Hur vi skyddar er data

Datan stannar i EU

Servrarna står i EU och datan lämnar inte EU:s jurisdiktion. Vi väljer leverantörer som omfattas av GDPR, inte leverantörer där en utländsk myndighet kan begära ut data utan att en EU-domstol är inblandad.

Inga storbolag i loopen

Du loggar in med din e-postadress och ditt lösenord. Det finns ingen Google-, Apple- eller Facebook-inloggning, så att din inloggningstid och enhetsavtryck inte hamnar hos dem. Forumet har inga tredjepartstrackers, ingen reklam, inga "partners" som tittar med över axeln. Vi säljer inte data. Vi tränar ingen AI på ert innehåll och vi skickar inte ert innehåll till någon AI-tjänst.

Privata meddelanden går inte att läsa, ens för oss

Privata meddelanden krypteras i din webbläsare innan de skickas. Servern lagrar bara den krypterade texten plus avsändarens publika nyckel. Vi har inte den privata nyckeln och vi kan inte få fram den.

Priset för det är att glömt lösenord innebär att gamla privata meddelanden inte går att återställa. Det är ett avsiktligt val, inte en bugg: om vi kunde återställa dem så kunde vi också läsa dem.

Vad servern kan se, och varför

Allt är inte krypterat på samma sätt. För att sökning, moderation och kalendervisning ska fungera måste servern kunna läsa följande innehåll:

• Trådar och inlägg i grupper
• Dokument i grupparkiv
• Händelser i kalendern

Behandla det innehållet som ett internt arbetsdokument: skydd mot utomstående, inte mot forumets drift. Privata meddelanden är annorlunda, där är ingen utöver avsändare och mottagare som kan läsa.

Känsliga grupper

Grupper som markerats som känsliga visas med ett låsmärke i trädet. Tre saker händer för dem automatiskt:

• Aviseringar via e-post innehåller aldrig själva texten, bara att något hänt.
• Kalenderhändelser i en känslig grupp som du följer i Google, Apple eller Outlook visas med en generisk titel; bara tiden och länken tillbaka in i forumet följer med.
• Alla medlemmar måste använda tvåfaktor (TOTP).

Konton och inloggning

• Inbjudningar krävs. Det finns ingen öppen registrering. Varje konto skapas mot en personlig, e-postbunden inbjudan som går ut efter en kort tid.
• Lösenord lagras Argon2-hashade och kontrolleras mot listor över kända läckor när du sätter eller byter lösenord. Inget tredjepartsanrop görs per lösenord.
• Tvåfaktor (TOTP) finns för alla, och är obligatorisk för medlemmar i känsliga grupper och för alla som använt privata meddelanden.
• Betrodd webbläsare i 30 dagar. Du kan välja att slippa fylla i tvåfaktorskoden varje gång på en personlig dator. Lösenordet krävs alltid, och alla betrodda webbläsare nollställs när lösenordet byts.

Uppladdningar

Bilder strippas på EXIF-data innan de sparas, så att GPS-koordinater eller kamera-id inte följer med en bild som du lägger upp. Filtyper kontrolleras både via filändelse och innehåll, och bilder skrivs om från grunden så att eventuella inbäddade payloads inte överlever.

Loggning

Moderationsåtgärder, behörighetsändringar, inbjudningar och inloggningar med betrodd webbläsare loggas i en revisionslogg så att administratörer kan rekonstruera vad som hänt vid en incident. Personuppgifter i loggar hålls till ett minimum.

Rapportera ett säkerhetsproblem

Om du tror att du hittat ett säkerhetshål, kontakta administratören för din organisation eller forumets driftansvarig direkt. Beskriv vad du sett. Berätta gärna innan du delar fyndet vidare, så vi hinner åtgärda och informera berörda medlemmar.

Integritetspolicy

Den här sidan beskriver det tekniska skyddsskiktet. Hur vi hanterar personuppgifter, vilka rättigheter du har, och vilka cookies forumet sätter står på Integritetspolicy.

Det här är pågående arbete

Säkerhet är aldrig "klart". Hot och bästa praxis ändras, och så ändras vi också. När något viktigt ändras uppdateras den här sidan. Vi listar inte specifika versioner eller infrastrukturdetaljer, av den enkla anledningen att en lista över "vad vi kör och i vilken version" är gratis underlag för en angripare.