Tillidscentral

Korte, ærlige svar på spørgsmålene dit sikkerhedsteam vil stille.

Vi offentliggør hvad vi gør og, lige så vigtigt, hvad vi ikke gør. Ingen scanner-retargeting, ingen tredjeparts-pixels, ingen rå IP'er eller user agents i vores database, nogensinde. For den dybere dataopbevaringsgennemgang se /security/; for live oppetid se /status/.

1. Privatlivsvenlig analyse

I henhold til ADR-0004 logger scan-pipelinen aldrig en IP-adresse eller en rå User-Agent. Ved ingest læser vi CF-IPCountry (land) og sender UA'en gennem et enhedsklasse-regex (mobile / tablet / desktop / unknown), derefter kasseres den rå streng. Bydata er et aggregeret rollup populeret fra request.cf.city, ingen pr.-scan-række, ingen joinbar identifikator. Landeaggregater under 5 scan slås sammen i "Other" for at forhindre re-identifikation.

2. Krypterede sikkerhedskopier

Alle nætter kl. 03:00 UTC snapshot en separat Worker D1 til R2. Sikkerhedskopier er AES-GCM-krypterede med en KDF-roteret datanøgle omfavnet af BACKUP_ENCRYPTION_KEY. Hvert bundle bærer en SHA-256-digest + manifest til manipulationsdetektering (se backups-tabellen). Lagring: 7 år for Pro-tenanter. Krypteringsnøglen holdes i tre uafhængige kopier (Worker-hemmelighed, 1Password-vault, forseglet offline), tab af alle tre ville gøre historiske sikkerhedskopier uoprettelige, så vi behandler den som et enkelt operationelt sandhedspunkt.

3. API Shield + streng CSP

Vores offentlige OpenAPI 3.1-specifikation uploades til Cloudflare API Shield, og alle anmodninger til /api/* valideres mod den. Skemadrift elimineres af en post_deploy-hook, der re-uploader specifikationen ved hvert produktionsdeploy. På frontend'en forbyder en streng Content Security Policy inline scripts overalt, alle sider refererer til sit JS via <script src>, og vores pre-deploy make check nægter at sende en side, der overtræder reglen.

4. Revisionslog + GDPR-register

Alle mutationer (kodeoprettelse/-patch/-sletning, teaminvitation, nøgleudstedelse, planændring, webhook-redigering) skriver en append-only række til audit_log med aktør, scope og tidsstempel, bevaret 180 dage og sweeper-beskåret. GDPR-anmodningsregistret (gdpr_requests) sporer alle eksport / sletning / gendannelse; rækker overlever kontosletning (FK ON DELETE SET NULL, e-mail bevaret) så vi kan bevise rettidig opfyldelse af alle lovmæssige anmodninger år efter kontoen er væk.

5. Godkendelsesbeskyttelser

Godkendelse er delegeret til det delte abundera.ai-identitetslag (EdDSA JWT via JWKS). Tilgængeligt for Pro-kunder:

  • 2FA (TOTP), RFC 6238 tidsbaserede engangskodeord, enhver standard autentifikatorapp, backup-koder udstedt ved tilmelding.
  • SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, brugerdefinerede IdP'er. Tilgængeligt på Team+ (bundlet på Agency/Enterprise).
  • SCIM 2.0-klargøring, RFC 7643/7644 bruger- + gruppelivscyklus, hastighedsbegrænset pr. token, audit-logget. Off som standard; aktiveret pr. kunde.
  • API keys, Business+, gemt som sha256(raw); rå abnd_qrpro_...-værdien returneres kun ved oprettelse og aldrig igen.

6. Underprocessorer

Den korte liste: Cloudflare (hosting, D1, KV, R2, API Shield), Stripe (betalinger), Zoho / ZeptoMail (transaktionel e-mail), Twilio (telefonverificering + SMS). Se /trust/subprocessors/ for den kanoniske liste med regioner, datakategorier og vores 30-dages ændringsnotifikationsforpligtelse.

7. Databehandlingsaftale

Vores GDPR-tilpassede DPA (EU SCCs, UK-tillæg, schweizisk FADP-tillæg) kan downloades på abundera.ai/legal/dpa/. Den gælder automatisk for alle betalte niveauer, ingen separat modunderskrift kræves, medmindre din indkøbsproces kræver en (vi underskriver på anmodning hos legal@abundera.ai).

8. SOC 2

SOC 2 Type II, i gang, mål Q3 2026. Vi er i scoping / observationsvindue-planlægning med et Big-4-tilknyttet revisionsfirma. Indtil rapporten er udstedt, vil vi ikke vise et SOC 2-badge. Kræver SOC 2-færdiggørelse et hårdt indkøbskrav for dig i dag, skriv til enterprise@abundera.ai, vi kan dele aktuel kontrolevidens, vores udkast til systembeskrivelse og den forventede attestdato under NDA.

9. Ingen tredjeparts-pixels, nogensinde

Dette er et bærende løfte og en produktgrænse, ikke en standard, vi stille kunne ændre. Vi injekterer ikke Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory eller nogen anden tredjeparts-tracker, ikke i vores redirect-svar, ikke i vores hostede landingssider, ikke i dashboard-overflader, dine scannere ser. Dine scannere retargetes aldrig. Har du brug for pixel-baseret attribution på din egen destination, tilføj dine egne UTM- (eller pixel)-parametre til destinations-URL'en; vi holder os ude af det. Selve redirect er en 302 fra vores worker til din URL, intet andet kører.

10. Ansvarlig oplysning

Har du fundet noget? Start på /.well-known/security.txt for den aktuelle kontakt, PGP-nøgle og scope. Skriv til security@abundera.ai, vi bekræfter inden for 24 timer (arbejdsdage), triagerer inden for 72 timer og koordinerer rettelse + oplysning med dig. Forskere, der rapporterer i god tro, får offentlig anerkendelse på abundera.ai/security/thanks/, når en rettelse er sendt.

11. Status + oppetid

Live status, komponenthelbred og hændelseshistorik er på /status/. Redirect hot path overvåges hvert 5. minut af en ekstern Worker; forringede eller nedefaldne komponenter reflekteres på statussiden inden for én pollecyklus.