Blog Utgivelser Hendelser Dokumentasjon Last ned Status Looking Glass Kontakt salg
Nettverk Motstandsdyktighet Gjenoppretting Sikkerhet Uforanderlig hvelv Manipulasjonssikker revisjon Priser
Utviklere
UtvikleroversiktCLI, SDK-er, webhooks InfrastrukturDocker, K8s, Terraform, CI/CD. AI-agenterClaude Code, Codex, Cursor, Hermes, OpenClaw. MSP-verktøyDatto, NinjaOne, ConnectWise, N-able. NettleserutvidelseAutofyll, enhetsbasert innlogging, generator MobilapperNativ iOS og Android Claude CodeAvgrensede tokens CodexOpenAI-integrasjon CursorAgentmodus Hermes AgentHermes Agent fra Nous Research OpenClawAgent-løser ImporterFra hvilken som helst passordbehandler
Ressurser
Blog Utgivelser Hendelser Dokumentasjon Last ned Status Looking Glass Kontakt salg
Løsninger
Forbruker SMB Enterprise MSP
Språk
🇺🇸 English 🇮🇩 Bahasa Indonesia 🇩🇰 Dansk 🇩🇪 Deutsch 🇪🇸 Español 🇫🇷 Français 🇮🇹 Italiano 🇳🇱 Nederlands 🇳🇴 Norsk 🇵🇱 Polski 🇧🇷 Português 🇫🇮 Suomi 🇸🇪 Svenska 🇻🇳 Tiếng Việt 🇹🇷 Türkçe 🇷🇺 Русский 🇺🇦 Українська 🇮🇳 हिन्दी 🇹🇭 ไทย 🇨🇳 中文 🇯🇵 日本語 🇰🇷 한국어
Logg inn Gratis for alltid Kom i gang

Juridisk

Databehandlingsavtale

Standard kontraktsklausuler for samsvar med GDPR og sveitsisk FADP. Gjelder automatisk for alle betalte abonnementer.

Sist oppdatert: 25. mai 2026

01
Definitions

«Behandlingsansvarlig» betyr den naturlige personen som oppretter og eier dataene i sitt Clavitor-hvelv. Du er alltid behandlingsansvarlig for din egen påloggingsinformasjon og personopplysninger.

«Databehandler» betyr Clavitor.ai, enheten som leverer hosting-infrastruktur, orkestrering av kryptering og datalagringstjenester på vegne av den behandlingsansvarlige.

«Registrert person» betyr den naturlige personen hvis personopplysninger behandles – dette kan være deg (den behandlingsansvarlige) eller andre hvis data du lagrer i ditt hvelv (familiemedlemmer, ansatte, kunder).

«Personopplysninger» betyr enhver informasjon som er knyttet til en identifisert eller identifiserbar naturlig person lagret i ditt hvelv, inkludert, men ikke begrenset til: påloggingsinformasjon, passord, API-nøkler, betalingskortdata, identitetsdokumenter og kontaktinformasjon.

«Behandling» betyr enhver operasjon som utføres på personopplysninger, inkludert innsamling, lagring, kryptering, overføring, sikkerhetskopiering og sletting.

02
Processing details
ElementDetalj
FormålHosting av kryptert påloggingsinformasjonshvelv og relaterte tjenester
VarighetFor varigheten av abonnementet ditt, pluss en 30-dagers skrivebeskyttet tilgangsperiode etter oppsigelse. Hvelvdata slettes etter tilgangsperioden. Sikkerhetskopier for samsvar ødelegges 30 dager etter sletting. Umiddelbar sletting tilgjengelig på forespørsel.
Art og formålLagring av krypterte data; autentiseringsorkestrering; sikkerhetskopiering og katastrofegjenoppretting; teknisk støtte (med begrensninger for nullkunnskap)
Type personopplysningerBrukerpåloggingsinformasjon, autentiseringstokener, betalingskortdata, identitetsdokumenter, sikre notater, TOTP-frø, metadata
Kategorier av registrerte personerBehandlingsansvarlig (kontoeier) og tredjeparter hvis data den behandlingsansvarlige velger å lagre
03
Obligations of the Processor

3.1 Behandle kun på dokumentert instruks. Clavitor behandler personopplysninger kun for å tilby hvelvtjenesten som beskrevet i våre Tjenestevilkår. Vi bruker ikke data til egne formål, trener AI-modeller, utleder innsikt eller tjener penger utover abonnementsavgifter.

3.2 Sikre konfidensialitet. Alt Clavitor-personell med potensiell tilgang til infrastruktur er bundet av konfidensialitetsavtaler. Tilgang gis etter prinsippet om minst privilegium og logges.

3.3 Implementere sikkerhetstiltak. Vi implementerer:

  • Ende-til-ende-kryptering: Data kryptert ved lagring og under overføring
  • Nivådelt kryptering (L2/L3): Identitetsfelt kryptert med nøkler utledet fra din enhet (WebAuthn PRF) – kan ikke dekrypteres av oss
  • Nullkunnskapsarkitektur: Vi kan ikke dekryptere hvelvinnhold; kun metadata (oppførings-IDer, typer, tidsstempler) er lesbare
  • Enhetsbasert autentisering (WebAuthn): Ingen passord lagret på serveren
  • Geografisk distribusjon: 21 tilstedeværelsespunkter (POPs) med kryptert replikering
  • Hendelseshåndtering: 24/7 overvåking, automatiserte varsler, dokumenterte bruddprosedyrer

3.4 Åpenhet om underdatabehandlere. Vi bruker kun underdatabehandlerne som er oppført i vår Liste over underdatabehandlere. Vi varsler abonnenter 30 dager før vi legger til en ny underdatabehandler.

3.5 Bistå med rettigheter for registrerte personer. På din forespørsel vil vi bistå deg med å svare på forespørsler fra registrerte personer som utøver rettigheter under GDPR/FADP (tilgang, retting, sletting, portabilitet, begrensning, innsigelse). Merk: På grunn av krypteringsarkitekturen kan vi ikke få tilgang til eller endre krypterte hvelvinnhold; bistand er begrenset til operasjoner på kontonivå.

3.6 Bistå med sikkerhetsforpliktelser. Vi leverer sikkerhetsdokumentasjon, sammendrag av penetrasjonstester (NDA kreves for detaljer), og revisjonslogger på forespørsel.

3.7 Slette eller returnere data. Ved avslutning av abonnementet blir hvelvene dine skrivebeskyttet i 30 dager. Etter 30 dager slettes hvelvdata permanent. Sikkerhetskopier for samsvar ødelegges 30 dager etter sletting. For kontoer suspendert på grunn av manglende betaling, slettes data 30 dager etter suspensjon og sikkerhetskopier roteres 60 dager etter det. Umiddelbar sletting er tilgjengelig på forespørsel når som helst. Data kan ikke returneres i dekryptert form (vi har ikke nøklene). Fullstendige detaljer i våre Tjenestevilkår.

3.8 Revisjon og inspeksjon. Med 30 dagers skriftlig varsel kan du revidere vårt samsvar med denne DPA-en. Revisjoner utføres ved vårt hovedkontor i Zürich eller virtuelt. Vi leverer relevant dokumentasjon; direkte tilgang til infrastruktur krever sikkerhetsklarering.

3.9 Varsle om brudd. Vi varsler deg innen 24 timer etter oppdagelse av brudd som påvirker dine personopplysninger. Vi vil aldri utsette varsling for etterforskning eller juridisk gjennomgang.

3.10 Dokumentere behandlingsaktiviteter. Vi opprettholder oversikter over behandlingsaktiviteter og gjør sammendrag tilgjengelige på forespørsel.

04
Obligations of the Controller

Du garanterer at:

  • Du har lovlig grunnlag for å behandle personopplysninger i ditt hvelv
  • Du har gitt passende personvernerklæringer til registrerte personer hvis data du lagrer
  • Du vil ikke lagre data i strid med gjeldende lover
  • Du vil umiddelbart varsle oss om forespørsler fra registrerte personer eller regulatoriske henvendelser
05
Data location and transfer

Dine hvelvdata lagres kryptert ved tilstedeværelsespunktet (POP) som geografisk er nærmest ditt tilgangsmønster. Primære og sekundære POP-er er i forskjellige regioner for robusthet. Den komplette listen over 21 POP-er med byer, leverandører og samsvarsertifiseringer vedlikeholdes i vår POP-database.

Infrastrukturleverandører som brukes for POP-er inkluderer: Amazon Web Services (17 POP-er, primærleverandør for de fleste regioner), ISHosting (Istanbul, Almaty, Bogotá), og HostAfrica (Lagos). Zürich HQ-drift (fakturering, administrasjon) bruker Hostkey.

Alle POP-er er enten:

  • I jurisdiksjoner med tilstrekkelighetserklæringer (EU, EØS, Sveits, Storbritannia, Canada, osv.)
  • Bundet av standard kontraktsklausuler (SCC-er) der ingen tilstrekkelighetserklæring eksisterer

På grunn av vår krypteringsarkitektur (nullkunnskap), er selv data lagret i jurisdiksjoner uten tilstrekkelighet teknisk beskyttet. Vi kan ikke dekryptere det; det kan heller ikke lokale myndigheter. DNS-oppslag håndteres av Cloudflare; ingen hvelvdata passerer noensinne gjennom deres nettverk.

06
Encryption and technical measures

Ingen data kan dekrypteres av oss ved lagring. Hvelvfilen er kryptert, og krypteringsnøkkelen er ikke lagret på serveren. Når en agent eller bruker kobler til, bærer de L1-nøkkelen med seg – vi kan teknisk sett avskjære den under overføring (selv om vi ikke gjør det, og TLS forhindrer tredjeparter fra å gjøre det). Selv med L1 er kun metadata synlig. Påloggingsinformasjon og identitetsfelt forblir forseglet.

  • L1 (Hvelvkryptering): Hvelvet er kryptert ved lagring med AES-256-GCM. Den 8-byte L1-nøkkelen bæres av agenten eller brukeren ved hver forespørsel – den er ikke lagret på serveren. Med L1 er oppføringstitler, typer og tidsstempler synlige. Dette er det operasjonelle minimumet som kreves for å betjene forespørsler.
  • L2 (Påloggingsinformasjonsfelt): Passord, API-nøkler, TOTP-frø, OAuth-tokener – kryptert per felt med en 16-byte nøkkel som aldri eksisterer på serveren. L2 holdes kun av brukerens nettleser og deres registrerte agenter. Vi kan ikke dekryptere påloggingsinformasjonsfelt, og ingen server-side prosess har noen gang tilgang til L2.
  • L3 (Identitetsfelt): Kredittkort, CVV, passnummer, personnummer, gjenopprettingskoder – kryptert med en 32-byte nøkkel av ren tilfeldig entropi, generert ved opprettelse av hvelvet. Brukeren kjenner ikke denne nøkkelen. Vi har den ikke. L3 eksisterer aldri på noen server. Den er beskyttet ved å pakke den inn med 32-byte utdata fra maskinvarenøkkelens PRF (fingeravtrykk, ansikt, eller sikkerhetsnøkkel via WebAuthn PRF). Uten den fysiske enheten kan L3 ikke pakkes ut. Vi kan matematisk sett ikke dekryptere identitetsfelt, og vi kan ikke tvinges til å produsere en nøkkel vi ikke har.
07
Contact

For DPA-relaterte henvendelser:

Personvernombud (DPO) Clavitor LLC c/o Johan Jongsma

privacy@clavitor.ai
08
Effective date and changes

Denne DPA-en er gjeldende fra din abonnementsstartdato og forblir i kraft til oppsigelse. Endringer varsles 30 dager i forveien. Fortsatt bruk utgjør aksept.

Sist oppdatert: 25. mai 2026 · Versjon 1.1