Prosesskriv.

Sikkerhet

Prosesskriv behandler taushetsbelagt materiale på vegne av advokatfirmaer. Vi tar dette ansvaret på største alvor. Denne siden beskriver hvordan vi beskytter dokumentene dine gjennom hele behandlingsprosessen — fra mottak til levering.

Nullkunnskapsarkitektur

Prosesskriv er bygget på et grunnleggende prinsipp: ingen andre enn deg skal kunne se innholdet i dokumentene dine. Ikke engang vi som driver tjenesten har tilgang til dokumentinnholdet, filnavn eller e-postadresser i klartekst.

  • Krypterte filnavn — originale filnavn krypteres med AES-256-GCM før lagring i databasen
  • Krypterte e-postadresser — avsenderadresser lagres kun som kryptert tekst
  • Ingen dokumentvisning i admin — vårt administrasjonspanel viser kun anonymisert statistikk, aldri dokumentinnhold eller personopplysninger
  • Ingen dokumenthistorikk i portalen — brukerportalen viser kun kontoinformasjon og abonnementstatus, ikke tidligere dokumenter
  • Logger uten sensitiv data — systemlogger inneholder aldri filnavn, e-postadresser, emnelinjer eller dokumentinnhold

Dokumentets livsløp

Dokumenter behandles i en lukket prosess og slettes automatisk etter levering. På ingen tidspunkt lagres dokumentinnhold permanent.

1. Mottak via e-post

  • Kryptert transport — e-post mottas via SendGrid med TLS-kryptering i transitt
  • Ingen mellomlagring — vedlegg overføres direkte til sikker behandling
  • Avsenderverifisering — kun e-poster fra registrerte brukere behandles

2. Behandling

  • Isolert prosessering — hvert oppdrag behandles uavhengig i en dedikert jobb
  • Kryptert lagring — alle filer krypteres med AES-256-GCM før de skrives til disk
  • Signerte nedlastingslenker — resultatfiler gjøres tilgjengelig via tidsbegrensede, HMAC-SHA256-signerte URLer

3. Levering og sletting

  • Resultat på e-post — ferdig behandlede dokumenter sendes tilbake til avsender via kryptert e-post
  • Automatisk sletting — originaldokumenter og resultatfiler slettes automatisk etter kort tid
  • Ingen permanent lagring — etter sletting finnes ingen kopi av dokumentene i våre systemer

Kryptering

All sensitiv data beskyttes med industristandard kryptering, både under transport og ved lagring.

  • AES-256-GCM — symmetrisk kryptering for filer, filnavn og e-postadresser i databasen
  • TLS 1.2+ — all kommunikasjon mellom klient, e-postserver og API er kryptert i transitt
  • HMAC-SHA256 — nedlastingslenker signeres kryptografisk med tidsbegrensning
  • SHA-256 hashing — innloggingstokens lagres som enveis-hasher, aldri i klartekst
  • Separate krypteringnøkler — krypteringnøkler holdes adskilt fra databasen og roteres ved behov

Autentisering

Brukerportalen bruker passwordless-innlogging via e-post — ingen passord som kan lekkes eller gjenbrukes.

  • Magic link — engangslenker sendes på e-post og utløper etter 15 minutter
  • Hashede tokens — innloggingstokens lagres som SHA-256-hasher i databasen
  • httpOnly-cookies — sesjoner lagres i sikre, httpOnly-cookies som ikke er tilgjengelige for JavaScript
  • Automatisk utløp — sesjoner utløper automatisk etter 30 dager
  • Ingen passordlagring — ingen passord betyr ingen risiko for passordlekkasjer

Infrastruktur — Microsoft Azure

Prosesskriv kjører på Microsoft Azure, en av verdens mest sertifiserte skyplattformer.

  • Datasenter i Europa — all data behandles og lagres i EU/EØS
  • Azure App Service — API-et kjører på Microsofts administrerte plattform med automatisk patching
  • Azure Database for PostgreSQL — administrert database med kryptering og automatisk backup
  • Azure Blob Storage — kryptert fillagring med tilgangskontroll
  • Nettverkssikkerhet — HTTPS påkrevd for all kommunikasjon, CORS-restriksjoner på API-et

AI-behandling

Dokumentanalyse utføres av AI-modeller for å identifisere bilagsreferanser og matche dokumenter. Slik beskytter vi dataene dine under AI-behandling:

  • Ingen ekstern trening — dokumentinnhold brukes aldri til å trene AI-modeller
  • Dataminimering — kun nødvendig informasjon sendes til AI-tjenesten for analyse
  • Kryptert kommunikasjon — all kommunikasjon med AI-tjenester skjer over TLS
  • Ingen permanent lagring — AI-leverandører lagrer ikke dokumentdata etter behandling
  • Europeisk databehandling — vi bruker AI-tjenester med databehandling i EU der det er tilgjengelig

Dokumentkonvertering — iLoveAPI

For å konvertere dokumenter til PDF, utføre OCR (tekstgjenkjenning) og stemple bilagsreferanser bruker vi iLoveAPI (iLovePDF). Dokumenter sendes til iLoveAPIs servere for prosessering og returneres umiddelbart etter.

  • Kryptert overføring — all kommunikasjon med iLoveAPI skjer over TLS/HTTPS
  • Ingen permanent lagring — iLoveAPI sletter filer automatisk etter prosessering (maks 2 timer)
  • Europeiske servere — iLoveAPI opererer fra servere i EU (Barcelona, Spania)
  • GDPR-kompatibel — iLovePDF (iLoveAPI) er GDPR-kompatibel og har databehandleravtale
  • ISO 27001-sertifisert — iLovePDF oppfyller internasjonale krav til informasjonssikkerhet
  • Begrenset eksponering — kun filer som krever konvertering eller stempling sendes; ren tekst-PDF-er behandles lokalt der mulig

E-postkonvertering — Microsoft Graph

Bilag som er e-postfiler (.msg eller .eml) konverteres til PDF via Microsoft Graph API. Filen lastes opp til et midlertidig område i SharePoint, konverteres av Microsofts egen renderingsmotor, og slettes umiddelbart etter.

  • Microsofts renderingsmotor — sikrer korrekt gjengivelse av RTF, innebygde bilder og kompleks HTML-formatering
  • Ingen permanent lagring — filer slettes automatisk fra SharePoint umiddelbart etter konvertering
  • Kryptert overføring — all kommunikasjon med Microsoft Graph API skjer over TLS/HTTPS
  • Tjeneste-til-tjeneste-autentisering — tilgang kontrolleres med OAuth 2.0 client credentials, uten brukerinteraksjon
  • Europeisk databehandling — SharePoint-data behandles i Microsofts EU-datasenter

E-postsikkerhet — SendGrid

E-post er kjernen i tjenesten. Vi bruker SendGrid (Twilio) for pålitelig og sikker e-postlevering.

  • TLS-kryptering — all e-post overføres med TLS-kryptering
  • SPF, DKIM og DMARC — e-poster fra prosesskriv.no er autentisert for å forhindre forfalskning
  • Ingen lagring av innhold — SendGrid prosesserer e-poster i transitt og lagrer ikke vedlegg permanent
  • SOC 2 Type 2-sertifisert — SendGrid/Twilio oppfyller strenge krav til informasjonssikkerhet

GDPR og personvern

Prosesskriv overholder EUs personvernforordning (GDPR) (EU) 2016/679. Vi behandler personopplysninger kun for å levere tjenesten, lagrer data sikkert innenfor EU/EØS, og respekterer alle brukerrettigheter under GDPR.

  • Dataminimering — vi samler kun inn opplysninger som er nødvendige for å levere tjenesten
  • Rett til sletting — brukere kan når som helst be om sletting av alle sine data
  • Databehandleravtaler — vi har databehandleravtaler med alle underleverandører
  • Ingen tredjepartsdeling — personopplysninger deles aldri med tredjeparter for markedsføring

For detaljer om hvordan vi samler inn, behandler og beskytter dine data, se vår personvernerklæring.

Spørsmål om sikkerhet?

Har du spørsmål om våre sikkerhetstiltak, eller ønsker du å diskutere spesifikke krav for ditt firma? Ta gjerne kontakt på bernt@prosesskriv.no.