Du anger en domän. Du klickar på skanna. Nittio sekunder senare har du en compliancerapport som täcker GDPR, ePrivacy, NIS2 och säkerhetssårbarheter, med bevis för varje fynd. En webbplats-complianceskanning som skulle ta en konsult veckor körs på tiden det tar att göra kaffe.
Men vad händer egentligen under de 90 sekunderna? Här är hela sekvensen.
Fas 1: Infrastrukturspaning
Innan en enda sida laddas undersöker Vakteye domänens infrastruktur. Fyra uppgifter startar samtidigt.
- DNS-upplösning och CNAME-kedjeanalys: följer aliaskedjor för att upptäcka maskerade spårare som gömmer sig bakom förstapartssubdomäner
- TLS-handskakning: certifikatvaliditet, protokollversion, krypteringsstyrka och HSTS-tillämpning
- E-postsäkerhet: SPF, DKIM, DMARC och BIMI-poster kontrolleras via DNS-förfrågningar
- DNS-säkerhet: DNSSEC-validering och CAA-postkontroll
Dessa kontroller sker på nätverksnivå. Ingen webbläsare behövs. De slutförs på sekunder och avslöjar redan fynd som utgångna certifikat, saknad DNSSEC eller domäner sårbara för e-postförfalskning.
Fas 2: Baslinjeladdning och kakinventering
En webbläsare laddar din webbplats utan att interagera med någon samtyckesbanner. Denna baslinjebild fångar varje kaka som sätts och varje nätverksförfrågan som skickas innan användaren gör ett val.
Varje kaka klassificeras mot en databas med över 400 000 kända spårningsdomäner. Syfte, leverantör och jurisdiktion kopplas automatiskt. Kakor från okända tredjeparter flaggas för manuell granskning och tas aldrig tyst bort.
Om spårningskakor dyker upp under baslinjeladdningen, innan någon samtyckesinteraktion, är det redan ett brott mot ePrivacy-direktivets artikel 5(3). Vakteye fångar detta med CERTAIN-konfidens eftersom beviset är beteendemässigt: kakan existerar innan samtycke gavs.
Fas 3: Testning av samtyckesbanner
Vakteye testar din samtyckesbanner automatiskt. Den hittar avvisningsknappen, klickar på den och kontrollerar om kakor och spårare faktiskt slutar. Detta fungerar med över 2 800 samtyckshanteringsplattformar.
Avvisningsflödet registrerar en kakdiff: vad ändrades efter att avvisa klickades? Kakor som kvarstår är överträdelser. Vakteye rensar sedan alla kakor, väntar tre sekunder och kontrollerar igen för att upptäcka zombiekakor som återuppstår efter radering.
En separat ren webbläsarkontext kör acceptflödet. Trippeljämförelsen (baslinje mot avvisning mot accept) avslöjar samtycksteater: banners som ser funktionella ut men inte ändrar något oavsett användarens val.
- Google Consent Mode v2-övervakning: upptäcker analyspingar som skickas efter avvisning
- Förmarkerade berättigade intressen: inspekterar TCF v2.2-växlar för förmarkerat tillstånd
- Leverantörssamtycksgranskning: jämför nätverksförfrågningar mot CMP-deklarerade leverantörslistor
- Flersidestestning: samtyckesbeteende verifierat på upp till 10 sidor, inte bara startsidan
Fas 4: Säkerhets- och sårbarhetsskanning
Medan samtyckestestning pågår arbetar säkerhetsskannrar parallellt. CVE- och felkonfigurationskontroller körs mot kända sårbarhetsdatabaser. Dynamisk applikationssäkerhetstestning täcker SQL-injektion, cross-site scripting, CSRF och headeranalys. Fingeravtrycksdetektering letar efter canvas-, WebGL- och AudioContext-sonder, plus 17 kända sessionsåtergivningsleverantörer som Hotjar, FullStory och Microsoft Clarity.
Formuläranalys identifierar insamling av särskilda kategorier av personuppgifter (hälsa, religion, etnicitet) som utlöser GDPR artikel 9-skyldigheter. Dataresidens-kontroller flaggar USA-överföringar utan kompletterande skyddsåtgärder efter Schrems II. Molnleverantörsdetektering identifierar AWS-, Azure- och GCP-infrastruktur. Tillgänglighet kontrolleras mot WCAG 2.1 AA-standarden.
Fas 5: Motsägelsedetektering
Här blir det intressant. AI läser din integritetspolicy och extraherar varje påstående: "Vi använder inte tredjepartsspårning." "Data lagras inom EU." "Vi sätter bara nödvändiga kakor."
Sedan jämförs dessa påståenden mot vad skannern faktiskt hittade. Om din policy säger ingen tredjepartsspårning men skanningen upptäckte 14 annonskakor från 8 leverantörer, det är en motsägelse. Var och en kopplas till specifika GDPR-artiklar och paras med bevisen som styrker den.
Motsägelsedetektering är inte mönstermatchning. Det är AI-driven jämförelse mellan naturligt språk i policypåståenden och beteendemässiga skanningsbevis. Skannern bevisar vad som händer. AI:n tolkar vad som lovades.
Fas 6: Verifiering och rapportering
Varje fynd får en konfidensnivå. CERTAIN innebär beteendemässigt bevis: en kaka existerar, en header saknas, en port är öppen. FIRM innebär flera samstämmiga signaler. TENTATIVE innebär en enskild mönstermatchning som motiverar manuell granskning. UNVERIFIED innebär att skannern inte kunde reproducera problemet.
Träffsäkerheten förbättras över tid. När manuella granskare korrigerar ett fynd tillämpas den korrigeringen automatiskt på framtida skanningar.
Slutresultatet: en compliancerapport med juridiska kopplingar, åtgärdsrekommendationer och nedladdningsbara forensiska bevis inklusive webbläsarsessionsinspelningar och HAR-inspelningar. Om skanningen är ren utfärdas ett verifierbart compliancecertifikat.
Omfattande kontroller, under två minuter
Alla kontroller körs parallellt från ett EU-datacenter. De flesta skanningar slutförs på under två minuter. Resultatet är en rapport som täcker DNS, TLS, kakor, samtycke, fingeravtryck, sårbarheter, integritetspolicy-motsägelser, dataresidens, tillgänglighet och mer.
Inga konsulter, inga frågeformulär och ingen väntan i veckor på resultat.
Se det själv
Ange din domän och se skanningen köra. Resultat på 90 sekunder, bevis för varje fynd.
Testa nu, tar 90 sekunder