Log indBook demo
Forside Sikkerhed
Sikkerhed & compliance

Bygget til regulerede brancher.

Vores kunder er banker, realkreditinstitutter og mæglerkæder, hvor sikkerhed ikke er en feature — men en forudsætning. Her er hvordan vi håndterer data, infrastruktur og adgang.

Fundamentet

Det vi har på plads som standard.

Alle planer leveres med følgende foranstaltninger, uanset størrelse.

EU-hosting

Hele platformen er hostet i EU hos en ISO 27001-certificeret leverandør. Data forlader ikke EU-zonen — heller ikke ved backup eller monitorering.

Kryptering

TLS 1.3 for trafik. AES-256 for data at rest. Krypteringsnøgler styres via en dedikeret HSM-løsning og roteres automatisk.

GDPR-kompatibel

Databehandleraftale (DPA) er tilgængelig på alle planer. Vi behandler udelukkende data efter dokumenterede instruktioner fra jer som dataansvarlig.

Ingen tredjeparts-tracking

Widgetten sætter som standard ingen tredjeparts-cookies. Analytics er valgfri, opt-in og kører på vores egen infrastruktur.

Audit log

Hver konfigurationsændring, dataeksport og admin-handling logges med bruger, tidsstempel og IP. Tilgængelig som event-stream på Pro/Enterprise.

SSO & rollebaseret adgang

Single sign-on via SAML 2.0 / OIDC. Granulær rolle- og rettighedsstyring på Pro og Enterprise, med IP-whitelisting hvor det er nødvendigt.

Backup & disaster recovery

Daglige krypterede backups med 30 dages opbevaring. Genoprettelsesmål: RPO ≤ 4 timer, RTO ≤ 8 timer. Testet hvert kvartal.

Penetrationstests

Ekstern penetrationstest hvert halve år af certificeret tredjepart. Rapport tilgængelig under NDA for Enterprise-kunder.

GDPR ISO 27001 (in progress) SOC 2 Type II (roadmap) WCAG 2.1 AA EU-hosted

Databehandling i widgetten

Widgetten kører i en sandboxed Shadow DOM på jeres side. Den henter beregningsresultater fra vores API via signerede requests og opbevarer ikke selv personhenførbare data lokalt i browseren.

  • Pseudonymisering: Brugerinput (indkomst, husstand, kommune) sendes uden personidentifikatorer og knyttes ikke til en bestemt person uden eksplicit lead-form.
  • Opbevaring: Anonyme beregninger gemmes i op til 90 dage til driftsovervågning og fejlsøgning. Identificerbare leads (kun hvis I aktiverer lead-form) lagres efter jeres egen opbevaringspolitik.
  • Sletning: I kan slette al kundespecifik data via API eller administratorpanel. Sletning bekræftes inden for 48 timer.
  • Sub-processors: Vi anvender kun EU-baserede underleverandører til hosting, monitorering og e-mail. Fuld liste opdateres løbende — kontakt os for seneste version.

Indrapportering af sikkerhedshændelser

Hvis I opdager en mulig sikkerhedssvaghed i Komparo, beder vi jer skrive direkte til security@komparo.dk. Vi bekræfter modtagelse inden for 24 timer og holder jer orienteret om afhjælpningen.

Ved bekræftet brud underrettes berørte kunder uden ugrundet ophold og senest inden for 72 timer i overensstemmelse med GDPR art. 33.

Dokumentation til jeres compliance-team

Følgende dokumenter er tilgængelige efter underskrevet NDA:

  • Sikkerhedshvidbog (arkitektur, datatyper og dataflow)
  • Senest tredjeparts pen-testrapport
  • Liste over sub-processors
  • DPIA-template og udfyldt vurdering for standard widget-deployment

Skal jeres compliance-team have en gennemgang?

Vi sætter gerne tid af til at gå skemaer, dokumenter og spørgsmål igennem sammen med jeres ansvarlige.

Tag kontakt