Personvern og sikkerhet
Lagret samtalehistorikk, minner og prosjekter er kryptert — ingen kan lese det uten passordet ditt. Under en aktiv samtale behandles meldingen av KI-modellen i klartekst, og lagres deretter kryptert.
Hva er kryptert
Følgende innhold krypteres med din personlige hovednøkkel (MK) før det lagres hos oss. Vi kan ikke lese dette — heller ikke ved politiforespørsel, serverinnbrudd eller backup-lekkasje.
- —Chatmeldinger — innholdet i alle meldinger du sender og mottar.
- —Samtaletitler — tittelen som vises i sidepanelet er kryptert og dekrypteres kun i nettleseren din.
- —Minner — fakta Hugra husker om deg (korte og lange minner) er kryptert.
- —Prosjektnavn og -kontekst — navn, instruksjoner og AI-forslag i prosjektene dine.
- —Søkekilder — nettsider og utdrag du leser gjennom nettsøk krypteres sammen med meldingen de tilhører.
- —Klassifiseringer — dersom en melding får en intern klassifisering (f.eks. fra analyser av samtalen), lagres både type, kategori og eventuelle notater kryptert. Ingenting om klassifiseringen er lesbart for oss.
- —Vedlegg — filer og bilder du laster opp (PDF, Word, Excel, tekst, bilder) krypteres i nettleseren din før de lastes opp til Scaleway i Paris. Filnavn, innhold og bildebeskrivelser er alle kryptert. For PDF-er på mobil (iOS Safari) leses teksten ut på vår EU-server kortvarig i minnet — aldri lagret eller logget — før resultatet krypteres i nettleseren din igjen.
- —Prosjektfiler (kunnskapsbase) — filer og nettsider dere knytter til et prosjekt parses og deles i biter på vår EU-server, men hver bit krypteres i nettleseren din før den lagres. Filnavn, kildelenker og bitenes tekstinnhold er alle kryptert. Verken vi eller en eventuell angriper med databaseaksess kan lese innholdet uten passordet ditt.
All kryptering skjer i nettleseren din med hovednøkkelen (MK) som er låst av passordet ditt. Serveren lagrer kun kryptert tekst.
Hva vi MÅ ha i klartekst
Noe informasjon kan vi ikke kryptere — enten fordi den er nødvendig for drift, fakturering eller lovkrav.
- —E-postadresse — brukes for å logge inn og sende engangskoder.
- —Team-/organisasjonsnavn og organisasjonsnummer — nødvendig for fakturering og for å identifisere juridisk ansvarlig part.
- —Betalingsdata — Mollie (betalingsleverandøren vår) krever navn, beløp og transaksjonsstatus i klartekst for å prosessere og dokumentere betalinger. Vi lagrer ikke kortnummer.
- —Bruksstatistikk — antall tokens brukt per konto lagres for kostnadskontroll og kvoteberegning. Ingen meldingsinnhold er inkludert.
- —Embedding-vektorer for prosjektfiler — når dere knytter en fil til et prosjekt, lagrer vi en tallvektor (2560 desimaltall) per bit i klartekst ved siden av den krypterte teksten. Vektoren er nødvendig for at vi skal kunne finne de mest relevante bitene når dere chatter i prosjektet — uten den blir det ikke noe gjenfinning. Den originale teksten er ikke kodet inn i vektoren på en måte som lar oss rekonstruere den, men vektorene er ikke fullstendig anonyme: en motivert analytiker med databaseaksess kan utlede grov tematisk kontekst (uten å gjenskape originalteksten). Funksjonen er kun tilgjengelig på Business-planen og kan brukes eller la være etter eget skjønn.
Hva skjer når du chatter
Når du sender en melding, dekrypteres historikken i nettleseren din og sendes i klartekst over TLS til vår egen GPU-server i Frankrike. Meldingen lagres ikke der — vi logger ingen forespørseltekst.
Vi logger heller ikke forespørselstekst på applikasjonsserveren vår. Etter at svaret er generert, krypteres det i nettleseren din før det lagres i databasen. Serveren ser aldri det ferdige svaret i klartekst etter at det er kryptert.
Det uunngåelige kompromisset: For at en språkmodell skal kunne svare deg, må den se meldingen din mens den genererer svaret. Vi minimerer eksponeringen ved å kjøre inferensen selv på vår egen infrastruktur i EU og ved å ikke lagre noe i klartekst. Dette dokumenterer vi åpent fremfor å skjule det.
Om passordet og gjenopprettingskoden
Passordet ditt avleder krypteringsnøkkelen din (KEK) lokalt i nettleseren ved hjelp av Argon2id. Passordet sendes aldri til oss — kun en kryptografisk hash brukes for å verifisere at du er den du sier du er.
Gjenopprettingskoden er en 24-tegns kode som du genererer ved registrering. Den lar deg gjenopprette tilgang til dataene dine dersom du glemmer passordet — men bare hvis du har koden.
Mistet passord + mistet gjenopprettingskode = tapt tilgang til alle krypterte data. Dette er tilsiktet. Ingen — heller ikke Hugra — kan hjelpe deg om begge er borte.
Oppbevar gjenopprettingskoden på et trygt sted: passordhåndterer, utskrift i bankboks, eller begge deler.
Tillitsgrensen for nettleserkryptering
Krypteringen i Hugra kjører i nettleseren din — men koden som utfører krypteringen leveres fra våre egne servere. Det setter en grense for hva krypteringen kan beskytte mot:
- —Normal drift: Hugra kan ikke lese dine lagrede meldinger. Serveren mottar kun kryptert tekst og har ingen tilgang til hovednøkkelen din.
- —Kompromittert infrastruktur: En angriper med skrivetilgang til vår distribusjonspipeline kunne i prinsippet sende modifisert JavaScript som eksfiltrerer passordet ditt ved neste innlogging. Dette er en kjent, grunnleggende begrensning ved all nettleserkryptering — ikke unik for Hugra.
Mobilappen har en sterkere tillitsmodell: koden er signert av Apple og Google og distribuert via offisielle appbutikker. En stille erstatning av koden er vesentlig vanskeligere. Brukere som krever den sterkeste garantien bør bruke mobilappen.
Leverandører
Vi holder infrastrukturen vår i EU/EØS. Her er hvem vi bruker til hva:
| Tjeneste | Leverandør | Land | Brukes til |
|---|---|---|---|
| E-post | Scaleway | Frankrike | Sender påloggingslenker og kontorelaterte varsler. Hostes i Paris. |
| KI-servere (GPU) | Scaleway | Frankrike | Vi leier egne GPU-servere og kjører språkmodellen selv. Ingen forespørsler logges og ingenting deles med andre. |
| Nettside | Webhuset & Hetzner | Norge & Finland | Selve webapplikasjonen — det du ser i nettleseren — kjører på servere i Bergen og Helsinki for redundans og lav latens. |
| Database | Webhuset | Norge | All lagring ligger i PostgreSQL hos Webhuset i Bergen. Alt krypteres på enheten din før det kommer hit — unntaket er konto- og betalingsinformasjon (e-post, fakturadata), som må være i klartekst for at tjenesten skal fungere. |
| Fillagring | Scaleway | Frankrike | Filer og bilder du laster opp krypteres i nettleseren din med hovednøkkelen din før de sendes til Scaleways objektlagring i Paris. Vi (og Scaleway) kan aldri lese innholdet — serveren ser bare opake krypterte bytes. |
| Websøk | Linkup | Frankrike | Når Hugra trenger å slå opp noe på nettet, går søket gjennom Linkup. De henter resultater fra offentlige nettsteder uten å bygge profil av deg. |
Markedsføringsmåling
Vi laster ingen tredjeparts-trackere i nettleseren din og setter ingen informasjonskapsler for markedsføring.
Hvis du klikker en av annonsene våre på Google, legger Google en klikk-ID i URL-en. Ved registrering sender vår server klikk-ID-en, tidspunktet og en SHA-256-hash av e-postadressen din til Google for å koble registreringen mot annonseklikket. Rettslig grunnlag er berettiget interesse (GDPR art. 6(1)(f)). Ta kontakt om du vil reservere deg.
Sletting av inaktive kontoer
Kontoer som ikke har hatt aktivitet på 90 dager, og som ikke har et aktivt abonnement eller er medlem av et team, slettes automatisk. Vi sender en varslings-e-post 48 timer før sletting slik at du kan logge inn og beholde kontoen hvis du ønsker det.