Trust Center

CAIQ-Lite

Cloud Security Alliance CAIQ v4.0 (lite-udvalg, ~50 oftest stillede spørgsmål til mid-market B2B-salg). Fuld CAIQ v4.0 (~270 spørgsmål) tilgængelig på forespørgsel via security@powerquant.dk.

Senest opdateret 5. maj 2026. Gennemgang: afventer specialiseret IT-/AI-advokatfirma (sikkerhed/compliance).

Applikations- og grænsefladesikkerhed (AIS)

IDSpørgsmålPowerQuant-svar
AIS-01Er applikationssikkerhedspolitikker dokumenteret?Ja. SECURITY.md + pre-commit forebyggelse af secret-lækage.
AIS-02Køres sårbarhedsvurderinger regelmæssigt?Kvartalsvis ekstern kodegennemgang. Trivy-scanninger på Docker-images.
AIS-03Udføres penetrationstests?Årlig tredjeparts-pentest planlagt efter Dag-180-milepæl.

Revisionssikkerhed og compliance (AAC)

IDSpørgsmålPowerQuant-svar
AAC-01SOC 2 Type II?Roadmap Dag 545 (efter 75K kr/md MRR-gate). Pt. før-SOC-2; manuelt evidens-kit.
AAC-02ISO 27001?Ikke certificeret pt. Interne kontroller mappes til ISO 27002-reference.
AAC-03EU GDPR-compliance?Ja. Artikel 28-DPA tilgængelig. DPO: dpo@powerquant.dk.
AAC-04EU AI Act-compliance?AI-udbyder jf. Artikel 4. Artikel 4-register vedligeholdes. Artikel 50-oplysning på /trust/article-50.
AAC-05NIS2-compliance?Under 50 ansatte / under 75 mio. kr i omsætning → ikke direkte klassificeret som væsentlig eller vigtig enhed. Understøtter kunders Artikel 21(d)-forpligtelser til leverandørtilsyn.

Forretningskontinuitet og driftsmodstandsdygtighed (BCR)

IDSpørgsmålPowerQuant-svar
BCR-01Backup-strategi?Hetzner-krypterede snapshots, 30 dage rullende. Restore-testet kvartalsvis.
BCR-02RPO / RTO?RPO ≤24t. RTO ≤4t for tier-1-systemer.
BCR-03Katastrofeberedskabsplan?Dokumenteret internt; eksempel tilgængeligt under NDA.

Ændringsstyring og konfigurationsstyring (CCC)

IDSpørgsmålPowerQuant-svar
CCC-01Ændringsstyrings-proces?Alle ændringer på den kanoniske sti kræver Council pre-flight (multi-agent + menneskelig godkendelse) + signeret audit-log-post.
CCC-02Kodegennemgang før udgivelse?Ja. Pre-commit-hook + Tech Sentinel-gennemgang.

Datasikkerhed og livscyklus (DSL)

IDSpørgsmålPowerQuant-svar
DSL-01Dataklassifikation?Kundedata klassificeret kunde-fortroligt. Strategiske data internt-fortroligt.
DSL-02Kryptering i hvile?Hetzner-volumener (LUKS). Supabase Postgres native.
DSL-03Kryptering under transport?TLS 1.3 håndhævet. HSTS på powerquant.dk.
DSL-04Nøglehåndtering?Ed25519-signeringsnøgler, 0600-rettigheder, rotationsklar.
DSL-05Dataopbevaring?Kunde-evidenspakker 7 år (revisionsspor). Logs 90 dage. PII minimeret.

Datacenter-sikkerhed (DCS)

IDSpørgsmålPowerQuant-svar
DCS-01Datacenter-certificeringer?Hetzner DE: ISO 27001/27017/27018 + EN 50600. Vercel: SOC 2 Type II + ISO 27001. Supabase: SOC 2 Type II + HIPAA.
DCS-02Fysisk sikkerhed?Hetzner: adgangskort + biometri + 24/7-bemanding. Vercel: AWS-niveau fysisk sikkerhed.

Kryptering og nøglehåndtering (EKM)

IDSpørgsmålPowerQuant-svar
EKM-01Nøglerotation?Kvartalsvis gennemgang; øjeblikkelig rotation ved mistanke.
EKM-02HSM / KMS?Filsystem-lagrede Ed25519-nøgler, 0600-rettigheder. HSM-migrering planlagt Dag 545+ før SOC-2.

Governance og risikostyring (GRM)

IDSpørgsmålPowerQuant-svar
GRM-01Risikovurderings-proces?Kvartalsvis Council pre-flight på roadmap. Årlig ekstern kodegennemgang.
GRM-02Politikker og procedurer?Internt kanonisk repo (skrivebeskyttet for ikke-founder).
GRM-03Forsikring?E&O- + cyber-forsikring planlagt (~90-165K kr/år afsat i budget).

Personalesikkerhed (HRS)

IDSpørgsmålPowerQuant-svar
HRS-01Baggrundstjek?Founder + Technical Officer: dansk CVR-registreret; straffeattest på forespørgsel.
HRS-02Sikkerhedstræning?Årlig selv-administreret + IAPP CIPP/E + AIGP-certificering for founder (i gang).
HRS-03Off-boarding?Dokumenteret runbook (én founder + én Technical Officer pt.).

Identitets- og adgangsstyring (IAM)

IDSpørgsmålPowerQuant-svar
IAM-01MFA-håndhævelse?Ja — GitHub, Stripe, Hetzner, Supabase, Cloudflare alle MFA-håndhævet.
IAM-02RBAC?Founder = root. Technical Officer = skrivebeskyttet kanonisk + skriv omega/agents.
IAM-03Adgangsgennemgange?Kvartalsvis. Dokumenteret i audit-log.
IAM-04Styring af privilegeret adgang?sudo NOPASSWD kun på dedikeret deploy-bruger; bot kører som ikke-privilegeret agent.

Infrastruktur- og virtualiseringssikkerhed (IVS)

IDSpørgsmålPowerQuant-svar
IVS-01Netværkssegmentering?Hetzner privat VLAN mellem web/db. Cloudflare WAF foran.
IVS-02Hærdning?CIS-baseline anvendt på Hetzner Ubuntu 24.04 LTS. UFW + fail2ban.

Sikkerhedshændelser og forensik (SEF)

IDSpørgsmålPowerQuant-svar
SEF-01Hændelseshåndteringsplan?Dokumenteret internt. Notifikation: 24t til kunde, 72t jf. GDPR Artikel 33.
SEF-02Nylige hændelser?Ingen oplysningspligtige pt. (pr. 5. maj 2026).

Forsyningskæde-styring (STA)

IDSpørgsmålPowerQuant-svar
STA-01Liste over underdatabehandlere?/trust/sub-processors — 10 poster (Hetzner, Cloudflare, Vercel, Supabase, Anthropic, Google, Stripe, Resend, Telegram, PostHog).
STA-02Ændringer af underdatabehandlere?30 dages kundevarsel + 14 dages indsigelsesvindue.

Trussels- og sårbarhedshåndtering (TVM)

IDSpørgsmålPowerQuant-svar
TVM-01CVE-overvågning?Daglig Trivy-scan + npm audit + pip-audit på afhængigheder.
TVM-02Patch-håndtering?Kritiske CVE'er: 24-72t. Høj: 7 dage. Medium: 30 dage.

AI-specifikt (PowerQuant-tillæg)

IDSpørgsmålPowerQuant-svar
AI-01Anvendte modeller?Anthropic Claude (kundevendt assistent + udkast). Gemini bruges kun til PowerQuant-internt arbejde — aldrig kundedata eller leverancer.
AI-02Træningsdata?Vi fine-tuner IKKE på kundedata. Leverancer genereres deterministisk fra skabeloner og sendes ikke til en sprogmodel.
AI-03Forsvar mod prompt-injection?Anti-fab-veto + verbatim-grep + Council 4-metoders konsensus.
AI-04Forsvar mod hallucination?Hver påstand krydstjekkes mod primær EU-lovtekst. Ed25519-signatur på hver godkendelse.
AI-05Artikel 50-oplysning?Ja. /trust/article-50.