Security & GDPR Overview

Jeres data er i sikre hænder.

Smaqly er bygget med sikkerhed og databeskyttelse i kernen. Her opsummerer vi hvordan vi beskytter jeres og jeres gæsters data — teknisk, organisatorisk og juridisk. Al kerne-data hostes i EU.

EU-hosting (Frankfurt)GDPR-compliantKryptering i transit & at-rest99,9 % oppetids-SLA

Datasikkerhed

Kryptering

Al trafik krypteres i transit (TLS) og data krypteres at-rest hos vores EU-hostingudbydere.

Adskillelse pr. restaurant

Multi-tenant-isolation håndhævet på database-niveau med row-level-security — én restaurant kan aldrig se en andens data.

Adgangskontrol

Rolle-baseret adgang pr. medarbejder + ekstra to-faktor-bekræftelse (TOTP) på følsomme administrative handlinger.

Fuldt revisionsspor

Følsomme handlinger logges med bruger, tidspunkt og detaljer — så der altid kan spores hvem der gjorde hvad.

Hærdede flader

Rate-limiting, server-side input-validering og XSS-beskyttelse på alle offentlige og admin-flader.

Sårbarheds-håndtering

Automatisk kode- og afhængigheds-scanning (CodeQL + Dependabot) samt fejl- og trussels-overvågning i produktion (Sentry).

Infrastruktur & oppetid

Drevet på europæisk enterprise-infrastruktur

hosting i Frankfurt (Supabase eu-central-1 + Vercel)

99,9 %

oppetids-mål (SLA) med kreditering ved underskridelse

PITR

point-in-time-backup + ugentlige snapshots

Se live status & oppetid →

Kvalitet & test

✓Automatiseret testpakke (E2E) — inkl. en dedikeret cross-tenant-isolations-test der bekræfter at data ikke kan lække mellem restauranter
✓Kvalitets-gates i CI — typecheck, kodeanalyse og sikkerheds-kontrol før hver udrulning
✓Løbende sikkerheds-audits af butik, dashboard og administration

GDPR & databehandling

Data forbliver i EU

Al kerne-data (database, hosting, email) opbevares i EU — Supabase eu-central-1 (Frankfurt) + Vercel + Resend (EU).

Klar rollefordeling

Restauranten er dataansvarlig, Craftory er databehandler. En databehandleraftale (DPA) indgås ved onboarding.

De registreredes rettigheder

Indbygget 1-klik data-eksport (JSON), sletning og berigtigelse — så I nemt kan efterkomme indsigt- og slette-anmodninger.

Automatisk dataminimering

Personhenførbare kunde-data (telefon/adresse) slettes automatisk efter en fastsat opbevaringsperiode efter sidste ordre.

Samtykke & cookies

Cookie-banner med granulær opt-in (essentielle/analyse/marketing adskilt). Marketing-samtykke er isoleret fra bestillingen.

Brud-procedure

Fast procedure for håndtering og anmeldelse af sikkerhedsbrud til Datatilsynet inden for 72 timer.

Sub-processorer

Leverandør	Formål	Region
Supabase	Database & lagring	EU (Frankfurt)
Vercel	Applikations-hosting	EU (Frankfurt)
Resend	Transaktions-email	EU
Frisbii	Abonnement / fakturering	EU (DK)
Flatpay	Kortbetaling (terminal)	EU (DK)
OpenAI / Anthropic / fal	AI-funktioner (valgfrit)	EU/USA — under SCC
Sentry	Fejl- & drifts-overvågning	EU/USA — under SCC

Få sub-processorer (AI, drifts-overvågning) kan behandle data uden for EU under EU-Kommissionens standardkontraktbestemmelser (SCC). AI-funktioner er valgfrie og aktiveres pr. restaurant.

Certificeringer & roadmap

Smaqly er GDPR-compliant i dag og bygget efter anerkendte sikkerheds-principper. Formel SOC 2- eller ISO 27001-revision tilbydes på forespørgsel for større kunder — vores arkitektur (RLS, revisionsspor, to-faktor, overvågning, automatiseret test) er allerede designet til at understøtte den proces.

Spørgsmål om sikkerhed eller GDPR?

Skriv til os — vi sender gerne databehandleraftale og svarer på sikkerheds-spørgsmål.

Kontakt os →

Sikkerheds- & privatlivshenvendelser: hello@smaqly.dk

Privatlivspolitik & vilkår: smaqly.dk/legal/privacy · smaqly.dk/legal/terms

Databehandleraftale (DPA) udleveres på forespørgsel.

Dette er en oversigt, ikke en juridisk kontrakt. Specifikke krav adresseres i databehandleraftalen.