Sikkerhet hos Kveck
Kveck.no er en liten side med liten angrepsflate — i hovedsak statisk innhold og noen få skjemaer. Denne siden beskriver de tiltakene vi har på plass. Vi prøver å være ærlige om hva vi gjør, og ikke late som vi gjør mer.
1. Data lagret i EU
Nettstedet driftes på Vercel i EU-region. E-post sendes via Resend i deres EU-region. Innhold som brukere sender inn via skjemaer behandles dermed innenfor EU/EØS, og overføres ikke til tredjeland som ledd i ordinær drift.
Cloudflare Turnstile (botbeskyttelse) er et unntak — se egen seksjon nedenfor og personvernerklæringen for detaljer om overføringsgrunnlag.
2. HTTPS overalt
All trafikk til kveck.no går over TLS, levert av Vercel. HSTS er aktivert, slik at nettlesere automatisk bruker HTTPS for fremtidige besøk. Vi serverer ikke innhold over ukryptert HTTP.
3. Ingen tredjepartstracking eller analyse-cookies
Vi bruker ikke Google Analytics, sporingspiksler, reklame-cookies eller lignende verktøy. Ingen tredjeparter får følge deg rundt på nettet basert på besøk hos oss.
Vi setter heller ingen egne analyse-cookies. Den eneste tredjeparten som kjører kode i nettleseren din er Cloudflare Turnstile, og kun når du fyller ut et skjema.
4. Hemmeligheter kun server-side
API-nøkler — som Resend-nøkkelen som sender e-post, og Turnstile-secret som verifiserer botbeskyttelse — lever i server-only miljøvariabler. De er aldri prefikset NEXT_PUBLIC_, og havner aldri i klient-bundle eller i HTML som sendes til nettleseren.
Skjema-innsending går gjennom server actions i Next.js, slik at validering og kall til eksterne tjenester skjer på serveren — ikke i nettleseren din.
5. Bot-beskyttelse på skjemaer
Demo- og kontaktskjemaene er beskyttet av Cloudflare Turnstile. Tokenet verifiseres server-side før vi i det hele tatt validerer eller sender videre innholdet du har skrevet. Det reduserer søppelpost og automatiserte angrep uten å kreve at du løser CAPTCHA-bilder.
Vi har også et enkelt honeypot-felt skjult fra mennesker — fylles det ut, forkaster vi innsendingen i stillhet.
6. Behandling av skjema-data
Når du sender inn et skjema, går innholdet rett til marte@kveck.no via Resend. Vi har ingen database som lagrer det; informasjonen lever i e-postinnboksen min på vanlig måte.
Personopplysninger som navn, e-post, telefonnummer og organisasjonsnummer logges ikke i applikasjons- eller feillogger. Hvis e-postsendingen feiler, logger vi feilen — ikke innholdet du skrev. Lagringstid og rettigheter er beskrevet nærmere i personvernerklæringen.
7. Avhengigheter holdes oppdaterte
Next.js, Resend-SDK, Zod og øvrige avhengigheter kjøres på støttede versjoner. Sikkerhetsoppdateringer fra leverandører rulles ut løpende, ikke samlet i store batcher. Kjente sårbarheter blir håndtert så snart vi blir klar over dem.
8. Rapportere sårbarheter
Finner du en sårbarhet, vil vi gjerne høre om den. Send en e-post til marte@kveck.no med en beskrivelse, og gjerne en proof-of-concept hvis du har en. Vi svarer innen rimelig tid.
Vi krediterer gjerne den som rapporterer dersom du ønsker det. Ikke publiser detaljer om sårbarheten før vi har hatt mulighet til å rette den.