Útgáfa 1.0 · Gildistaka 12. júlí 2026 · Endurskoðað árlega
Eignasaga heldur utan um viðhaldssögu fasteigna og vinnur með gögn notenda og gögn úr opinberum skrám. Hér er lýst hvernig við verjum þau: hvernig notendur eru auðkenndir, hver sér hvað, hvernig hver uppfletting er skráð og hvernig við bregðumst við ef eitthvað fer úrskeiðis.
Notendur auðkenna sig með rafrænum skilríkjum í gegnum Auðkenni. Hver einasta aðgerð í kerfinu er því rekjanleg til raunverulegs, sannvottaðs einstaklings með kennitölu.
Hver notandi, starfsmaður og kerfishluti fær aðeins þann aðgang sem hlutverk hans krefst.
| Hlutverk | Aðgangur |
|---|---|
| Eigandi | Fullur aðgangur að eigin eignum: skjöl, kostnaður, myndir, verksaga. |
| Umboðshafi | Aðgangur að tiltekinni eign samkvæmt formlega skráðu umboði á kennitölu, með skilgreindu umfangi (fullur aðgangur eða skoðun eingöngu). Afturkallanlegt hvenær sem er. |
| Iðnaðarmaður | Sér verk sem hann er skráður fyrir og staðfestir þau; sér ekki önnur gögn eignar. |
| Almennur notandi | Sér aðeins takmarkaða opinbera sýn eigna sem eigandi hefur sjálfur opnað: engin skjöl, engar myndir, enginn sundurliðaður kostnaður. |
| Stjórnandi | Umsýsluaðgangur. Allar skoðanir stjórnenda á eignum annarra og allar stjórnendaaðgerðir eru færðar í uppflettiskrána. |
Sérhver uppfletting í ytri skrám (t.d. fasteignaskrá), sérhver skoðun eignar og sérhver stjórnendaaðgerð er færð í óbreytanlega uppflettiskrá: hver gerði hvað, hvenær, í hvaða tilgangi og frá hvaða IP-tölu.
Kerfið er rekið hjá vottuðum undirvinnsluaðilum og vinnslusamningar (DPA) eru í gildi við þá alla.
| Aðili | Hlutverk | Vottun | Staðsetning gagna |
|---|---|---|---|
| Vercel | Hýsing vefkerfis og skráageymsla | SOC 2, ISO 27001 | Alþjóðlegt CDN (EES/US) |
| Neon | PostgreSQL gagnagrunnur | SOC 2 | AWS eu-west-2 (London) |
| Resend | Tölvupóstsendingar | SOC 2 | US/EU |
| Taktikal | Rafræn skilríki og undirritanir | Samkvæmt samningi | Ísland/EES |
Gögn eru varðveitt svo lengi sem þeirra er þörf í þeim tilgangi sem þau voru sótt eða skráð í, eða svo lengi sem lög eða samningar krefjast. Að þeim tíma liðnum er þeim eytt.
| Gagnaflokkur | Varðveislutími |
|---|---|
| Uppflettiskrá | Minnst 7 ár, append-only, óháð því hvort notandi eyðir aðgangi sínum |
| Notendareikningar og eignagögn | Þar til notandi eyðir þeim eða óskar eyðingar |
| Gögn úr opinberum skrám | Samkvæmt miðlunarsamningi við viðkomandi skráarhaldara; endurmiðlun óheimil |
| Lotur (sessions) | Að gildistíma loknum |
| Rate-limit færslur | 24 klst |
| Atvikaskrá öryggisatvika | Minnst 7 ár |
Formleg viðbragðsáætlun gildir um öll atvik sem ógna leynd, réttleika eða tiltækileika gagna. Atvik eru flokkuð eftir alvarleika með skilgreindum viðbragðstíma: alvarleg atvik innan 1 klst, veruleg innan 24 klst og minniháttar innan 5 virkra daga.
Meðferð persónuupplýsinga byggir á lögum nr. 90/2018 og GDPR: tilgangsbinding, lágmörkun, öryggi og ábyrgðarskylda. Um réttindi þín (aðgang, leiðréttingu, eyðingu, flutning) og vinnslu persónuupplýsinga er fjallað í persónuverndarstefnunni.
Teljir þú þig hafa fundið öryggisveikleika í Eignasögu biðjum við þig að tilkynna hann beint til okkar á eignasaga@eignasaga.is í stað þess að birta hann opinberlega. Lýstu því hvernig má endurskapa veikleikann og hvaða hluta kerfisins hann varðar. Við staðfestum móttöku innan tveggja virkra daga og höldum þér upplýstum þar til málið er leyst.