Sikkerhet & tillit

It-Sentralen AS drifter og er behandlingsansvarlig for Snekkersentralen. Vi følger norsk personvernlovgivning og GDPR. Detaljert behandling av personopplysninger er beskrevet i personvernerklæringen.

• Innlogging via e-post/passord eller Google.
• Snekkerprofiler er bedriftskontoer — kun bedriften selv (etter å ha krevd profilen) eller en autorisert administrator kan endre innholdet.
• Administrasjonstilgang er rollebasert og lagres adskilt fra brukerkontoen, slik at en kompromittert bruker ikke automatisk får adminrettigheter.
• Database-tilgangen er beskyttet av Row Level Security (RLS) — hver forespørsel valideres mot brukerens identitet før data returneres.

På bedriftsprofiler er følgende offentlig synlig:

• Bedriftsnavn, org.nr, beskrivelse, fagområder, dekningsområder
• Telefon, nettside, adresse, åpningstider (når bedriften har valgt å vise det)
• Bilder, portefølje og kundeanmeldelser

Følgende er aldri offentlig synlig:

• E-postadresser (kunder bruker kontaktskjema eller "Send e-post"-knapp)
• Faktura-, abonnement- og betalingsinformasjon
• Interne vurderinger, AI-score og lead-aktivitet
• Identiteten til kunder som har lagt igjen anmeldelser

• All trafikk mellom nettleser og våre tjenere går over HTTPS/TLS.
• Data lagres kryptert "at rest" hos vår skyleverandør.
• Passord lagres som saltede hash-er — vi ser dem aldri i klartekst.
• Betalingskortdata håndteres av Stripe og passerer aldri våre tjenere.

• Supabase / Lovable Cloud — database, autentisering og filer (EU-region).
• Stripe — betaling og fakturering (USA/EU, PCI-DSS-sertifisert).
• Resend — utsending av e-post (transaksjons- og varslings-e-post).
• Twilio — utsending av SMS-varsler.
• Google Cloud — kart, geokoding og bedriftsoppslag.

Vi har databehandleravtaler med alle underleverandører. Full liste og overføringsgrunnlag finnes i personvernerklæringen.

• Aktive konto- og bedriftsdata lagres så lenge kontoen er aktiv.
• Prosjekt- og lead-historikk lagres i inntil 3 år for regnskaps- og garantiformål.
• Fakturadata lagres i 5 år iht. norsk bokføringslov.
• Du kan be om innsyn, retting eller sletting når som helst ved å sende e-post til post@it-sentralen.no.

• Databasen sikkerhetskopieres automatisk daglig av skyleverandøren.
• Vi overvåker driften kontinuerlig og logger administrative handlinger.
• Ved en sikkerhetshendelse som påvirker personopplysninger varsler vi berørte brukere og Datatilsynet innen 72 timer, slik GDPR krever.

Har du funnet en sikkerhetssårbarhet? Vi setter pris på ansvarlig rapportering. Send e-post til christian@it-sentralen.no med en beskrivelse av problemet og hvordan det kan reproduseres. Vi bekrefter mottak innen 2 virkedager og holder deg oppdatert til saken er løst.

Vennligst ikke offentliggjør detaljer før vi har fått rettet feilen, og unngå tester som kan ramme andre brukere (f.eks. lasttesting, sletting av data, sosial manipulering).

Du har rett til innsyn, retting, sletting, dataportabilitet og å protestere mot behandling. Klage kan rettes til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo.

It-Sentralen AS
Generelle henvendelser: post@it-sentralen.no
Sikkerhetsmeldinger: christian@it-sentralen.no