Personvernerklæring

Et brukernavn (kan være fiktivt), et passord som du selv velger, og et offentlig navn slik at dine kontakter kjenner deg igjen (kan også være fiktivt). Ingen e-post. Ingen telefon. Ingen data som kobler deg til en ekte person.

For en utfyllende detaljering av alle felt vi lagrer, hvordan vi beskytter dem og hvor lenge vi tar vare på dem, se vårt Manifest for Åpenhet

Behandlingen av dine data er basert på følgende juridiske grunnlag i EUs personvernforordning (GDPR)

• Gjennomføring av kontrakten ( Art. 6.1.b RGPD ): Kontodataene dine er nødvendige for å gi deg tjenesten.
• Legitim interesse ( Art. 6.1.f RGPD ): Anonym måling av besøk på presentasjonssiden (ingen informasjonskapsler, ingen IP, ingen identifikasjon).
• Juridisk forpliktelse ( Art. 6.1.c RGPD ): Oppbevaring av registreringer av betalinger for skatteforpliktelser.

Hver datatype har en forskjellig oppbevaringsperiode, detaljert i vårt Manifest for Åpenhet. Oppsummert:

• Kontodata: til du sletter kontoen din.
• Sesjoner: maksimalt 24 timer.
• Tilkoblingssignaler: maksimalt 60 sekunder, kun i minnet.
• Tilkoblingsforespørsler: maksimalt 3 dager.
• Betalingsoppføringer: permanent (skattemessig forpliktelse). Disse oppføringene er helt anonyme: de inneholder kun beløp og dato for innbetaling, for å kunne utstede tilsvarende salgskvittering. De inkluderer ingen data som kobler betalingen til en spesifikk bruker.

Alle våre servere er lokalisert i Tyskland

Betalinger behandles via eksterne betalingsløsninger. Disse løsningene kan behandle transaksjonsdata i samsvar med sine egne personvernregler. Vi mottar eller lagrer ikke betalerens personopplysninger — vi mottar kun en bekreftelse og et beløp.

På presentasjonssiden (ikke i applikasjonen) utfører vi en anonym måling av besøk på egne servere hostet i Tyskland. Uten informasjonskapsler, uten IP-adresse, uten å identifisere noen og uten å dele data med tredjeparter.

Juridisk grunnlag:

Rett til innsigelse:

Du kan slette kontoen din og alle dine tilknyttede tekniske data med ett klikk. Ingen spørsmål.

I samsvar med GDPR har du rett til:

• Tilgang: Vet hvilke data vi har om deg. Alt er detaljert i Transparency Manifesto; Kontakt oss for din spesifikke konto.
• Rettelse: Du kan endre ditt offentlige navn og passord direkte fra applikasjonen.
• Sletting: Slett kontoen din og alle tilhørende data med ett klikk, fra innstillingene.
• Portabilitet: Solo2 tilbyr eksport av krypterte sikkerhetskopier som inneholder alle dine lokale data.
• Begrensning av behandling: I praksis er dataene vi har om deg så minimale at det knapt er noe å begrense. Men hvis du ber om det, vil vi begrense all behandling som ikke er strengt nødvendig for å opprettholde tjenesten.
• Innvending: Du kan protestere mot behandlingen når som helst. For anonym analyse, deaktiver ganske enkelt JavaScript.

For å utøve noen av disse rettighetene, skriv til oss på hola@menzuri.com

Hvis du mener at vi ikke har håndtert dine rettigheter på riktig måte, kan du sende en klage til det spanske datatilsynet (AEPD)

Solo2 bruker kryptografi som er testet av det akademiske miljøet, ikke egne ordninger. Primitivene er de samme som validerer fagfellevurderte publikasjoner og som har vært i bruk i årevis på global skala i andre systemer.

• X3DH (Extended Triple Diffie-Hellman) for den første sesjonsetableringen mellom to kontakter: begge utleder en delt nøkkel uten å ha utvekslet noen hemmelighet tidligere.
• Double Ratchet for løpende kryptering i hver samtale. Hver melding krypteres med en forskjellig nøkkel, som utledes og slettes umiddelbart etter kryptering av den neste.
• ChaCha20-Poly1305 for autentisert kryptering av hver enkelt melding, innenfor Double Ratchet. Data i ro — ditt lokale hvelv og sikkerhetskopier — er kryptert med AES-256-GCM. Begge er bredt utrullede og validerte autentiserte krypteringer (AEAD).
• Argon2id for å utlede, fra passordet ditt, nøkkelen som pakker inn (krypterer) hovednøkkelen din. Motstandsdyktig mot angrep med spesialisert maskinvare (GPUs, ASICs).
• Curve25519 og Ed25519 for krypterings- og signaturnøkkelparene. Moderne elliptiske kurver, uten mistenkelige «magiske konstanter».

En nøkkelegenskap som tilbys av disse primitivene er forward secrecy: hvis en sesjonsnøkkel blir kompromittert, forblir tidligere meldinger uleselige. Og den komplementære egenskapen, post-compromise security: samtalen «selv-heler» så snart nye meldinger utveksles.

Det finnes ingen masternøkkel, bakdør eller gjenopprettingsmekanisme som lar oss lese meldingene dine. Dette inkluderer tilfellet med en rettskjennelse: teknisk sett kan vi ikke dekryptere det vi ikke har.

En seriøs personvernerklæring er ikke bare en liste over hva vi gjør: det er også en tydelig liste over hva vi aldri vil gjøre.

• Vi trener ikke AI-modeller med meldingene dine. Det er ikke et frivillig løfte: det er en konsekvens av alt det ovennevnte. Vi har dem ikke på noe tidspunkt — klausulen som i andre erklæringer høres betryggende ut, er her iboende sann i kraft av konstruksjonen.
• Vi selger ikke reklame. Solo2 er en betalt tjeneste, ikke monetisert gjennom annonser. Dine data er ikke vår forretningsmodell.
• Vi bygger ikke profiler for bruk, atferd, plassering, kontakter eller interesser. Vi har heller ikke en sosial graf som kobler noen brukere til andre.
• Vi deler ikke data med tredjeparter for kommersielle formål. Det eneste unntaket er betalingsporter, som kun mottar transaksjonsbeløpet.
• Vi bruker ikke sporingskapsler, piksler, nettleserfingeravtrykk eller eksterne tjenester som Google Analytics eller Facebook Pixel.
• Vi registrerer ikke IP-adressen din permanent. Tilkoblingen trenger en midlertidig IP, men den lagres ikke knyttet til kontoen din.

I samsvar med artikkel 28 i GDPR er underdatabehandlerne som for tiden er involvert i leveringen av tjenesten følgende. Hvis en ny underdatabehandler blir inkludert på noe tidspunkt, vil denne listen bli oppdatert og vi vil kommunisere endringen til brukerne før den trer i kraft.

• Hetzner Online GmbH (Tyskland) — Serverinfrastruktur med datasentre i EU. Samsvarer med GDPR og ISO 27001-sertifiseringer.
• Infomaniak (Sveits) — Bedriftens e-post. Data hostet i Sveits, et land med en beslutning om tilstrekkelig vern fra EU-kommisjonen.
• Betalingsporter — Behandling av betalinger. De mottar ikke brukerens personopplysninger, bare beløpet og transaksjonsvalutaen.

Når vi mottar en gyldig rettskjennelse utstedt av en kompetent spansk eller europeisk myndighet, følger vi den. Det interessante spørsmålet er ikke om vi ville følge den, men hva vi faktisk kunne utlevere.

Solo2s tekniske design begrenser drastisk hva vi kan bidra med til en forespørsel. Vi har ikke tilgang til innholdet i meldingene (ende-til-ende-kryptering), vi lagrer ikke metadata om hvem som snakker med hvem, vi lagrer ikke tilkoblingshistorikk og vi lagrer ikke IP-adresser knyttet til kontoer.

Det vi kunne utlevere, hvis det skulle skje, er minimumsdataene knyttet til en konto som beskrevet i Transparensmanifestet: brukernavn og offentlig navn (begge kan være fiktive), en hash av passordet og en masternøkkel kryptert med det passordet, som for oss er en ugjennomsiktig blob.

Denne policyen gjelder kun for kompetente myndigheter i Spania og EU. Vi svarer ikke på forespørsler fra rettshåndhevende myndigheter i tredjeland uten en mellomliggende europeisk juridisk kanal.