Fara í efni
Til baka

Öryggismál

Útgáfa 1.0 · Gildistaka 12. júlí 2026 · Endurskoðað árlega

Eignasaga heldur utan um viðhaldssögu fasteigna og vinnur með gögn notenda og gögn úr opinberum skrám. Hér er lýst hvernig við verjum þau: hvernig notendur eru auðkenndir, hver sér hvað, hvernig hver uppfletting er skráð og hvernig við bregðumst við ef eitthvað fer úrskeiðis.

1. Meginreglur

2. Auðkenning: enginn nafnlaus aðgangur

Notendur auðkenna sig með rafrænum skilríkjum í gegnum Auðkenni. Hver einasta aðgerð í kerfinu er því rekjanleg til raunverulegs, sannvottaðs einstaklings með kennitölu.

3. Aðgangsstýring: lágmarksréttindi

Hver notandi, starfsmaður og kerfishluti fær aðeins þann aðgang sem hlutverk hans krefst.

HlutverkAðgangur
EigandiFullur aðgangur að eigin eignum: skjöl, kostnaður, myndir, verksaga.
UmboðshafiAðgangur að tiltekinni eign samkvæmt formlega skráðu umboði á kennitölu, með skilgreindu umfangi (fullur aðgangur eða skoðun eingöngu). Afturkallanlegt hvenær sem er.
IðnaðarmaðurSér verk sem hann er skráður fyrir og staðfestir þau; sér ekki önnur gögn eignar.
Almennur notandiSér aðeins takmarkaða opinbera sýn eigna sem eigandi hefur sjálfur opnað: engin skjöl, engar myndir, enginn sundurliðaður kostnaður.
StjórnandiUmsýsluaðgangur. Allar skoðanir stjórnenda á eignum annarra og allar stjórnendaaðgerðir eru færðar í uppflettiskrána.

4. Uppflettiskrá: hver, hvað og hvenær

Sérhver uppfletting í ytri skrám (t.d. fasteignaskrá), sérhver skoðun eignar og sérhver stjórnendaaðgerð er færð í óbreytanlega uppflettiskrá: hver gerði hvað, hvenær, í hvaða tilgangi og frá hvaða IP-tölu.

5. Tæknilegar öryggisráðstafanir

6. Undirvinnsluaðilar

Kerfið er rekið hjá vottuðum undirvinnsluaðilum og vinnslusamningar (DPA) eru í gildi við þá alla.

AðiliHlutverkVottunStaðsetning gagna
VercelHýsing vefkerfis og skráageymslaSOC 2, ISO 27001Alþjóðlegt CDN (EES/US)
NeonPostgreSQL gagnagrunnurSOC 2AWS eu-west-2 (London)
ResendTölvupóstsendingarSOC 2US/EU
TaktikalRafræn skilríki og undirritanirSamkvæmt samningiÍsland/EES

7. Gagnavarðveisla

Gögn eru varðveitt svo lengi sem þeirra er þörf í þeim tilgangi sem þau voru sótt eða skráð í, eða svo lengi sem lög eða samningar krefjast. Að þeim tíma liðnum er þeim eytt.

GagnaflokkurVarðveislutími
UppflettiskráMinnst 7 ár, append-only, óháð því hvort notandi eyðir aðgangi sínum
Notendareikningar og eignagögnÞar til notandi eyðir þeim eða óskar eyðingar
Gögn úr opinberum skrámSamkvæmt miðlunarsamningi við viðkomandi skráarhaldara; endurmiðlun óheimil
Lotur (sessions)Að gildistíma loknum
Rate-limit færslur24 klst
Atvikaskrá öryggisatvikaMinnst 7 ár

8. Viðbrögð við öryggisatvikum

Formleg viðbragðsáætlun gildir um öll atvik sem ógna leynd, réttleika eða tiltækileika gagna. Atvik eru flokkuð eftir alvarleika með skilgreindum viðbragðstíma: alvarleg atvik innan 1 klst, veruleg innan 24 klst og minniháttar innan 5 virkra daga.

9. Persónuvernd

Meðferð persónuupplýsinga byggir á lögum nr. 90/2018 og GDPR: tilgangsbinding, lágmörkun, öryggi og ábyrgðarskylda. Um réttindi þín (aðgang, leiðréttingu, eyðingu, flutning) og vinnslu persónuupplýsinga er fjallað í persónuverndarstefnunni.

10. Tilkynna öryggisveikleika

Teljir þú þig hafa fundið öryggisveikleika í Eignasögu biðjum við þig að tilkynna hann beint til okkar á eignasaga@eignasaga.is í stað þess að birta hann opinberlega. Lýstu því hvernig má endurskapa veikleikann og hvaða hluta kerfisins hann varðar. Við staðfestum móttöku innan tveggja virkra daga og höldum þér upplýstum þar til málið er leyst.