HermesAI
PriserPartnereOm ossKontakt
Sikkerhet

Hva vi har. Ikke hva vi håper å ha.

Rollebasert tilgang. Gjennomgang av sensitive temaer bygget inn i pipelinen, ikke skrudd på i etterkant. Kildeforankret arkitektur og krysskontroll mot flere kilder som hindrer AI-en i å skrive det den ikke kan dokumentere. Subprocessors listet her etter kategori og navngitt i sin helhet i DPA-en. Det HermesAI ikke kan stå inne for ennå, hevder vi heller ikke.

Administrert infrastruktur

Sikkerhetskritiske lag kjører på administrerte tjenester fremfor egenutviklet infrastruktur. Hver leverandør har ansvar for sitt eget lag. Konkrete leverandørnavn og DPA-vilkår er tilgjengelige før kontrakt.

Autentisering

Autentisering og sesjonshåndtering

Autentisering, sesjoner og organisasjonsmedlemskap delegeres til en administrert identitetsleverandør. HermesAI lagrer eller håndterer ikke rå sesjonslegitimasjon.

Fakturering

Fakturering og abonnementslivssyklus

Betalingsprosessering, abonnementsstatus og checkout-flyter kjører via en administrert faktureringsleverandør. Kortdata berører aldri HermesAI-servere.

Database

Primærdatabase

Applikasjonstilstand, leietakerdata og redaksjonelle poster ligger i et administrert Postgres-cluster. Sikkerhetskopier, failover og kryptering i ro håndteres av leverandøren.

Cache og rate limiting

Rate limiting og forbigående tilstand

Tilstand i minnet for rate limiting, låsing av feed-prosessering og kortlivede arbeidsflyt-flagg. Ingen vedvarende sensitive data lagres her.

Compute og hosting

Compute og hosting

Applikasjons-compute kjører på en administrert hostingplattform. Nettverksisolasjon, DDoS-beskyttelse og TLS-terminering er plattformstandarder.

CDN og edge

CDN og edge-nettverk

Statiske ressurser og edge-ruting proxes gjennom et administrert CDN. WAF-regler og bot-beskyttelse anvendes på nettverkslaget.

Produktkontroller

Kontroller implementert på applikasjonslaget, synlig i gjeldende kodebase.

01

Rollebaserte produktområder

Admin-ruter og tenant-ruter for newsroom er adskilt på middleware-nivå. Plattformsidens roller for drift er atskilt fra tenantsidens redaksjonelle roller. Tilgang håndheves server-side ved hver forespørsel.

02

Verifisering av webhook-signaturer

Webhook-hendelser for fakturering og identitet verifiseres mot HMAC-signaturer fra de respektive leverandørene før behandling. Replayed eller manipulerte payloads avvises. Idempotency-nøkler hindrer duplikatbehandling av samme hendelse.

03

Hashing av API-nøkler

Tenant-integrasjonsnøkler lagres som hashede verdier med trunkerte maskerte prefikser for visning. Hele nøkkelen vises kun én gang ved opprettelse og kan ikke hentes fra plattformen etter det.

04

Nettverkskontroller for webhook-mål

Utgående webhook-endpoints som sendes inn av tenants, valideres mot reserverte og ikke-offentlige adresseområder før bruk. Dette blokkerer SSRF-angrep som retter seg mot interne nettverksadresser via webhook-leveringssystemet.

05

Driftsregistreringer

Webhook-payloads for fakturering og identitet arkiveres for revisjon og hendelsesgransking. Disse registreringene støtter feilsøking uten å være avhengig kun av eksterne leverandørers logger.

Hva vi ikke hevder

Sikkerhetssider overdriver ofte. Dette er det denne siden ikke hevder.

01

Ingen sertifisering med mindre den er publisert.

HermesAI har ikke SOC 2, ISO 27001 eller tilsvarende sertifiseringer på dette stadiet. Hvis noen oppnås, vil de bli publisert eksplisitt. En sikkerhetsside er ikke en sertifisering.

02

Ingen offentlig bug bounty.

Det finnes ikke noe aktivt offentlig bug bounty-program. Sikkerhetsforskere bør rapportere funn til sikkerhetskontakten. Rapporter gjennomgås; belønninger loves ikke.

03

Ingen oppetids-SLA med mindre den er kontraktfestet.

Free-, Plus- og Pro-planene har ingen oppetidsgaranti. Enterprise-kontrakter kan definere SLA-er – se den spesifikke avtalen.

04

Ingen forhindring av redaksjonelle AI-feil.

Produktet genererer AI-artikler. Disse kan inneholde faktafeil, feilattribusjoner eller mangelfull dekning. Redaksjonell gjennomgang før publisering er en designforutsetning, ikke et valgfritt trinn.

05

Ingen erstatning for utgivers rettighetsgjennomgang.

Sikkerhetskontroller dekker ikke innholdslisensiering, attribusjonsrettigheter eller syndikeringsvilkår. Dette er separate juridiske og kommersielle forhold.

Funnet en sikkerhetsfeil?

Rapporter via sikkerhetskanalen. Inkluder berørt sti, reproduksjonstrinn og din estimerte påvirkning. Rapporter gjennomgås – det finnes ikke noe offentlig bounty-program.

Ingen sikkerhetsinnboks publisert ennå.

Alle kontaktkanaler →
HermesAI

En spesialbygd AI-newsroom. Overvåker en katalog med 1 400+ kilder kontinuerlig, klynger samme sak på tvers av medier, krysskontrollerer hver påstand og skriver lokaliserte artikler redaktøren din faktisk vil bruke.

XLinkedIn

Produkt

  • Priser
  • Partnere
  • Sikkerhet
  • Kontakt

Selskap

  • Om oss
  • Karriere

Juridisk

  • Vilkår
  • Personvern
  • Informasjonskapsler
  • GDPR
  • AI-retningslinjer

© 2026 HermesAI. Alle rettigheter forbeholdt.

Din flerspråklige AI-newsroom.