Integritetspolicy

Ett användarnamn (kan vara påhittat), ett lösenord som du väljer, och ett offentligt namn så att dina kontakter kan känna igen dig (kan också vara påhittat). Ingen e-post. Inget telefonnummer. Inga uppgifter som kopplar dig till en verklig person.

För en uttömmande beskrivning av alla fält vi lagrar, hur vi skyddar dem och hur länge vi bevarar dem, se vårt Transparensmanifest

Behandlingen av dina uppgifter grundar sig på följande rättsliga grunder i den allmänna dataskyddsförordningen (GDPR)

• Utförande av kontraktet ( Art. 6.1.b RGPD ): Dina kontouppgifter är nödvändiga för att tillhandahålla tjänsten till dig.
• Berättigat intresse ( Art. 6.1.f RGPD ): Anonym mätning av besök på presentationssidan (inga cookies, ingen IP, ingen identifikation).
• Rättslig skyldighet ( Art. 6.1.c RGPD ): Bevarande av register över betalningar för skatteförpliktelser.

Varje typ av data har en specifik lagringsperiod, som beskrivs i vårt Transparensmanifest

• Kontouppgifter: tills du raderar ditt konto.
• Sessioner: maximalt 24 timmar.
• Anslutningssignaler: maximalt 60 sekunder, endast i minnet.
• Länkningsförfrågningar: maximalt 3 dagar.
• Betalningsregister: permanent (skattemässig skyldighet). Dessa register är helt anonyma: de innehåller bara beloppet och datumet för betalningen, för att kunna utfärda motsvarande kvitto. De innehåller inga uppgifter som kopplar betalningen till en specifik användare.

Alla våra servrar finns i Tyskland

Betalningar behandlas via externa betalningslösningar. Dessa kan behandla transaktionsdata enligt sina egna integritetspolicyer. Vi tar varken emot eller lagrar personuppgifter om betalaren — vi får bara en bekräftelse och ett belopp.

På presentationssidan (inte i applikationen) utför vi anonym besöksmätning på egna servrar i Tyskland. Utan kakor, utan IP-adress, utan att identifiera någon och utan att dela data med tredje parter.

Rättslig grund:

Rätt att invända:

Du kan radera ditt konto och alla dina tillhörande tekniska data med ett enda klick. Utan frågor.

Enligt GDPR och den spanska LOPDGDD har du rätt till:

• Åtkomst: Vet vilken data vi har om dig. Allt är detaljerat i Transparensmanifestet; Kontakta oss för ditt specifika konto.
• Rättelse: Du kan ändra ditt offentliga namn och lösenord direkt från applikationen.
• Radering: Radera ditt konto och all tillhörande data med ett klick, från inställningarna.
• Portabilitet: Solo2 erbjuder export av krypterade säkerhetskopior som innehåller all din lokala data.
• Begränsning av behandling: I praktiken är uppgifterna vi har om dig så minimala att det knappt finns något att begränsa. Men om du begär det kommer vi att begränsa all behandling som inte är strikt nödvändig för att upprätthålla tjänsten.
• Invändning: Du kan när som helst invända mot behandlingen. För anonym analys, inaktivera helt enkelt JavaScript.

För att utöva någon av dessa rättigheter, skriv till oss på hola@menzuri.com

Om du anser att vi inte har hanterat dina rättigheter korrekt kan du lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY)

Solo2 använder kryptografi som är beprövad av forskarvärlden, inte egna system. Primitiverna är desamma som valideras i referentgranskade publikationer och som har använts i åratal på global skala i andra system.

• X3DH (Extended Triple Diffie-Hellman) för den första sessionsetableringen mellan två kontakter: båda härleder en delad nyckel utan att någonsin ha utväxlat någon hemlighet tidigare.
• Double Ratchet för löpande kryptering i varje konversation. Varje meddelande krypteras med en ny nyckel som härleds och raderas omedelbart efter att nästa meddelande har krypterats.
• ChaCha20-Poly1305 för den autentiserade krypteringen av varje enskilt meddelande, inom Double Ratchet. Data i vila — ditt lokala valv och säkerhetskopior — krypteras med AES-256-GCM. Båda är brett distribuerade och validerade autentiserade krypteringar (AEAD).
• Argon2id för att härleda, från ditt lösenord, nyckeln som omsluter (krypterar) din huvudnyckel. Motståndskraftig mot attacker med specialiserad hårdvara (GPUs, ASICs).
• Curve25519 och Ed25519 för krypterings- och signaturnyckelparen. Moderna elliptiska kurvor, utan misstänkta «magiska konstanter».

En viktig egenskap som dessa primitiver erbjuder är forward secrecy: om en sessionsnyckel röjs förblir tidigare meddelanden oläsbara. Och den kompletterande egenskapen, post-compromise security: konversationen «läker sig själv» så snart nya meddelanden utväxlas.

Det finns ingen masternyckel, bakdörr eller återställningsmekanism som låter oss läsa dina meddelanden. Detta gäller även vid ett domstolsbeslut: tekniskt sett kan vi inte dekryptera det vi inte har.

En seriös integritetspolicy är inte bara en lista över vad vi gör: det är också en tydlig lista över vad vi aldrig kommer att göra.

• Vi tränar inte AI-modeller med dina meddelanden. Det är inte ett frivilligt löfte: det är en konsekvens av allt ovanstående. Vi har dem inte vid någon tidpunkt — klausulen som i andra policyer låter betryggande är här inneboende sann på grund av konstruktionen.
• Vi säljer inte annonser. Solo2 är en betaltjänst, inte monetariserad genom annonser. Din data är inte vår affärsmodell.
• Vi bygger inte profiler för användning, beteende, plats, kontakter eller intressen. Vi har inte heller någon social graf som kopplar ihop vissa användare med andra.
• Vi delar inte data med tredje part i kommersiella syften. Det enda undantaget är betalväxlar, som endast tar emot transaktionsbeloppet.
• Vi använder inte spårningskakor, pixlar, webbläsarfingeravtryck eller externa tjänster som Google Analytics eller Facebook Pixel.
• Vi registrerar inte din IP-adress permanent. Anslutningen behöver en tillfällig IP, men den sparas inte kopplad till ditt konto.

Vid tillämpning av artikel 28 i GDPR är de underleverantörer som för närvarande är involverade i tillhandahållandet av tjänsten följande. Om en ny underleverantör läggs till vid något tillfälle kommer denna lista att uppdateras och vi kommer att meddela användarna om ändringen innan den träder i kraft.

• Hetzner Online GmbH (Tyskland) — Serverinfrastruktur med datacenter i EU. Uppfyller GDPR och ISO 27001-certifieringar.
• Infomaniak (Schweiz) — Företags-e-post. Data hostad i Schweiz, ett land med beslut om adekvat skyddsnivå från EU-kommissionen.
• Betalväxlar — Behandling av betalningar. De tar inte emot användarens personuppgifter, endast belopp och transaktionsvaluta.

När vi får ett giltigt domstolsbeslut utfärdat av en behörig spansk eller europeisk myndighet, följer vi det. Den intressanta frågan är inte om vi skulle följa det, utan vad vi faktiskt skulle kunna lämna ut.

Solo2:s tekniska design begränsar drastiskt vad vi kan tillhandahålla vid en begäran. Vi har inte tillgång till innehållet i meddelandena (ände-till-ände-kryptering), vi sparar inte metadata om vem som pratar med vem, vi lagrar inte anslutningshistorik och vi sparar inte IP-adresser kopplade till konton.

Det vi skulle kunna lämna ut, om det skulle bli aktuellt, är den minsta mängden data kopplad till ett konto enligt beskrivningen i Transparensmanifestet: användarnamn och offentligt namn (båda kan vara påhittade), en hash av lösenordet och en masternyckel krypterad med det lösenordet, som för oss är en ogenomskinlig blob.

Denna policy gäller endast behöriga myndigheter i Spanien och EU. Vi svarar inte på begäranden från brottsbekämpande myndigheter i tredjeländer utan en mellanliggande europeisk juridisk kanal.