Allir öryggisþættir sem við nefnum á heimasíðunni — útskýrðir í smáatriðum. Engin loforð sem við stöndum ekki við.
Allir gagnagrunnar eru afritaðir á hverri nóttu á aðskilið geymsluvæði í öðru gagnaveri. Einu sinni í viku keyrir sjálfvirkt CI-skref endurheimt á tæmt umhverfi og staðfestir að bókanir, viðskiptavinir og greiðslur séu lesanleg. Ef endurheimtin bilar fær reksturinn tilkynningu áður en þú spyrð.
Persónuupplýsingar viðskiptavina (nafn, netfang, sími) eru aðeins geymdar í þeim tilgangi sem viðskiptavinurinn samþykkti — til að halda utan um bókunina og þau skilaboð sem henni tengjast. Yfirstjórnandi getur eytt eða nafnleyst gögn viðskiptavinar með einum smelli; allar slíkar aðgerðir eru skráðar í endurskoðunarsögu. Viðskiptavinir geta sjálfir sótt alla bókunarsögu sína á /account.
API-lyklar (Teya, CloudLink, brafa-lásar, Resend, Twilio) og lykilorð viðskiptavina eru dulkóðuð með AES-256 áður en þau eru vistuð í gagnagrunninum. Dulkóðunarlykillinn er aldrei í kóða eða geymslu — hann er geymdur sem umhverfisbreyta á rekstrarvél. Auk þess notum við TLS 1.3 á öllum tengingum og HSTS á öllum lénum.
Þrjú stig stjórnenda: yfirstjórnandi (sér allt), stjórnandi (allt innan eins rekstraraðila) og starfsmaður (lestur + bókanir, ekki stillingar). Allir stjórnendur nota TOTP tveggja þátta innskráningu — engar undantekningar. Starfsmaður hjá rekstraraðila A getur ekki lesið gögn frá rekstraraðila B, jafnvel þegar yfirstjórnandi skoðar kerfið í samhengi tiltekins rekstraraðila.
Hver einasta breyting á bókun, verði, lásauppsetningu eða heimildum er skráð með stjórnanda, tímastimpli, ástæðu og fyrir/eftir-mynd af gögnunum. Stjórnandi getur ekki eytt færslunni. Ef rekja þarf ábyrgð — eða ef grunur vaknar um misnotkun — höfum við sönnunargögn.
Endapunkturinn /api/health staðfestir bæði gagnagrunnstengingu og innri þjónustur í einni beiðni og er vaktaður af ytri uppitímsvöktum. Allar óhöndlaðar bakendavillur eru sendar í rekstrarpósthólfið innan mínútu með sama kerfi og sér um tilkynningar til viðskiptavina. Engar þöglar bilanir sitja óséðar tímunum saman.
Kortaupplýsingar fara í gegnum hýsta greiðslusíðu Teya og Valitor CloudLink — þær snerta aldrei þjónana okkar eða þína. Þitt fyrirtæki helst utan PCI-DSS umfangs; við vinnum aðeins með samstarfsaðilum með Level 1 vottun.
Hver tilkynning sem þú færð (Teya-staðfesting, staða brafa-láss eða kortafærsla frá CloudLink) er undirrituð með leynilyklinum þínum. Tókst ekki að afhenda tilkynningu er reynt aftur með stigvaxandi bið í 24 klst. Enginn vefkrókur týnist án þess að þú vitir af því.
Skrifaðu á brafa@brafa.is — við svörum innan dags með skjalfestum upplýsingum, ekki markaðstexta.