TRUEINGS

Sikkerhed & compliance

Hvor dataene bor, og hvad de ikke gør.

Skrevet til indkøb, IT-sikkerhed og juridiske bedømmere. Ingen markedsføringsindpakning, kun fakta som de står i dag, inklusive de ting, vi endnu ikke hævder.

URL der kan videresendes. Hvis dit sikkerhedsteam har brug for et leverandørspørgeskema eller en modunderskrevet DPA, se Kontakt nederst.

Et lille stentårn med en enkelt varmt oplyst dør, ved daggry på en stille eng: beskyttelse ved design snarere end ved magt.

Underdatabehandlere

Hvor dine data behandles.

Den fulde liste over tredjeparter, der rører subjekt- eller respondentdata, med region og overførselsgrundlag. Anthropic er i USA og er dækket af Standard Contractual Clauses; alt andet er i EU.

TjenesteFormålRegionOverførselsgrundlag
Supabase
supabase.com/security
Administreret Postgres (subjekt- + respondentdata, RLS-håndhævet), passwordless godkendelse.EUInden for EU.
Anthropic
trust.anthropic.com
LLM-inferens til Criteria Designer, Interviewer og Synthesizer.USAEU → US under Standard Contractual Clauses, underskrevet Anthropic DPA. Kun Messages API, uden Batch, Files eller server-Memory.
Resend
resend.com/legal/security
Transaktionsmail (magic-link-login, respondentinvitationer, påmindelser).EUInden for EU.
Stripe
stripe.com/privacy
Betalingsbehandling for $50-engangsbeløbet og $100/år-planerne samt for-teams-licenspuljer.USA (Stripes globale infrastruktur)EU → US under Standard Contractual Clauses. Kortdata indsamles af Stripe direkte; Trueings ser eller opbevarer aldrig kortoplysninger.
PostHog
posthog.com/handbook/company/security
Produktanalyse (kun hændelsestællinger: cookieless, ingen sessionsoptagelse, ingen autocapture, ingen profil per person).EU (eu.i.posthog.com)Inden for EU.

Hosting: selve applikationen kører på administreret serverløs infrastruktur (Vercel). Intet kundefeedbackindhold opbevares i applikationslogs; det kanoniske lager er Supabase.

Opbevaring

Hvad vi opbevarer, hvor længe, og hvad vi ikke gør.

Rå udskrifter slettes af et planlagt databasejob 30 dage efter hver kampagnes syntese. Jobbet kører dagligt og kan revideres. Efter det er kørt, kan kampagnen ikke synes igen; kun den anonymiserede rapport er tilbage.

  • Rå respondentudskrifter

    30 dage efter, at en kampagnes syntese er færdiggjort

    Renses dagligt af et planlagt databasejob. Efter rensning kan kampagnen ikke synes igen; kun den anonymiserede rapport er tilbage.

  • Syntetiseret rapport (temaer, Johari-kort, udviklingsplan)

    Subjektets kontos levetid

    Identifikatorrenset af den obligatoriske fortrolighedsvagts gennemgang. Subjektet kan eksportere eller slette den til enhver tid.

  • Konto-, samtykke- og faktureringsoptegnelser

    Kontoens levetid + den periode, som EU's skatte- / forbrugerlovgivning kræver

    Knyttet til subjektet; slettes ved sletning af konto med forbehold for lovbestemt opbevaring.

  • Aggregerede driftslogs (intet respondentindhold)

    Op til 90 dage

    Bruges til hændelseshåndtering og opdagelse af misbrug. Ingen respondentsvar; intet feedbackindhold.

Fortrolighed er arkitektonisk

Håndhævet i kode, ikke ved politik.

Produktet kan ikke lække feedback til den forkerte part, fordi den forkerte part ikke er i datastien. Dette er strukturelle garantier, ikke forpligtelser.

  • Row-level security på hver følsom tabel. Default-deny, snævre politikker; databasen selv afviser læsninger på tværs af konti.
  • Synthesizeren ser aldrig respondentidentitet. Den modtager kun evidenstekst (ingen navne, ingen e-mailadresser, intet link tilbage til, hvem der sagde hvad), så selv en vilkårlig prompt kan ikke eksfiltrere det, der ikke er i dens kontekst.
  • En deterministisk fortrolighedsvagt kører, før subjektet ser noget. Den håndhæver tærsklen for minimumsantal af respondenter, den bløde grænses detaljereduktion og en endelig identifikatorrensning. Det er ikke en LLM-vurdering.
  • For-teams: firmaets portal er indholdsblind by design. Den viser kun indløsningstal og gennemførelsesrate, aldrig identitet, indhold eller temaer.

Godkendelse & adgang

Uden adgangskode, afgrænset, revideret.

  • Subjekter logger ind via magic links til engangsbrug til en verificeret e-mail. Ingen adgangskoder opbevares eller accepteres. Udstedelse af magic links er rate-limited og fejler i stilhed ved opregningssonderinger.
  • Respondenter har ikke konti. Hver invitation er en signeret, målgruppeafgrænset JWT til engangsbrug bundet til ét specifikt svar; algoritmen er fastlåst, og tokens ugyldiggøres ved indsendelse.
  • Firmaadministratorer godkender på samme måde som subjekter, via et magic link til en verificeret e-mail, ind i en separat, indholdsblind portal.
  • Operatøradgang er begrænset til et lille antal navngivne medarbejdere via en miljøafgrænset admin-flade. Medarbejdere tilgår ikke feedbackindhold i den normale drift; databaseadgang logges.

Kryptering & transport

Standard, ende-til-ende.

  • Under transport: TLS 1.2+ for hver forbindelse: browser ↔ applikation, og applikation ↔ hver underdatabehandler.
  • I hvile: kryptering leveres af hver underdatabehandler (linket i tabellen ovenfor): Supabase-administreret Postgres, Vercel-administreret runtime, Resend, Stripe, PostHog.
  • Kortdata: håndteres af Stripe direkte via Checkout. Trueings ser eller opbevarer aldrig kortnumre.
  • Hemmeligheder: applikationshemmeligheder bor i platformens krypterede env-lager; service-role-databasenøglen når aldrig browseren.

Hvad vi ikke hævder

De ting, vi hellere vil have, at du læser her, end at du slet ikke læser.

Det modsatte af en markedsføringssikkerhedsside. Hvis en kontrol eller certificering ikke står nedenfor, så antag, at vi ikke har den endnu. Hvis det er vigtigt for din vurdering, så fortæl os det, og vi siger, hvad planen er.

Ingen SOC 2

Vi har ikke gennemført en SOC 2-revision. Type I er planlagt til B2B2C-mid-market-fasen; vi udgiver rapporten, når den er klar, og ikke før.

Ingen ISO 27001

Ikke forfulgt i betaen. Vi tager det op igen, når købers efterspørgsel gør det relevant.

Ingen formel DPIA på fil

En Data Protection Impact Assessment er reserveret til udvidelse inden for sundhedssektoren. Det nuværende produkt er GDPR-by-design (fortrolighed håndhævet strukturelt, ikke via politik) og er dokumenteret som sådan i Privatlivspolitikken og DPA'en.

Endnu ingen anti-bot-CAPTCHA på login-formularen

Magic-link-login er rate-limited og fejler i stilhed ved opregningsforsøg; en CAPTCHA er på vejen.

Anthropic Zero-Data-Retention: anmodet, verifikation afventer

Vores Anthropic-org er på Commercial-niveauet, og vi har anmodet om ZDR. Privatlivspolitikken og DPA'en vil blive opdateret, og eksisterende subjekter gen-samtykket, i det øjeblik ZDR-dækning er bekræftet.

Uafhængig sikkerhedsgennemgang

Gennemgået ved kilden før lancering.

Kodebasen gennemgik en sikkerhedsgennemgang på kildeniveau den 2026-05-19. Ingen kritiske fund blev identificeret. Alle High-severity- og Medium-severity-punkter rejst af gennemgangen er afhjulpet, med én undtagelse, der er dokumenteret og accepteret som et overvågbart residual snarere end forhindret (et sock-puppet-grænsetilfælde mod anonymitetsminimummet).

Gennemgangen fokuserede på godkendelse, interviewmotoren, fortrolighedsvagten, fakturering og misbrugsudsatte flader. Vi kan dele omfanget og afhjælpningsoversigten på anmodning som en del af et leverandørspørgeskema.

Brudunderretning

72 timer, skriftligt, med hvad vi ved, og hvad vi gør.

Hvis vi bliver opmærksomme på et brud på persondatasikkerheden, der påvirker subjekt- eller respondentdata, vil vi underrette den relevante dataansvarlige uden unødig forsinkelse og inden for 72 timer, hvor bruddet sandsynligvis vil medføre en risiko for de registrerede, i overensstemmelse med artikel 33 i GDPR. De proceduremæssige forpligtelser fremgår af Data Processing Agreement.

Juridiske dokumenter

Kontrakten og oplysningerne, samlet ét sted.

Privatlivspolitik

Hvad vi behandler, hvorfor, hvor længe, og dine rettigheder, for subjekter og respondenter.

Servicevilkår

Kontrakten for subjekter, der bruger Trueings direkte.

Master Subscription Agreement

Kontrakten for firmaer, der køber en licenspulje til deres folk.

Data Processing Agreement

Roller, underdatabehandlere, opbevaring, overførsler, sikkerhedsforanstaltninger, brudunderretning.

Kontakt

Til dit sikkerhedsteam.

For et leverandørspørgeskema, en modunderskrevet DPA, et abonnement på underdatabehandler-ændringsunderretninger eller ethvert spørgsmål, som denne side efterlader åbent, skriv til teams@trueings.com. Vi svarer inden for to hverdage.

For registreredeanmodninger (indsigt, sletning, dataportabilitet) bruger subjekter privatlivskontrollerne i produktet; respondenter og tredjeparter kan skrive til privacy@trueings.com.