Sikkerhet hos Kveck
Kveck.no er en liten side med liten angrepsflate, i hovedsak statisk innhold og noen få skjemaer. Denne siden beskriver de tiltakene vi har på plass. Vi prøver å være ærlige om hva vi gjør, og ikke late som vi gjør mer.
1. Data lagret i EU
Nettstedet driftes på Vercel i EU-region. E-post sendes via Resend i deres EU-region. Innhold som brukere sender inn via skjemaer behandles dermed innenfor EU/EØS, og overføres ikke til tredjeland som ledd i ordinær drift.
2. HTTPS overalt
All trafikk til kveck.no går over TLS, levert av Vercel. HSTS er aktivert, slik at nettlesere automatisk bruker HTTPS for fremtidige besøk. Vi serverer ikke innhold over ukryptert HTTP.
3. Ingen tredjepartstracking eller analyse-cookies
Vi bruker ikke Google Analytics, sporingspiksler, reklame-cookies eller lignende verktøy. Ingen tredjeparter får følge deg rundt på nettet basert på besøk hos oss.
Vi setter heller ingen egne analyse-cookies. Ingen tredjeparter kjører kode i nettleseren din, bot-beskyttelsen skjer utelukkende server-side.
4. Hemmeligheter kun server-side
API-nøkler, som Resend-nøkkelen som sender e-post og MATH_CHALLENGE_SECRET som signerer bot-beskyttelsen, lever i server-only miljøvariabler. De er aldri prefikset NEXT_PUBLIC_, og havner aldri i klient-bundle eller i HTML som sendes til nettleseren.
Skjema-innsending går gjennom server actions i Next.js, slik at validering og kall til eksterne tjenester skjer på serveren, ikke i nettleseren din.
5. Bot-beskyttelse på skjemaer
Demo- og kontaktskjemaene er beskyttet av en enkel server-side matteutfordring signert med HMAC. Utfordringen verifiseres server-side før vi validerer eller sender videre innholdet du har skrevet. Det reduserer søppelpost og automatiserte angrep uten å involvere tredjepartstjenester.
Vi har også et honningfelt skjult fra mennesker, fylles det ut, forkaster vi innsendingen i stillhet.
6. Behandling av skjema-data
Når du sender inn et skjema, går innholdet rett til hei@kveck.no via Resend. Vi har ingen database som lagrer det; informasjonen lever i e-postinnboksen min på vanlig måte.
Personopplysninger som navn, e-post, telefonnummer og organisasjonsnummer logges ikke i applikasjons- eller feillogger. Hvis e-postsendingen feiler, logger vi feilen, ikke innholdet du skrev. Lagringstid og rettigheter er beskrevet nærmere i personvernerklæringen.
7. Avhengigheter holdes oppdaterte
Next.js, Resend-SDK, Zod og øvrige avhengigheter kjøres på støttede versjoner. Sikkerhetsoppdateringer fra leverandører rulles ut løpende, ikke samlet i store batcher. Kjente sårbarheter blir håndtert så snart vi blir klar over dem.
8. Rapportere sårbarheter
Finner du en sårbarhet, vil vi gjerne høre om den. Send en e-post til hei@kveck.no med en beskrivelse, og gjerne en proof-of-concept hvis du har en. Vi svarer innen rimelig tid.
Vi krediterer gjerne den som rapporterer dersom du ønsker det. Ikke publiser detaljer om sårbarheten før vi har hatt mulighet til å rette den.