Sikkerhet og åpenhet.

Rollebasert tilgang med Supabase Auth og Row Level Security.

Tenant-skille i databasearkitektur for kjøreskoledata.

Ingen service-role nøkkel i frontend eller statisk deploy.

GitHub Actions henter deploy- og Supabase-verdier fra secrets.

Drive Systems opptrer som databehandler for elev- og lærerdata på vegne av kjøreskolen.

Kjøreskolen er behandlingsansvarlig for egne elever/lærere.

Personvernerklæring er publisert på drivesystems.no/personvern.

Databehandleravtale og slette-/innsynsrutiner må ferdigstilles før bred produksjonsutrulling.

Drive Systems er ikke ISO 27001-sertifisert per nå.

Eventuelle sertifiseringer publiseres her først når de er gjennomført og dokumentert.

Leverandører kan ha egne sertifiseringer. Disse må kontrolleres hos hver leverandør.

Data lagres i Supabase/Postgres med RLS-policyer.

Kjøreskoledata knyttes til tenant_id der det er relevant.

Supporthenvendelser bør ikke inneholde sensitive elevopplysninger i fritekst.

Backup, retention og eksportpolicy må dokumenteres videre før full drift.

Det er ikke publisert uavhengig penetrasjonstest for Drive Systems ennå.

Intern hardening er startet med RLS, secret-håndtering og separat adminflate.

Ekstern test bør planlegges før store kunder eller sensitive produksjonsdata.

Frontend bygges statisk med Next.js og deployes til FTP-hosting.

Database, Auth og API leveres via Supabase.

E-post: Resend. SMS: Twilio. Bokføring/fakturering: Tripletex. Betaling: Vipps MobilePay.

Driftsstatus vises på status.drivesystems.no.