Distribuerede teams behøver ikke at betyde højere risiko. Vi kører projekter i et kontrolleret, reviderbart setup, der reducerer risikoen for dataeksponering og begrænser adgangen til det, der er strengt nødvendigt for at udføre arbejdet.
Denne side forklarer de praktiske kontroller, vi bruger på tværs af adgang, kode, infrastruktur og mennesker.
Hvad du får
- Kontrolleret adgang til projektsystemer, tildelt efter rolle og fjernet, når det ikke længere er nødvendigt
- Klar adskillelse af miljøer (udvikling, staging, produktion)
- Sikker håndtering af hemmeligheder og legitimationsoplysninger
- Sikkerhedstjek indbygget i leverancen (kodegennemgang, scanning, CI/CD-kontroller)
- Politikker for distribuerede teams (enheder, lokal lagring, regler for fjernarbejde)
- Proces for hændelseshåndtering og gennemsigtig rapportering, hvis noget går galt
- Forsikringsdækning for sikkerhedshændelser (detaljer tilgængelige efter anmodning)
1. Adgangskontrol og identitet
Vi behandler adgang som en styret proces, ikke en engangsopsætning.
- MFA er påkrævet for kritiske systemer (repositories, cloud, CI/CD, password manager)
- Adgang tildeles efter rolle (mindste privilegium) og gennemgås regelmæssigt
- Tidsbegrænset adgang kan bruges til følsomme systemer
- Offboarding håndteres samme dag - adgang fjernes, hemmeligheder udskiftes om nødvendigt
Hvad vi kan levere efter anmodning:
- en skabelon til projektadgangsmatrix
- en liste over anvendte systemer og ejerskab (hvem der kan tildele og godkende adgang)
2. Håndtering af hemmeligheder og legitimationsoplysninger
Hemmeligheder er en af de mest almindelige kilder til datalækager. Vi minimerer eksponering gennem design.
- Ingen hemmeligheder i kildekode, tickets eller chat
- Hemmeligheder opbevares i en dedikeret hemmelighedshåndtering eller en aftalt "vault"-tilgang
- Legitimationsoplysninger udskiftes efter tidsplan og når risikoen ændres
- Produktionshemmeligheder er adskilt fra udvikling og er begrænset til kun godkendt personale
3. Sikker udviklingslivscyklus (SDLC)
Sikkerhed er en del af leverancen, ikke et tillæg efter lancering.
- Obligatorisk kodegennemgang for produktionsændringer
- Filialbeskyttelsesregler og kontrolleret fletningsproces
- Automatiseret scanning for kendte sårbarheder i afhængigheder
- Valgfri SAST/DAST baseret på projektkrav
- Logning og revisionsmulighed for ændringer i CI/CD og infrastruktur
4. Miljøadskillelse og infrastruktursikkerhed
Vi holder systemer segmenterede for at reducere virkningen af fejl og begrænse eksponering.
- Separate miljøer for udvikling, staging og produktion
- Infrastruktur konfigureret med adgang med mindste privilegium og stærke netværksgrænser
- Kryptering under transmission (TLS) og kryptering i hvile, hvor platformen understøtter det
- Sikkerhedskopiering og genoprettelsespraksis i overensstemmelse med kundens krav
Hvis projektet kræver stærkere isolation:
- fjernudviklingsmiljø (VDI eller kontrolleret build-miljø)
- strengere netværkspolitikker og IP-tilladelseslister
- dedikerede cloud-konti eller separation på lejer-niveau
5. Kontroller for distribuerede teams
Her forbliver mange leverandører vage. Vi er specifikke.
- Enheder skal opfylde en baseline (diskkryptering, automatisk lås, opdateret OS, malwarebeskyttelse)
- Klientdata lagres ikke lokalt, medmindre det er udtrykkeligt godkendt og kontrolleret
- Arbejde udføres kun via godkendte værktøjer (repositories, ticketing, storage)
- Regler for offentligt Wi-Fi og VPN-krav kan håndhæves baseret på klientpolitik
- Adgangsgennemgange og periodiske tjek sikrer, at baseline forbliver intakt
6. Datahåndtering og fortrolighed
Vi minimerer mængden af følsomme data, der anvendes under udvikling.
- Dataminimering: kun det, der er nødvendigt for at bygge og teste
- Maskering og anonymisering for udviklingsmiljøer, når det er muligt
- Syntetiske datamuligheder for ikke-produktionsprøver
- Klare regler for, hvem der kan få adgang til hvilke data, og hvor de kan lagres
Juridiske og kontraktuelle beskyttelser er tilgængelige:
- NDA og fortrolighedsforpligtelser for hele leveranceteamet
- Vilkår for tildeling af intellektuelle rettigheder (IP)
- Databehandleraftale (DPA) for GDPR-relateret behandling (hvis relevant)
- underleverandørregler og -restriktioner (hvis underleverandører anvendes)
7. Overvågning, revision og hændelseshåndtering
Selv med stærke kontroller skal hændelser håndteres hurtigt og gennemsigtigt.
- Adgangs- og aktivitetslogfiler for kritiske systemer, hvor det understøttes
- Regelmæssige adgangsgennemgange og oprydninger
- Proces for hændelseshåndtering: inddæmning, undersøgelse, kommunikation, afhjælpning
- Rapport efter hændelse med korrigerende handlinger, når relevant
Forsikringsdækning
Vi opretholder forsikringsdækning designet til at hjælpe med at håndtere den økonomiske indvirkning af visse sikkerhedshændelser. Dækningsvilkår, grænser og anvendelighed afhænger af policen og hændelsens karakter.
Detaljer er tilgængelige efter anmodning.
Sikkerhedspakke (tilgængelig efter anmodning)
For kunder med strengere indkøbs- eller compliance-processer kan vi dele en kort sikkerhedspakke, der kan inkludere:
- SDLC-oversigt
- adgangsmatrix-skabelon
- oversigt over datahåndtering
- one-pager om hændelseshåndtering
- liste over værktøjer og miljøer brugt på projektet
- forsikringsbekræftelse og -oversigt (efter anmodning)
SDLC-oversigt, adgangskontroller, hændelseshåndtering, forsikringsbekræftelse.
