Alla hemligheter är totalsträckskrypterade. Vi genererar en slumpmässig hash för att kryptera din hemlighet på klienten med AES-256-GCM (Advanced Encryption Standard – Galois/Counter Mode). Krypteringsnyckeln lagras aldrig, utan läggs till i själva den hemliga länken. Utan den fullständiga länken kommer ingen (inklusive vi) någonsin att kunna dekryptera ditt meddelande.
Om ett lösenord anges använder vi det för att kryptera din hemlighet ovanpå standardkrypteringen. Även med åtkomst till hela vår infrastruktur skulle en angripare inte kunna läsa ditt meddelande. När en hemlighet har visats raderar vi den permanent från vår databas. Det finns ingen säkerhetskopia.
Säkerhet by design
-
Zero Trust-arkitektur – Vi utgår från att ingen entitet (intern eller extern) är inneboende pålitlig.
-
Totalsträckskryptering – Alla anslutningar säkras via HTTPS. Data krypteras under överföring och i vila för att förhindra obehörig åtkomst.
-
Minimal attackyta – Vi minskar komplexitet och exponering genom att begränsa antalet tjänster, ingångar och beroenden i ett system.
-
Regelbundna uppdateringar – Vi håller beroenden uppdaterade för att minska sårbarheter.
-
Full transparens – All kod är öppen källkod på Github
-
Automatiserad säkerhetstestning – Vi använder automatiserade verktyg för att upptäcka sårbarheter i beroenden.
Infrastruktur
Pålitliga aktörer, få beroenden. Vi valde branschledare för att hosta vår infrastruktur:
- Vercel: Webbplats och Postgres-databas
- Flow Swiss AG: Objektlagring (filer)
Säkerhetsrapporter (live)
Säkerhetsriskbedömningar
Klicka för att verifiera tredjepartsrevisioner i realtid.
Säkerhet genom design
Nollförtroendearkitektur
Vi utgår från att ingen enhet — intern eller extern — är inneboende pålitlig. Varje begäran verifieras.
End-to-end-kryptering
Hemligheter krypteras på din enhet innan överföring med AES-256-GCM. Servern ser aldrig klartext.
Minimal attackyta
Vi begränsar tjänster, ingångspunkter och beroenden för att minska exponeringen. Mindre komplexitet innebär färre sårbarheter.
Regelbundna uppdateringar
Beroenden hålls uppdaterade och övervakas för kända CVE:er för att täppa till sårbarheter innan de kan utnyttjas.
Full transparens
All kod är öppen källkod på GitHub. Vem som helst kan granska implementationen.
Automatiserad säkerhetstestning
Automatiserade verktyg söker efter sårbarheter i beroenden vid varje push. Problem upptäcks innan de når produktion.
Infrastruktur
Vi förlitar oss på ett litet antal betrodda, granskade leverantörer — inga onödiga tredje parter.
| Leverantör | Roll | ISO 27001 | GDPR | SOC 2 Type II |
|---|---|---|---|---|
| Vercel Inc. | Webbplats & API-hosting | |||
| Neon Inc. | Postgres-databas | |||
| Flow Swiss AG | Objektlagring (filer) |
Vanliga frågor
Ansvarsfull rapportering
Säkerhet är en prioritet för oss — om du hittar en sårbarhet uppskattar vi ett ansvarsfullt avslöjande till security@scrt.link så att vi kan åtgärda det innan användare påverkas. Hjälpsamma rapporter beskriver problemet och dess potentiella påverkan, hur det reproduceras samt eventuell proof-of-concept-kod eller skärmdumpar.