudd på SLA krediteres Kunden 10 % av månedsavgiften per påbegynte time over avtalt grense, opptil 100 % av månedsavgiften.
6. Hendelseshåndtering
Vi har en bemannet vakt 24/7 for kritiske produksjonshendelser. Ved sikkerhetsbrudd som rammer kundedata varsles berørte kunder innen 72 timer, i tråd med GDPR-krav.
- Egen status-side: status.feltkart.no
- Post-mortem publiseres innen 7 dager etter alvorlige hendelser.
- Varsling skjer på e-post til registrert kontaktperson + på status-siden.
7. Pen-test & revisjon
Vi gjennomfører ekstern penetrasjonstest årlig. Siste test ble utført av mnemonic AS i februar 2026. Sammendragsrapport er tilgjengelig på forespørsel under NDA.
I tillegg kjører vi:
- Automatiske SCA-skann (Snyk) på alle commits.
- SAST i CI-pipeline før hver utrulling.
- Avhengighets-oppdateringer hver 14. dag.
8. Rapporter sårbarhet
Har du funnet en sårbarhet? Vi setter pris på ansvarlig rapportering.
Send detaljer til security@feltkart.no (PGP-nøkkel 0x4F2A 9B81). Vi svarer innen 48 timer og holder deg oppdatert på fremdrift.
Trenger du DPA, sikkerhetsspørreskjema eller revisjonsrapport? Skriv til security@feltkart.no.