Traust. Öryggi

    Öryggi.

    Við tökum öryggi og gagnavernd alvarlega. Vettvangurinn okkar er hannaður þannig að gögn fyrirtækis þíns haldist trúnaðarmál, séu örugg og séu meðhöndluð í samræmi við bestu starfsvenjur í greininni.

    Útgáfa
    1.2.2
    Gildir frá
    2 April 2026
    Síðast yfirfarið
    8 May 2026

    Í stuttu máli

    • Gögn fyrirtækis þíns eru dulkóðuð í flutningi og í vistun, unnin eingöngu innan Evrópusambandsins og aldrei send til utanaðkomandi gervigreindarþjónustuaðila.
    • Við keyrum eigin gervigreindarlíkön á okkar eigin innviðum, fylgjum ströngum reglum um gagnalágmörkun og notum aldrei gögn viðskiptavina til þjálfunar eða prófílgreiningar.
    • Hert kerfi, hlutverkatengdur aðgangur, fjölþátta auðkenning, stöðug vöktun og prófaðir neyðarendurheimtarferlar vernda tiltækileika og heilleika gagna og kerfa.
    • Starfshættir okkar samræmast meginreglum ISO/IEC 27001 og byggja á innbyggðri persónuvernd samkvæmt GDPR.
    • Nánari upplýsingar eru hér að neðan.

    Dulkóðun

    Öll gögn í flutningi eru varin með TLS 1.2 og 1.3, sem tryggir örugg samskipti milli viðskiptavina og kerfa okkar.

    Gögn í vistun eru dulkóðuð með AES 256 eða sambærilegum sterkum dulkóðunarstöðlum til að koma í veg fyrir óheimilan aðgang.

    Gervigreind og gagnavinnsla

    Við notum eigin gervigreindarlíkön sem eru að fullu undir okkar stjórn og rekin innan eigin innviða.

    • Engin gögn viðskiptavina eru send til þriðju aðila sem veita gervigreindarþjónustu.
    • Við notum ekki ytri þjónustu á borð við OpenAI, Anthropic (Claude) eða sambærileg API.
    • Öll gervigreindarvinnsla fer fram í stýrðu og öruggu umhverfi okkar innan Evrópusambandsins.
    • Gögn viðskiptavina eru aldrei notuð til að þjálfa sameiginleg eða ytri líkön.

    Þetta tryggir fulla stjórn á meðhöndlun gagna, útilokar útsetningu gagnvart þriðju aðilum og viðheldur ströngum trúnaði.

    Tímabundin gagnavinnsla

    Við fylgjum strangri nálgun um gagnalágmörkun:

    • Skrár eru aðeins unnar að því marki sem þarf til að veita umbeðna virkni.
    • Vinnslan er tímabundin og takmörkuð í tíma.
    • Gögn eru ekki varðveitt lengur en nauðsynlegt er.
    • Tímabundin vinnsluumhverfi eru einangruð og þeim er eytt á öruggan hátt eftir notkun.

    Við notum ekki gögn viðskiptavina til þjálfunar, prófílgreiningar eða neinna annarra viðbótartilganga.

    Eignarhald á gögnum

    Viðskiptavinir halda ávallt fullu eignarhaldi á gögnum sínum.

    • Við seljum ekki, deilum ekki og hagnýtum ekki gögn viðskiptavina í tekjuskyni.
    • Gögn eru eingöngu unnin í þeim tilgangi að veita þjónustuna.
    • Aðgangur að gögnum viðskiptavina er stranglega takmarkaður og stýrður.

    Innviðir innan ESB og gagnavistun

    Innviðir okkar eru hannaðir til að tryggja öfluga gagnavernd og fylgni við lög og reglur:

    • Gögn eru eingöngu vistuð og unnin innan Evrópusambandsins.
    • Við forgangsröðum innviðum og þjónustuveitendum með aðsetur innan ESB.
    • Öll vinnsla er í samræmi við kröfur GDPR.

    Nánari upplýsingar um hvernig við vinnum persónuupplýsingar eru hér: Persónuverndarstefna.

    Öryggisherðing

    Kerfin okkar eru stillt og þeim viðhaldið samkvæmt ströngum bestu starfsvenjum í öryggismálum:

    • Hert netþjónaumhverfi og lágmarkað árásaryfirborð.
    • Stöðugar öryggisuppfærslur og innleiðing leiðréttinga.
    • Reglan um minnsta nauðsynlega aðgang er notuð í öllum kerfum.
    • Netaskipting og einangrun viðkvæmra kerfishluta.

    Aðgangsstýring

    Stíft er stýrt aðgengi að kerfum og gögnum:

    • Hlutverkatengd aðgangsstýring (RBAC).
    • Fjölþátta auðkenning (MFA) fyrir innri kerfi.
    • Sterkar leiðir fyrir auðkenningu og heimildastýringu.

    DDoS-vörn og tiltækileiki

    Við innleiðum mörg varnarlög til að tryggja tiltækileika kerfa:

    • Varnir gegn DDoS-árásum á netlagi.
    • Síun umferðar og takmörkun á tíðni beiðna.
    • Varainnviðir sem draga úr einstökum bilunarpunktum.

    Afritun og neyðarendurheimt

    Við höfum ráðstafanir til staðar til að tryggja varanleika gagna og samfellu þjónustu:

    • Regluleg dulkóðuð afrit.
    • Prófaðir endurheimtarferlar.
    • Hannað til að tryggja heilleika og tiltækileika gagna ef atvik koma upp.

    Viðnámsþol og bilunarprófanir

    Við prófum virkt viðnámsþol kerfa okkar við raunverulegar bilunaraðstæður:

    • Stýrð innspýting bilana (Chaos Engineering aðferðir, þar á meðal prófanir að hætti Chaos Monkey).
    • Hermdar innviðabilanir (útföll tilvika, nets og háðra þjónusta).
    • Neyðarendurheimtaræfingar til að staðfesta endurheimtarferla.
    • Reglulegar prófanir á yfirfærslu í varakerfi til að tryggja samfellu kerfa.

    Þessar aðferðir stuðla að því að kerfin okkar haldist stöðug, nái sér hratt og starfi áfram við erfiðar aðstæður.

    Vöktun og viðbrögð við atvikum

    Við vöktum kerfin okkar stöðugt með tilliti til öryggisatvika:

    • Miðlæg skráning atburða og rauntímaviðvaranir.
    • Sjálfvirk greining á grunsamlegri virkni.
    • Skilgreindir verkferlar fyrir viðbrögð við atvikum með innri boðleiðum fyrir stigmögnun.
    • Tímanleg tilkynning til viðskiptavina ef viðeigandi öryggisatvik verður.

    Öryggisprófanir og staðlar

    Við bætum öryggisstöðu okkar stöðugt:

    • Öryggisstarfshættir í samræmi við meginreglur ISO/IEC 27001.
    • Reglulegt mat á veikleikum og innbrotsprófanir.
    • Viðvarandi innri yfirferð á öryggisráðstöfunum og stefnum.

    Reglufylgni og bestu starfsvenjur

    Við leggjum áherslu á að viðhalda háum stöðlum um öryggi og persónuvernd:

    • Innbyggð og sjálfgefin persónuvernd í samræmi við GDPR.
    • Meginreglur um gagnalágmörkun og takmörkun vinnslu við tilgreindan tilgang.
    • Stöðugar umbætur til að mæta þróun í kröfum laga, reglna og öryggis.

    Sjá einnig: Persónuverndarstefna, Skilmálar og Vafrakökustefna.

    Hafa samband

    Upplýsingar um hvernig við vinnum persónuupplýsingar og um réttindi þín samkvæmt GDPR eru hér: Persónuverndarstefna.

    Ef spurningar vakna um öryggisstarfshætti okkar, vinsamlegast hafðu samband við okkur á ten.reirracdetsurt@ytiruces.