+ Öryggi og regluverk

Byggt til að vera
sannreynanlegt.

Regluverksloforð eiga að vera sannreynanleg, ekki treyst. Þessi síða skráir hverja lausn á bak við loforðin okkar — dulritunarmörkin, alla birgja í gagnaslóð þinni, hvernig við meðhöndlum erfiðustu spennuna í GDPR (eyðing vs. óbreytanleiki), hvernig skal tilkynna veikleika og hvað við skuldbindum okkur til þegar eitthvað fer úrskeiðis.

+ Dulritunarmörk

Envelope-dulritun með
hörðum lykilvarða.

Hlutir eru dulkóðaðir með einstökum data encryption keys (DEK) fyrir hvern hlut. Hver DEK er vafinn í envelope með per-tenant key encryption key (KEK) sem yfirgefur aldrei OpenBao. Gáttin heldur óvöfðum DEK í vinnsluminni eingöngu — aldrei á diski, aldrei í Redis, aldrei í logs.

01

KEK búa í OpenBao

Key encryption keys eru búnir til og geymdir í OpenBao (Linux Foundation fork af Vault, MPL 2.0). Unwrap er eina aðgerðin sem afhjúpar nothæfan DEK, og hver unwrap er skráður. Enginn Recover starfsmaður heldur lykli sem getur afkóðað gögnin þín í hvíld.

02

DEK eru aðeins í minni

Data encryption keys eru í vinnsluminni gáttarinnar fyrir líftíma beiðninnar. Skyndiminnislykilsform er dek:{tenantId}:{bucketId} — tenant alltaf fyrst, sem gerir krosskerfislekingu strúktúrlega ómögulega á skyndiminnislaginu.

03

Strúktúruð logs fjarlægja lykla

Allar þjónustur logga sem strúktúrað JSON með þvinguðu skrúbbi á reitum sem passa við DEK, KEK eða token-mynstur. CI-próf staðfestir að byggingin mistekst ef log færsla með lykilefni er nokkurn tíma sett inn.

+ Undirvinnsluaðilar

Allir birgjar í
gagnaslóð þinni.

Heildarlisti þeirra þriðju aðila sem geta tæknilega snert gögn viðskiptavina, lýsigögn eða auðkenningu. Allar breytingar eru tilkynntar 30 dögum fyrirfram í gegnum breytingaannál okkar um undirvinnsluaðila.

BirgirTilgangurStaðsetningGögn sem þeir sjá
Atlas (runatlas.is)Hlutgeymsla, Managed Postgres, KubernetesÍslandDulkóðaðir hlutir og lýsigögn viðskiptavina
AuthentikOIDC + SAML auðkenning (eigin hýsing)Ísland (í Atlas-stofnun okkar)Netfang, organization ID — aldrei hlutgögn
OpenBaoLyklastjórnun (eigin hýsing)Ísland (í Atlas-stofnun okkar)KEK. Yfirgefa aldrei OpenBao.
ResendFærslupósturBandaríkinNetfang, efni póstsins — aldrei hlutir
Comet BackupBackup engine (Recover Total only)Software vendor (New Zealand). Engine runs in our Atlas tenancy in Iceland.License check-ins only. Vendor never accesses customer data or metadata.

Til að fá tilkynningar um breytingar á undirvinnsluaðilum, sendu póst á security@recover.is.

+ GDPR 17. gr. djúpkafað

Eyðing gegn
óbreytanleika.

GDPR 17. gr. veitir einstaklingum rétt til eyðingar. WORM-geymsla (Write Once Read Many) kemur í veg fyrir eyðingu í eðli sínu. Þessar kröfur eru grundvallarlega í spennu. Þetta er áskorun sem öll atvinnugreinin tekst á við án einnar fullkominnar lausnar — hér er hvernig Recover meðhöndlar það fyrir hvern vöruflokk.

Recover STRAUMUR

Eðlileg útbreiðsla

Fullleyst

Stöðug afritun þýðir að þegar notanda er eytt úr framleiðslugagnagrunni, dreifir næsta samstillingarlota eyðingunni sjálfkrafa. Eldri tímapunktsafrit rúlla út innan stillts RPO-glugga (yfirleitt mínútur til klukkustundir).

Eyðingartími: mínútur til klukkustundir

Recover BERG (WORM)

Blönduð nálgun

Mildað

Eiginleg byte-eyðing er ómöguleg á WORM-geymslu. Recover beitir tveimur stefnum sem styðja hvor aðra:

  • 1.Lyklaeyðing Hver afritskynslóð er dulkóðuð með einstökum lykli. Eyðing lykilsins gerir dulkóðaða textann óendurheimtanlegan. Samkvæmt GDPR Recital 26, gögn sem ekki er hægt að tengja við einstakling eru ekki lengur persónuupplýsingar.
  • 2.Endurheimt-síun-endurafrit Afrit er endurheimt í einangrað umhverfi, gögnum einstaklingsins er eytt, nýtt hreint afrit er búið til og geymt. Lykli gamla afritsins er síðan eytt.

Eyðingartími: allt að WORM varðveislutíma (30–90 dagar)

Recover SKJÖLDUR

Loft-einangrun + lyklaeyðing

Mildað

Loft-einangraðir innviðir geta ekki verið breyttir í fjarska. Lyklaeyðing er beitt í næsta áætlaða samstillingarglugga. Líkamleg einangrun þýðir að endurheimt-síun-endurafrit pípulínan krefst samhæfingar við Vault-rekstrarteymið.

Eyðingartími: næsta samstillingarlota (yfirleitt 24–72 klst)

Lagalegur grundvöllur og heiðarleg takmörk

Af hverju regluverksaðilar samþykkja þetta

  • +GDPR Recital 26 — Gögn gerð óafturkræf ótengjanleg eru ekki lengur persónuupplýsingar.
  • +17. gr. 3. mgr. b-liðar — Eyðingarréttur á ekki við þar sem vinnsla er nauðsynleg vegna lagaskyldu.
  • +ICO leiðbeiningar — Bresk ICO leyfir sanngjarnt töf fyrir afritunarkerfi, að því gefnu að varðveislutími sé skráður og tilkynntur einstaklingnum.

Heiðarleg takmörk

  • Lyklaeyðing krefst lyklastjórnunar per kynslóð eða per einstakling. Einn sameiginlegur lykill gerir valkvæða eyðingu ómögulega án þess að eyða öllum gögnum.
  • Endurheimt-síun-endurafrit er rekstrarlega dýrt fyrir stór gagnasöfn. Vinnslutími vex með stærð afritsins.
  • Ódulkóðuð lýsigögn (skráarnöfn, auðkenni einstaklings) á WORM-geymslu geta enn talist persónuupplýsingar. Zero-knowledge hamur þarf til að milda þetta að fullu.
  • Engin réttarfordæmi staðfesta endanlega að lyklaeyðing fullnægi 17. gr. Regluverksleiðbeiningar eru hagstæðar en ekki bindandi dómsfordæmi.

Eyðingarferli — hver beiðni

01

Beiðni móttekin

DSR staðfest og skráð í óbreytanlegan endurskoðunarlog

02

Framleiðslueyðing

Gögnum eytt úr lifandi kerfum. STRAUMUR dreifir sjálfkrafa

03

Vinnsla á BERGI

Lyklaeyðing eða endurheimt-síun-endurafrit hefst fyrir WORM

04

Sönnun um eyðingu

Dulritunarleg staðfesting búin til. Einstaklingur tilkynntur

+ Staðlar sem við fylgjum

Opnir staðlar,
ekki markaðsefni.

Við innleiðum vel skjalfesta staðla og birtum sönnunargögnin svo þú getir staðfest. Þar sem við erum að vinna að staðli segjum við það skýrt.

GDPR

Uppfyllt

Íslensk lögsaga, 72 klst brotatilkynning, 17. gr. eyðingarferli.

DORA

Tilbúið

Rammi fyrir seiglupróf, óhjákvæmilegar endurheimtarsannanir.

S3 Object Lock (Compliance mode)

Virkjað

WORM-varðveislu er ekki hægt að komast hjá — ekki einu sinni af Recover-starfsmönnum.

ISO 27001

SoA í vinnslu

Statement of applicability drög tilbúin; formleg vottun eftir fjármögnun.

SOC 2 Type I

Áætlað

Endurskoðunargluggi opnast eftir fyrsta undirritaða viðskiptavin; áætlað 2026 Q4.

Ísland / CLOUD Act lögfræðiálit

Pantað fyrir GA

Birt í trust-geymslunni áður en fyrsti fyrirtækjasamningur er undirritaður.

Sjá öll gögn á traustsýningunum

+ Ábyrg tilkynning

Fannstu
veikleika?

Við tökum á móti tilkynningum frá öryggisrannsóknarsamfélaginu. Við staðfestum móttöku innan 72 klst og fylgjum samhæfðum tilkynningaferlum í samræmi við ISO 29147.

Við bjóðum engin peningaverðlaun í dag. Verðlaunaáætlun er áætluð eftir GA. Rannsakendur sem finna áþreifanleg atriði fyrir GA verða nafngreindir á Þakkarlistanum okkar.

Tilkynna á

security@recover.is

PGP fingrafar

Lykill birtur fyrir GA. Byrjaðu með tölvupósti — við samhæfum dulkóðaða rás ef þess þarf.

Á sviði

  • +recover.is og öll undirlén
  • +Framleiðslu-S3-gáttarendapunktar
  • +Mælaborð og admin-ráð
  • +Node SDK (þegar birt)

Utan sviðs

  • Særleikar á markaðssíðunni (takk — við vitum)
  • Félagsleg verkfræði á starfsmönnum okkar
  • DoS / auðlindatæming (spurðu fyrst ef þú þarft að prófa)
  • Þriðju aðilar (Atlas, Resend) — tilkynntu beint til þeirra

+ Viðbrögð við atvikum

Þegar eitthvað
fer úrskeiðis.

Við skuldbindum okkur til gegnsæis fyrir bæði regluverks- og þjónustustigsatvik. Fyrir framboðs- og heilleikatburði er stöðusíðan sannleiksgjafinn.

Sjá stöðu eininga á /status →
72 klukkustundir

Tilkynning til viðkomandi viðskiptavina og Persónuverndar vegna brota á persónuupplýsingum — 33. gr. GDPR.

4 klukkustundir

Tilkynning til viðskiptavina vegna staðfests framboðs- eða heilleikatburðar sem hefur áhrif á framleiðsluþjónustu.

10 virkir dagar

Opinber skýrsla (post-mortem) fyrir hvert P1 eða P2 atvik — rótarorsök, tímalína og fyrirbyggjandi aðgerðir, birt á stöðusíðunni.