Sikkerhed & Databeskyttelse

Sådan beskytter vi dine gæsters data

Datalokation

Alle data opbevares i EU på Cloudflares netværk. D1-databaser er krypteret i hvile. Al kommunikation sker via TLS 1.3.

Autentificering

Email/adgangskode med valgfri TOTP to-faktor-godkendelse. Sessioner udløber efter 30 minutters inaktivitet. Sikre cookies med __Secure-præfiks.

Adgangskontrol

Rollebaseret adgangskontrol (RBAC) med tre roller: kædeadministrator, ejendomsadministrator og ejendomsmedarbejder. Fuldstændig mandantisolering mellem hoteller.

GDPR-overholdelse

Komplet GDPR-understøttelse med dataeksport og sletning for gæster. Databehandleraftale (DPA) tilgængelig for download.

Sikkerhedsheadere

HSTS, Content Security Policy, X-Frame-Options DENY, Referrer-Policy, Permissions-Policy. Rate limiting på autentificeringsendpoints.

Webhook-sikkerhed

Alle webhook-notifikationer signeres med HMAC-SHA256. SSRF-forebyggelse validerer webhook-URL'er mod private IP-intervaller.

Ansvarlig offentliggørelse

Har du fundet en sikkerhedssårbarhed? Kontakt os på security@gaestro.io. Vi svarer inden for 48 timer.

Databehandleraftale (DPA)

Hoteller er dataansvarlige under GDPR. Download vores standard DPA baseret på EU's standardkontraktbestemmelser.

Download DPA (PDF)