Cursor
- Leverantör
- Anysphere, Inc. (USA)
- Kategori
- development_tools
- Webbplats
- https://cursor.com
- Hosting
- **AWS-hostad US-backend.** Ingen angiven EU-data-residency-region. Requests går dev-maskin → Cursors AWS-backend → modell-leverantör.
Vad det är
AI-först kodeditor (VS Code-fork) med AI-completion (Tab), chat, multi-fil-/agent-redigering, kodbas-bred kontext och val av modell från flera leverantörer.
Typisk dataaccess
- Kod i öppnade filer + kodbas-kontext
- Prompts, editor-actions, kod-snippets
- Vid agent-läge: möjlighet att göra större ändringar i kodbasen
EU AI Act-bedömning
Risknivå: Limited
Motivering: Kodassistent — Article 50:s innehållsmärkning är i stort sett N/A; chatbot-transparens minimal. Inte Annex III i normal användning. Ingen EU AI Act-position publicerad (NOT FOUND).
GDPR-överväganden
Datalagring: AWS US-backend. Ingen EU-residency-region (NOT FOUND).
Datatransfer: US-behandling; EU SCC Module 2 + UK IDTA i DPA; tillsynsmyndighet = irländska DPC; styrande lag Irland.
DPA tillgänglig: Ja: https://cursor.com/terms/dpa. Sub-processorer: https://trust.cursor.com/subprocessors — OpenAI, Anthropic, Google (Vertex), Fireworks.ai, Together AI, Baseten, AWS.
Träningsstance (verifierad — Privacy Mode): Med Privacy Mode på: "Zero data retention will be enabled for our model providers… None of your code will ever be trained on by us or any third-party." Med Privacy Mode AV förbehåller sig Cursor rätten att "use and store codebase data, prompts, editor actions, code snippets… to improve our AI features and train our models." Privacy Mode är inte på som default om den inte enforce:as på team-/enterprise-nivå.
Certifieringar: SOC 2 Type II (rapport på begäran), GDPR. ISO 27001/ISO 42001 ej hittade (NOT FOUND).
Särskilda risker:
- Privacy Mode AV som default → kod/prompts kan användas för träning
- US-hosting, ingen EU-residency
- Multi-provider (OpenAI/Anthropic/Google/Fireworks/Together/Baseten) → bred sub-processor-yta
- Kod med hemligheter/klientdata skickas till backend + modell-leverantör
Vanliga risker
- Utvecklare kör utan Privacy Mode → kod tränas på
- Klient-PII eller hemligheter i kod skickas till modell-leverantörer
- Kodbas-bred kontext skickar mer än utvecklaren tänker på
- Agent-läge gör autonoma ändringar
Rekommenderade mitigeringar
- Enforce:a Privacy Mode (ZDR) på team-/enterprise-nivå — den är AV som default
- Förbjud klient-PII/hemligheter i kod som Cursor behandlar; använd pre-commit secret-scanning
- Använd Enterprise-plan med audit logs och admin-enforcad Privacy Mode
- Dokumentera att Cursor är US-hostat utan EU-residency; väg mot känsligheten i koden
- Begär SOC 2-rapport; notera avsaknad av ISO 27001
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Internutveckling av byrå-egen mjukvara/automation (med Privacy Mode enforced)
- Excel-makro-/skript-generering mot anonymiserad/aggregerad data
- Experiment/utbildning utan klientdata
Får INTE användas för:
- Kod som behandlar klient-PII/känsliga affärsuppgifter utan Privacy Mode och riskbedömning
- Något i den ordinarie revisions-/redovisningsprocessen (fel verktygskategori)
- Säkerhetskänslig kod utan grundlig human review
Särskild försiktighet vid:
- Privacy Mode-status (AV som default — måste enforce:as)
- Kod som innehåller klientdata/hemligheter
- Agent-/multi-fil-läge med autonoma ändringar
Källor
- Cursor data use (Privacy Mode, leverantörer): https://cursor.com/data-use
- Cursor security (US-hosting): https://cursor.com/security
- Cursor DPA (EU SCC, irländska DPC): https://cursor.com/terms/dpa
- Cursor sub-processorer: https://trust.cursor.com/subprocessors
- Saknas: EU-data-residency, ISO 27001/42001, Article 50-position
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →