Sikkerhedsforanstaltninger

Dette dokument beskriver de Tekniske og Organisatoriske Foranstaltninger (TOMs), som Gneis Agency ("Gneis Agency") implementerer for at beskytte kundedata og sikre vores tjenesters sikkerhed, integritet og tilgængelighed.

Dette dokument supplerer vores Databehandleraftale (DPA) og giver tekniske detaljer relevante for enterprise-indkøb og compliance-vurderinger.

1. Kryptering

1.1 Kryptering af data i hvile

Alle kundedata lagret i vores systemer er krypteret med AES-256 kryptering. Dette inkluderer:

• Database-poster
• Fillagring og backups
• Logfiler indeholdende kundedata
• Cached data

1.2 Kryptering under transport

Alle data transmitteret til og fra Gneis Agency's tjenester er krypteret med TLS 1.2 eller højere. Dette inkluderer:

• Al API-kommunikation
• Webapplikationstrafik
• Intern service-til-service kommunikation
• Dataoverførsler til underdatabehandlere

1.3 Nøglehåndtering

• Krypteringsnøgler håndteres gennem cloud-udbyderes key management services (AWS KMS, Google Cloud KMS)
• Nøgler roteres regelmæssigt i overensstemmelse med branchens best practices
• Adgang til krypteringsnøgler er strengt begrænset og auditeret

2. Adgangskontrol

2.1 Multi-Factor Authentication (MFA)

• Kundekonti: MFA er tilgængelig og anbefalet for alle kundekonti
• Interne medarbejdere: MFA er obligatorisk for alle Gneis Agency-medarbejdere med adgang til produktionssystemer
• Administrativ adgang: Hardware-sikkerhedsnøgler påkrævet for privilegeret adgang

2.2 Rollebaseret adgangskontrol (RBAC)

• Adgang til systemer og data tildeles baseret på jobfunktion og nødvendighed
• Roller gennemgås og opdateres regelmæssigt
• Adskillelse af opgaver for kritiske operationer

2.3 Mindste nødvendige privilegium

• Medarbejdere tildeles kun den minimale adgang, der er nødvendig for deres rolle
• Forhøjede privilegier kræver yderligere godkendelse og er tidsbegrænsede
• Adgang fjernes øjeblikkeligt ved rolleændring eller fratrædelse

2.4 Adgangslogning

• Al adgang til kundedata logges
• Logs inkluderer brugeridentitet, tidsstempel, udført handling og tilgået data
• Logs opbevares i minimum 12 måneder

3. Backup og Genoprettelse

3.1 Backup-frekvens

• Database-backups: Daglige krypterede backups
• Point-in-time recovery: Tilgængelig for de seneste 7 dage
• Konfigurations-backups: Dagligt

3.2 Backup-opbevaring

• Daglige backups opbevares i 30 dage
• Månedlige backups opbevares i 12 måneder
• Backups lagres på geografisk adskilte lokationer

3.3 Backup-sikkerhed

• Alle backups er krypteret med AES-256
• Backup-adgang er begrænset og auditeret
• Regelmæssige backup-genoprettelsestest udføres

3.4 Disaster Recovery

• Recovery Point Objective (RPO): 24 timer
• Recovery Time Objective (RTO): 4 timer for kritiske systemer
• Dokumenterede disaster recovery-procedurer testes årligt

4. Sikkerhedstest

4.1 Penetrationstest

• Tredjeparts penetrationstest udføres årligt
• Test-scope inkluderer ekstern infrastruktur, webapplikationer og API'er
• Kritiske og høje fund udbedres inden for 30 dage
• Opsummeringsrapporter tilgængelige for Enterprise-kunder på anmodning

4.2 Sårbarhedsscanning

• Automatiseret sårbarhedsscanning udføres ugentligt
• Kontinuerlig dependency-scanning for kendte sårbarheder
• Patch management SLA: Kritiske sårbarheder inden for 7 dage

4.3 Kodesikkerhed

• Sikkerhedsfokuserede code reviews for alle ændringer
• Static Application Security Testing (SAST) i CI/CD pipeline
• Dependency-sårbarhedsscanning før deployment

5. Infrastruktursikkerhed

5.1 Cloud-infrastruktur

• Hostet på enterprise-grade cloud-platforme (AWS, Google Cloud)
• Infrastructure-as-Code for konsistente, auditerbare konfigurationer
• Netværkssegmentering og isolation mellem miljøer

5.2 Netværkssikkerhed

• Web Application Firewall (WAF) beskytter alle offentlige endpoints
• DDoS-beskyttelse og -afbødning
• Intrusion detection og prevention systemer
• Private netværk til intern service-kommunikation

5.3 Overvågning og alarmering

• 24/7 infrastruktur-overvågning
• Real-time alarmering for sikkerhedshændelser
• Centraliseret logning og security information management

6. Serviceniveau og Tilgængelighed

6.1 Oppetidsforpligtelse

Gneis Agency sigter efter 99,9% oppetid for vores tjenester, målt månedligt.

6.2 Undtagelse for Tredjeparts AI-udbydere

Vigtigt: Oppetidsberegninger ekskluderer nedetid forårsaget af Tredjeparts AI-modeludbydere (f.eks. OpenAI, Anthropic, Google AI). Disse udbydere opererer uafhængigt, og deres tilgængelighed er uden for Gneis Agency's direkte kontrol.

Når tredjeparts AI-udbydere oplever nedbrud:

• Gneis Agency kommunikerer status omgående
• Hvor muligt kan failover til alternative udbydere implementeres
• Sådanne hændelser dokumenteres separat fra Gneis Agency's oppetids-metrics

6.3 Planlagt vedligeholdelse

• Planlagte vedligeholdelsesvinduer kommunikeres mindst 72 timer i forvejen
• Vedligeholdelse udføres i perioder med lav trafik når muligt
• Nødvedligeholdelse for sikkerhedsproblemer kan forekomme med kortere varsel

7. Hændelsesrespons

7.1 Sikkerhedshændelsesproces

• Dokumenterede incident response-procedurer
• Dedikeret sikkerhedshændelses-responshold
• Maksimum 72 timers notifikation for databrud (jf. GDPR)

7.2 Hændelsesklassifikation

• Kritisk: Aktivt databrud eller systemkompromittering
• Høj: Sårbarhed med potentiale for udnyttelse
• Medium: Sikkerhedsproblem der kræver opmærksomhed
• Lav: Mindre sikkerhedsforbedring

7.3 Post-hændelsesgennemgang

• Root cause-analyse for alle væsentlige hændelser
• Lessons learned dokumenteres og deles
• Forebyggende foranstaltninger implementeres

8. Sårbarhedsoplysningsprogram

8.1 Rapportering af sikkerhedsproblemer

Vi byder ansvarlig offentliggørelse af sikkerhedssårbarheder velkommen.

Rapporter sikkerhedsproblemer til: security@gneis.ai

8.2 Hvad skal inkluderes

• Beskrivelse af sårbarheden
• Trin til reproduktion
• Potentiel konsekvenssvurdering
• Dine kontaktoplysninger (valgfrit, til opfølgning)

8.3 Vores forpligtelse

• Bekræfter modtagelse inden for 2 hverdage
• Giver statusopdateringer under undersøgelse
• Krediterer forskere (hvis ønsket) ved løsning
• Ingen juridiske skridt for sikkerhedsforskning i god tro

9. Compliance og Certificeringer

9.1 Gældende standarder

• GDPR-kompatibel
• EU AI Act-kompatibel
• Standard Contractual Clauses (SCC) for internationale overførsler

9.2 Sikkerhedspraksis

• Baseret på ISO 27001-framework
• SOC 2 Type II-principper følges
• Regelmæssige tredjeparts sikkerhedsvurderinger

9.3 Leverandørsikkerhed

• Alle underdatabehandlere vurderes for sikkerhedsniveau
• Databehandleraftaler med alle underdatabehandlere
• Regelmæssige leverandør-sikkerhedsgennemgange

10. Medarbejdersikkerhed

10.1 Baggrundstjek

• Baggrundsverifikation for medarbejdere med dataadgang
• Referencetjek for alle stillinger

10.2 Sikkerhedstræning

• Sikkerhedsbevidsthedstræning for alle medarbejdere
• Rollespecifik sikkerhedstræning for teknisk personale
• Årlig genopfriskningstræning og phishing-simuleringer

10.3 Fortrolighed

• Alle medarbejdere underskriver fortrolighedsaftaler
• Non-disclosure agreements for følsomme oplysninger
• Tydelige politikker for acceptabel brug

11. Fysisk sikkerhed

11.1 Datacenter-sikkerhed

Vores cloud-udbydere opretholder:

• 24/7 fysisk sikkerhed og overvågning
• Biometrisk og multi-faktor adgangskontrol
• Miljøkontrol (brandbekæmpelse, klimakontrol)
• SOC 2 Type II og ISO 27001-certificerede faciliteter

11.2 Kontorsikkerhed

• Adgangskontrol til Gneis Agency's kontorer
• Clean desk-politik
• Sikker bortskaffelse af følsomme dokumenter

12. Kontakt

For sikkerhedsrelaterede henvendelser:

Gneis Agency

Pilestræde 52A

DK-1112 København K

Danmark

Sikkerhedsteam: security@gneis.ai

Privatlivsteam: privacy@gneis.ai

Generelle henvendelser: info@gneis.ai

Relaterede dokumenter:

• Databehandleraftale: https://trust.gneis.io/dpa
• Privatlivspolitik: https://trust.gneis.io/privacy
• AI-Transparenspolitik: https://trust.gneis.io/ai
• Underdatabehandlere: https://trust.gneis.io/subprocessors

*Dette sikkerhedsdokument gennemgås og opdateres mindst årligt. Seneste gennemgang: Januar 2026.*