Senest opdateret 5. maj 2026. Gennemgang: afventer specialiseret IT-/AI-advokatfirma (sikkerhed/compliance).
Applikations- og grænsefladesikkerhed (AIS)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| AIS-01 | Er applikationssikkerhedspolitikker dokumenteret? | Ja. SECURITY.md + pre-commit forebyggelse af secret-lækage. |
| AIS-02 | Køres sårbarhedsvurderinger regelmæssigt? | Kvartalsvis ekstern kodegennemgang. Trivy-scanninger på Docker-images. |
| AIS-03 | Udføres penetrationstests? | Årlig tredjeparts-pentest planlagt efter Dag-180-milepæl. |
Revisionssikkerhed og compliance (AAC)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| AAC-01 | SOC 2 Type II? | Roadmap Dag 545 (efter 75K kr/md MRR-gate). Pt. før-SOC-2; manuelt evidens-kit. |
| AAC-02 | ISO 27001? | Ikke certificeret pt. Interne kontroller mappes til ISO 27002-reference. |
| AAC-03 | EU GDPR-compliance? | Ja. Artikel 28-DPA tilgængelig. DPO: dpo@powerquant.dk. |
| AAC-04 | EU AI Act-compliance? | AI-udbyder jf. Artikel 4. Artikel 4-register vedligeholdes. Artikel 50-oplysning på /trust/article-50. |
| AAC-05 | NIS2-compliance? | Under 50 ansatte / under 75 mio. kr i omsætning → ikke direkte klassificeret som væsentlig eller vigtig enhed. Understøtter kunders Artikel 21(d)-forpligtelser til leverandørtilsyn. |
Forretningskontinuitet og driftsmodstandsdygtighed (BCR)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| BCR-01 | Backup-strategi? | Hetzner-krypterede snapshots, 30 dage rullende. Restore-testet kvartalsvis. |
| BCR-02 | RPO / RTO? | RPO ≤24t. RTO ≤4t for tier-1-systemer. |
| BCR-03 | Katastrofeberedskabsplan? | Dokumenteret internt; eksempel tilgængeligt under NDA. |
Ændringsstyring og konfigurationsstyring (CCC)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| CCC-01 | Ændringsstyrings-proces? | Alle ændringer på den kanoniske sti kræver Council pre-flight (multi-agent + menneskelig godkendelse) + signeret audit-log-post. |
| CCC-02 | Kodegennemgang før udgivelse? | Ja. Pre-commit-hook + Tech Sentinel-gennemgang. |
Datasikkerhed og livscyklus (DSL)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| DSL-01 | Dataklassifikation? | Kundedata klassificeret kunde-fortroligt. Strategiske data internt-fortroligt. |
| DSL-02 | Kryptering i hvile? | Hetzner-volumener (LUKS). Supabase Postgres native. |
| DSL-03 | Kryptering under transport? | TLS 1.3 håndhævet. HSTS på powerquant.dk. |
| DSL-04 | Nøglehåndtering? | Ed25519-signeringsnøgler, 0600-rettigheder, rotationsklar. |
| DSL-05 | Dataopbevaring? | Kunde-evidenspakker 7 år (revisionsspor). Logs 90 dage. PII minimeret. |
Datacenter-sikkerhed (DCS)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| DCS-01 | Datacenter-certificeringer? | Hetzner DE: ISO 27001/27017/27018 + EN 50600. Vercel: SOC 2 Type II + ISO 27001. Supabase: SOC 2 Type II + HIPAA. |
| DCS-02 | Fysisk sikkerhed? | Hetzner: adgangskort + biometri + 24/7-bemanding. Vercel: AWS-niveau fysisk sikkerhed. |
Kryptering og nøglehåndtering (EKM)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| EKM-01 | Nøglerotation? | Kvartalsvis gennemgang; øjeblikkelig rotation ved mistanke. |
| EKM-02 | HSM / KMS? | Filsystem-lagrede Ed25519-nøgler, 0600-rettigheder. HSM-migrering planlagt Dag 545+ før SOC-2. |
Governance og risikostyring (GRM)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| GRM-01 | Risikovurderings-proces? | Kvartalsvis Council pre-flight på roadmap. Årlig ekstern kodegennemgang. |
| GRM-02 | Politikker og procedurer? | Internt kanonisk repo (skrivebeskyttet for ikke-founder). |
| GRM-03 | Forsikring? | E&O- + cyber-forsikring planlagt (~90-165K kr/år afsat i budget). |
Personalesikkerhed (HRS)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| HRS-01 | Baggrundstjek? | Founder + Technical Officer: dansk CVR-registreret; straffeattest på forespørgsel. |
| HRS-02 | Sikkerhedstræning? | Årlig selv-administreret + IAPP CIPP/E + AIGP-certificering for founder (i gang). |
| HRS-03 | Off-boarding? | Dokumenteret runbook (én founder + én Technical Officer pt.). |
Identitets- og adgangsstyring (IAM)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| IAM-01 | MFA-håndhævelse? | Ja — GitHub, Stripe, Hetzner, Supabase, Cloudflare alle MFA-håndhævet. |
| IAM-02 | RBAC? | Founder = root. Technical Officer = skrivebeskyttet kanonisk + skriv omega/agents. |
| IAM-03 | Adgangsgennemgange? | Kvartalsvis. Dokumenteret i audit-log. |
| IAM-04 | Styring af privilegeret adgang? | sudo NOPASSWD kun på dedikeret deploy-bruger; bot kører som ikke-privilegeret agent. |
Infrastruktur- og virtualiseringssikkerhed (IVS)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| IVS-01 | Netværkssegmentering? | Hetzner privat VLAN mellem web/db. Cloudflare WAF foran. |
| IVS-02 | Hærdning? | CIS-baseline anvendt på Hetzner Ubuntu 24.04 LTS. UFW + fail2ban. |
Sikkerhedshændelser og forensik (SEF)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| SEF-01 | Hændelseshåndteringsplan? | Dokumenteret internt. Notifikation: 24t til kunde, 72t jf. GDPR Artikel 33. |
| SEF-02 | Nylige hændelser? | Ingen oplysningspligtige pt. (pr. 5. maj 2026). |
Forsyningskæde-styring (STA)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| STA-01 | Liste over underdatabehandlere? | /trust/sub-processors — 10 poster (Hetzner, Cloudflare, Vercel, Supabase, Anthropic, Google, Stripe, Resend, Telegram, PostHog). |
| STA-02 | Ændringer af underdatabehandlere? | 30 dages kundevarsel + 14 dages indsigelsesvindue. |
Trussels- og sårbarhedshåndtering (TVM)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| TVM-01 | CVE-overvågning? | Daglig Trivy-scan + npm audit + pip-audit på afhængigheder. |
| TVM-02 | Patch-håndtering? | Kritiske CVE'er: 24-72t. Høj: 7 dage. Medium: 30 dage. |
AI-specifikt (PowerQuant-tillæg)
| ID | Spørgsmål | PowerQuant-svar |
|---|---|---|
| AI-01 | Anvendte modeller? | Anthropic Claude (kundevendt assistent + udkast). Gemini bruges kun til PowerQuant-internt arbejde — aldrig kundedata eller leverancer. |
| AI-02 | Træningsdata? | Vi fine-tuner IKKE på kundedata. Leverancer genereres deterministisk fra skabeloner og sendes ikke til en sprogmodel. |
| AI-03 | Forsvar mod prompt-injection? | Anti-fab-veto + verbatim-grep + Council 4-metoders konsensus. |
| AI-04 | Forsvar mod hallucination? | Hver påstand krydstjekkes mod primær EU-lovtekst. Ed25519-signatur på hver godkendelse. |
| AI-05 | Artikel 50-oplysning? | Ja. /trust/article-50. |