Distribuerte team trenger ikke å bety høyere risiko. Vi kjører prosjekter i et kontrollert, reviderbart oppsett som reduserer sjansen for dataeksponering og begrenser tilgangen til det som strengt tatt er nødvendig for å levere arbeidet.
Denne siden forklarer de praktiske kontrollene vi bruker på tvers av tilgang, kode, infrastruktur og personell.
Hva du får
- Kontrollert tilgang til prosjektsystemer, gitt etter rolle og fjernet når det ikke lenger er nødvendig
- Tydelig skille av miljøer (utvikling, staging, produksjon)
- Sikker håndtering av hemmeligheter og legitimasjon
- Sikkerhetskontroller innebygd i leveransen (kodegjennomgang, skanning, CI/CD-kontroller)
- Retningslinjer for distribuerte team (enheter, lokal lagring, regler for fjernarbeid)
- Hendelsesrespons-prosess og transparent rapportering hvis noe går galt
- Forsikringsdekning for sikkerhetshendelser (detaljer tilgjengelig på forespørsel)
1. Tilgangskontroll og identitet
Vi behandler tilgang som en administrert prosess, ikke et engangsoppsett.
- MFA er påkrevd for kritiske systemer (repositories, sky, CI/CD, passordbehandler)
- Tilgang gis etter rolle (minst privilegium) og gjennomgås regelmessig
- Tidsbegrenset tilgang kan brukes for sensitive systemer
- Offboarding håndteres samme dag – tilgang fjernes, hemmeligheter roteres ved behov
Hva vi kan tilby på forespørsel:
- en mal for prosjekttilgangsmatrise
- en liste over systemer som brukes og eierskap (hvem som kan gi og godkjenne tilgang)
2. Administrasjon av hemmeligheter og legitimasjon
Hemmeligheter er en av de vanligste kildene til datalekkasjer. Vi minimerer eksponeringen ved design.
- Ingen hemmeligheter i kildekode, saker eller chat
- Hemmeligheter lagres i en dedikert hemmelighetsbehandler eller en avtalt hvelvmetode
- Legitimasjon roteres etter tidsplan og når risikoen endres
- Produksjonshemmeligheter er adskilt fra utvikling og er begrenset til kun godkjent personell
3. Sikker utviklingslivssyklus (SDLC)
Sikkerhet er en del av leveransen, ikke et tillegg etter lansering.
- Obligatorisk kodegjennomgang for produksjonsendringer
- Grenbeskyttelsesregler og kontrollert sammenslåingsprosess
- Automatisert skanning etter kjente sårbarheter i avhengigheter
- Valgfri SAST/DAST basert på prosjektkrav
- Logging og reviderbarhet for endringer i CI/CD og infrastruktur
4. Miljøseparasjon og infrastruktursikkerhet
Vi holder systemer segmentert for å redusere virkningen av feil og begrense eksponeringen.
- Separate miljøer for utvikling, staging og produksjon
- Infrastruktur konfigurert med minst privilegium-tilgang og sterke nettverksgrenser
- Kryptering under overføring (TLS) og kryptering i ro der det støttes av plattformen
- Sikkerhetskopierings- og gjenopprettingspraksis tilpasset klientens krav
Hvis prosjektet krever sterkere isolasjon:
- fjernutviklingsmiljø (VDI eller kontrollert byggemiljø)
- strengere nettverkspolicyer og IP-tillatelseslister
- dedikerte skysystemer eller leietakernivåseparasjon
5. Kontroller for distribuerte team
Dette er hvor mange leverandører er vage. Vi er spesifikke.
- Enheter må oppfylle en grunnlinje (diskryptering, automatisk lås, oppdatert OS, skadevarebeskyttelse)
- Klientdata lagres ikke lokalt med mindre det er eksplisitt godkjent og kontrollert
- Arbeid utføres kun gjennom godkjente verktøy (repositories, ticketing, lagring)
- Regler for offentlig Wi-Fi og VPN-krav kan håndheves basert på klientens policy
- Tilgangsgjennomganger og periodiske kontroller sikrer at grunnlinjen opprettholdes
6. Datahåndtering og konfidensialitet
Vi minimerer mengden sensitiv data som brukes under utvikling.
- Dataminimering: kun det som er nødvendig for å bygge og teste
- Maskering og anonymisering for utviklingsmiljøer når det er mulig
- Syntetiske dataalternativer for ikke-produksjonstesting
- Tydelige regler for hvem som har tilgang til hvilke data og hvor de kan lagres
Juridiske og kontraktuelle beskyttelser er tilgjengelige:
- NDA og konfidensialitetsforpliktelser for hele leveranseteamet
- Vilkår for IP-overføring
- DPA for GDPR-relatert behandling (hvis aktuelt)
- regler og restriksjoner for underleverandører (hvis underleverandører brukes)
7. Overvåking, revisjon og hendelsesrespons
Selv med sterke kontroller må hendelser håndteres raskt og transparent.
- Tilgangs- og aktivitetslogger for kritiske systemer der det støttes
- Regelmessige tilgangsgjennomganger og oppryddinger
- Hendelsesrespons-prosess: inneslutning, undersøkelse, kommunikasjon, utbedring
- Rapport etter hendelsen med korrigerende tiltak når relevant
Forsikringsdekning
Vi opprettholder forsikringsdekning designet for å bidra til å håndtere de økonomiske konsekvensene av visse sikkerhetshendelser. Dekningsvilkår, grenser og anvendelighet avhenger av policen og hendelsens art.
Detaljer tilgjengelig på forespørsel.
Sikkerhetspakke (tilgjengelig på forespørsel)
For klienter med strengere anskaffelses- eller samsvarsprosesser kan vi dele en kort sikkerhetspakke som kan inkludere:
- SDLC-oversikt
- mal for tilgangsmatrise
- sammendrag av datahåndtering
- énsides rapport for hendelsesrespons
- liste over verktøy og miljøer som brukes i prosjektet
- forsikringsbekreftelse og sammendrag (på forespørsel)
SDLC-oversikt, tilgangskontroller, hendelsesrespons, forsikringsbekreftelse.
