TESTMILJØ — staging · Handlinger er ikke live · Mail/SMS sendes IKKE
Launchr

Sikkerhed og arkitektur

Hvordan vi beskytter jeres data

Senest opdateret: 1. juni 2026

Den her side er til jeres IT- og compliance-team. Den giver et hurtigt overblik over Launchrs arkitektur, sikkerhedsforanstaltninger og databehandling, så I kan vurdere om Launchr passer ind i jeres governance — inden vi taler om DPA-signing eller pilotprojekt.

Arkitektur i én sætning

Launchr er en multi-tenant SaaS-platform bygget på en serverless Next.js 16-applikation, hostet på Vercels EU-edge, med PostgreSQL (Supabase, Frankfurt) som primær database, Cloudflare R2 til fil-storage, Clerk til identitets-styring og en hærdet Fly.io- worker i Stockholm til video- og lyd-behandling.

Data-residency

Alle persondata og kundeoplevet data ligger i EU:

  • PostgreSQL-database: Supabase, Frankfurt (Tyskland)
  • Fil-storage (video, lyd, billeder): Cloudflare R2, EU-region
  • Transcoding-worker: Fly.io, Stockholm (Sverige)
  • Email-levering (transaktionel + inbound): Resend, EU-region
  • Fejl-monitoring: Sentry, EU-region
  • Hosting + edge: Vercel, EU edge-regioner

Identitets-styringen hos Clerk er den eneste komponent med tvær-regional infrastruktur, og bruger SCC + EU-data-residency for sessions-data.

Multi-tenant isolation

Hver organisation i Launchr får sit eget logiske rum i databasen. Hver række i hver tabel er scoped til organization_id og håndhævet via PostgreSQL Row-Level Security (RLS) i deny-by-default-mode. Det betyder at selv hvis koden skulle fejle et tjek, kan databasen ikke returnere data der ikke tilhører den autentificerede org.

Sletter I jeres org, kaskaderer sletningen til alle relaterede rækker (kampagner, leverancer, planer, produktioner, mv.). Filer i R2 slettes permanent inden 30 dage.

Kryptering

  • I transit: TLS 1.2+ på alle endpoints, inkl. interne service-til-service-kald. HSTS preload-listet med 2 års max-age + includeSubDomains.
  • At hvile: AES-256 hos Supabase (database), Cloudflare R2 (filer) og Clerk (sessions). Backup-snapshots krypteret med samme standard.
  • API-nøgler (Partner-API): Hashed-at-rest med SHA-256. Reveal-once ved oprettelse; kan tilbagekaldes per nøgle.
  • Hemmeligheder (env-vars): Hostet i Vercels miljø-styring + Supabase Vault. Roteres ved kompromittering eller medarbejder-fratrædelse.

Adgangskontrol og autentificering

  • SSO + OAuth: Email + Google (flere identity providers kan tilkobles efter ønske).
  • Multi-faktor-login: Tilgængeligt via Clerk for alle brugere; kan håndhæves på org-niveau efter aftale.
  • Rolle-baseret adgang: Org-medlemmer har én af tre roller: owner, admin eller member.
  • Session-håndtering: Konfigurerbar session-levetid hos Clerk; idle-logout efter 7 dage by default.
  • Produkt-tier per org: Vi kan begrænse hvilke moduler (Mediabuyr, Plan, Producr) en org har adgang til — relevant for enterprise-kunder der kun bruger et delmængde.

Audit-spor

Hver ændring på domæne-niveau logges i en uudslettelig event- stream med tidspunkt, bruger-id og payload. Det dækker:

  • oprettelse, opdatering og sletning af kampagner og spots;
  • asset-uploads, transcoding-status og leverancer;
  • godkendelser og afvisninger via share-links;
  • email-send og indkomne svar med klassifikation;
  • tilbud, fakturaer og betalingsstatus i Producr.

Audit-loggen er læsbar for org-admins via UI'en. Komplet eksport som JSON/CSV er tilgængelig på forespørgsel (kommende: self-service eksport i UI'en).

Backup og recovery

  • Database: Supabase tager point-in-time backups med 7-dages restore-vindue.
  • Filer: R2 er multi-region replikeret inden for EU.
  • Recovery Time Objective (RTO): Vi sigter mod 4 timer for kritiske systemer.
  • Recovery Point Objective (RPO): Maks 1 time data-tab for database; nul tab for filer.

Krydsgrænse-overførsler

De fleste data forbliver i EU. To kategorier af tjenester har komponenter i USA:

  • AI-behandling: Anthropic (Claude) og Google Gemini (Nano Banana) bruges til specs-parsing, leveringsmail-udkast, klassifikation og storyboard-billeder. Begge er underlagt SCC; data bruges ikke til træning af modellerne.
  • Hjælpe-tjenester: Clerk (identitet), Inngest (job-orchestration), Twilio (SMS, kun Producr) og Google Maps (geocoding, kun Producr) — alle med SCC.

Overførsler sker på grundlag af EU-Kommissionens Standard Contractual Clauses (2021/914) og for visse leverandører desuden under EU-US Data Privacy Framework. Transfer Impact Assessment (TIA) er tilgængelig på forespørgsel.

Sårbarheds-håndtering

  • Dependabot: Åbner ugentlige PRs for opdateringer; security-PRs ugen rundt.
  • CI-gate: npm audit på high+critical CVEs blokerer merges der introducerer nye sårbarheder.
  • Type-safety: TypeScript strict mode + Zod-validering på alle API-grænser forhindrer hele klasser af bugs.
  • Sikkerhedsheaders: CSP, HSTS, X-Frame-Options DENY, strict referrer-policy, Permissions-Policy med restriktive defaults.

Brud på persondatasikkerheden

Hvis vi opdager et brud, varsler vi jer som dataansvarlig uden ugrundet ophold — senest 24 timer efter opdagelse — med information om bruddets natur, omfang, sandsynlige konsekvenser og afbødende foranstaltninger. Vores rolle som databehandler gør jer i stand til at opfylde jeres anmeldelses-pligt over for Datatilsynet inden for 72 timer (GDPR art. 33).

GDPR-rettigheder I kan udøve på jeres registreredes vegne

Som dataansvarlig kan I bede os om:

  • at udlevere alle data om en specifik person i et almindeligt format;
  • at rette eller slette specifikke personers data;
  • at standse behandlingen midlertidigt;
  • at udlevere det fulde audit-spor for jeres behandling;
  • at slette alle data ved opsigelse (sker automatisk inden 30 dage).

Anmodninger sendes til hello@launchr.dk. Vi svarer inden 30 dage.

DPIA-vurdering

Vi har gennemført en Data Protection Impact Assessment for Launchr og vurderet, at behandlingen ikke udgør en høj risiko for jeres registreredes rettigheder. Behandlingen omfatter ikke særlige kategorier (GDPR art. 9), foretager ikke automatiseret beslutningstagning med retsvirkninger (art. 22) og er begrænset til kontaktoplysninger og kampagne-metadata.

Hvis I selv har behov for en DPIA på jeres specifikke brug af Launchr, leverer vi den dokumentation I skal bruge — herunder data-flow-diagram, sub-processor-roller og krydsgrænse-vurderinger.

Certificeringer og hvad vi arbejder hen imod

Vi har valgt at være ærlige om vores nuværende status:

  • I dag: GDPR-compliant arkitektur, Standard Contractual Clauses for USA-overførsler, dokumenteret DPIA, Sentry-baseret incident-monitoring, Dependabot + npm audit-gate i CI.
  • Under planlægning (2026-2027): Formel ISO 27001-certificering, SOC 2 Type II, ekstern penetration test af tredjepart, formel BCP/DR-test.

Vi vil hellere være ærlige om hvor vi er end love noget vi ikke har leveret. Banker og enterprise-kunder værdsætter den ærlighed mere end finurlige formuleringer.

Underdatabehandlere

Den fulde liste over underdatabehandlere — inklusive roller, placering og overførselsmekanismer — findes i databehandleraftalen. Vi varsler jer mindst 30 dage før ændringer træder i kraft, så I kan gøre indsigelse.

Spørgsmål?

Skriv til hello@launchr.dk. Vi svarer normalt samme dag på sikkerhedsspørgsmål fra potentielle enterprise-kunder. Hvis I har en specifik compliance-skabelon I gerne vil have os til at udfylde (TISAX, ISO-overlapping, NIS2-vurdering), så send den — vi har bygget systemet med den slags processer for øje.