Organisatorisk sikkerhed

• ISO 27001:2022-certificering: Monta har været certificeret siden 2023. Certifikatet er tilgængeligt nederst på denne side.
• SOC 2 Type II-attestering: Vi har opnået en SOC 2 Type II-attestering, der bekræfter, at vores sikkerhedskontroller er veldesignede og fungerer effektivt over tid. Attesteringen er tilgængelig nederst på denne side.
• Informationssikkerhedsbestyrelse: Organisatorisk sikkerhed administreres af en dedikeret bestyrelse, der repræsenterer hele organisationen.
• Risikobevidsthed og træning: Vi gennemfører intern onboarding, træning og oplysningskampagner for at reducere menneskerelaterede sikkerhedsrisici.
• Interne politikker og retningslinjer: Vores IT-politik dækker fortrolighedsforpligtelser, acceptabel brug, politikker for ryddeligt skrivebord og låst skærm, intern hændelsesrapportering samt overholdelse af cybersikkerhedspolitikker.
• Proaktiv risikostyring: Vores bestyrelse har etableret et risikoudvalg, der fører tilsyn med en proaktiv risikostyringsramme.
• Governance-kadence: Informationssikkerhedsbestyrelsen afholder månedlige ISMS-gennemgange, kvartalsvise interne revisioner og en årlig ledelsesgennemgang. Årlige ISO-revisioner udføres af DNV.
• Løbende compliance med Drata: Vi bruger Drata til continuovervågning af kontroller, automatiseret indsamling af beviser og centraliserede politikattesteringer på tværs af vores ISO 27001-omfang.

Adgangsstyring

• Princippet om mindste privilegium: Adgang tildeles baseret på jobfunktion og et need-to-know-princip.
• Sikre loginmetoder: Login sker via SSO gennem JumpCloud eller godkendelse via Google eller GitHub.
• Isolerede cloudnetværk: Alle cloudnetværk er fuldt isolerede inden for private netværk på AWS uden ekstern adgang. Autoriseret adgang anvender proxyforbindelser med strenge politikker.
• Løbende overvågning og rollebaseret adgang: Følsomme data beskyttes i cloudmiljøer, der automatisk logger al adgang. Logfiler opbevares isoleret for at forhindre manipulation. Adgangsrettigheder evalueres og testes manuelt for at sikre overensstemmelse med jobfunktioner.
• Adgangsgennemgange: Gennemføres regelmæssigt af Information Security Board for at sikre løbende adgang med mindste privilegium.

Infrastruktur og hosting

• Cloud-baseret AWS-hosting: Al hosting er cloud-baseret på AWS. Medarbejdernes arbejde gemmes i skyen frem for på lokale enheder eller ekstern hardware.
• Kryptering og nøglehåndtering: Kryptering i hvile anvendes på al lagring, med nøgler administreret via AWS KMS (Key Management Service) og AWS Managed Keys.
• Softwarebaseret brugeradskillelse: Vores arkitektur anvender robust softwarebaseret adskillelse mellem brugere, hvilket giver os mulighed for at styrke én enkelt, sikker multi-tenant-platform.
• Kubernetes-orkestrering: Vi bruger Kubernetes til at køre og skalere vores tjenester.
• Systemhærdning: Vi minimerer sårbarheder ved at fjerne unødvendige tjenester og applikationer samt anvende sikkerhedsmæssige best practices. Vi bruger GitOps til at udrulle opdateringer og udskifter regelmæssigt servere med nyere basisimages.

Netværks- og kommunikationssikkerhed

• Private netværk og segmentering: Applikations- og datatjenester kører på interne netværk uden direkte interneteksponering. Kun nøje afgrænsede HTTPS-endepunkter er offentlige. Pre-produktions- og produktionsmiljøer er isolerede.
• Kontornetværk: Virksomhedskontorer anvender netværksudstyr i erhvervskvalitet med centralt administreret firewall og segmentering.
• Informationsoverførsel: Følsomt indhold udveksles via sikre kanaler i overensstemmelse med vores interne IT- og cybersikkerhedspolitikker.

Datakryptering

• Standarder: Vi anvender TLS 1.2 eller højere for data under overførsel og AES-256 for data i hvile.
• Kryptering under overførsel: Vores primære metode er HTTPS med de nyeste krypteringsalgoritmer. Certifikater administreres via:
  • AWS Managed Certificates til systemer som vores OCPP-endepunkter.
  • Let's Encrypt i vores Kubernetes-klynge -- private nøgler er sikrede og kun tilgængelige for vores SRE-team. Certifikater roteres automatisk hver 8. måned.

Systemovervågning

• Dashboards og advarsler (Grafana): Platformens sundhed og sikkerhedssignaler overvåges i Grafana med vagteskalering integreret i vores samarbejdsværktøjer.
• Sårbarhedsdetektion og -håndtering: Automatiseret scanning dækker infrastruktur og køretidsmiljøer. Fund triageres og afhjælpes i henhold til risikobaserede SLA'er.
• Centraliseret logning og revision: Applikations- og sikkerhedshændelser konsolideres i en central revisionsloggningstjeneste. Adgang til logfiler revideres selv og følger princippet om mindste privilegium.
• Søgbar opbevaring (krypteret S3): Logfiler arkiveres til AWS S3 med kryptering i hvile og livscyklusstyret opbevaring.

Disaster recovery og forretningskontinuitet

• Dokumenterede planer: Vi vedligeholder planer for forretningskontinuitet og katastrofeberedskab (BCP/DR), der definerer, hvordan vi holder tjenester tilgængelige og genopretter systemer under forstyrrelser.
• Testfrekvens: BCP afprøves mindst to gange om året; DR testes mindst én gang årligt ved hjælp af bordøvelser og tekniske øvelser.
• Databeskyttelse og sikkerhedskopier: Sikkerhedskopier er krypterede og testes regelmæssigt for gendannelse. Vores arkitektur anvender multi-tilgængelighedszoner og regional robusthed for at reducere risikoen for enkelt fejlpunkter.
• Kommunikation: Opdateringer offentliggøres på vores offentlige statusside på status.monta.app under hændelser, der påvirker platformens ydeevne.

Hændelseshåndtering

• Lovpligtige notifikationer: Vi vurderer hændelser med henblik på GDPR-implikationer ved brud på persondatasikkerheden og for betydelige cybersikkerhedshændelser under NIS2, og underretter kompetente myndigheder, hvor det er påkrævet.
• Struktureret hændelseshåndteringsplan: Administreret af Information Security Board, med hændelser sporet og løst via Grafana.
• Løbende forbedring: Vi gennemfører grundige post-mortem-analyser efter hændelser for at identificere grundlæggende årsager. En ugentlig hændelsesgennemgang deler læringer og følger op på afhjælpende handlinger.

Sikker produktudvikling

• Strukturerede udviklingscyklusser: Udviklingen er organiseret i 6-ugers cyklusser, der hver starter med en planlægningssession for at afstemme prioriteter.
• Udvikling og udrulning: Kode gennemgår grundig test og gennemgang. Produktionsudrulninger kræver manuel godkendelse.
• Miljøadskillelse: Et staging-miljø afspejler produktionsmiljøet til endelig test. Feature flags muliggør trinvis udrulning -- først internt, derefter til alfa- og betabrugere og til sidst til alle brugere.
• Patchpolitik: Kritiske patches anvendes øjeblikkeligt. Alle øvrige patches følger en risikobaseret tidsplan. Automatiserede værktøjer håndterer regelmæssig patch-udrulning; kritiske patches gennemgås manuelt.

Endpointsikkerhed

• Enhedsbeskyttelse: Virksomhedsstyrede bærbare computere og mobiltelefoner håndhæver fuld diskkryptering, skærmlås, fjernsletning og automatiske opdateringer via vores MDM-system (mobile device management), JumpCloud.
• Adgangskodepolitik: Alle medarbejderadgangskoder skal være på mindst 15 tegn og håndhæves via JumpCloud.
• Fjernarbejde: En politik for fjernarbejde specificerer sikkerhedsforanstaltninger for arbejde uden for et sikkert kontormiljø.
• BYOD-politik: Personlige mobilenheder er tilladt, men al dataadgang skal ske via Monta-systemer. Lagring eller behandling af data på personlige enheder er forbudt.

Leverandørstyring

• Godkendelsesproces for leverandører: Alle tredjepartsleverandører gennemgår en omfattende godkendelsesproces, der dækker compliance, sikkerhed, kontraktvilkår og databeskyttelse.
• Leverandørstyring: Vores leverandørproces undersøger sikkerhed, kontraktvilkår og databeskyttelse for at sikre, at vores drift forbliver sikker og i overensstemmelse med vores mål.

Løbende forbedring og validering

• Regelmæssige gennemgange og revisioner: Information Security Board gennemfører månedlige ISMS-gennemgange. Et internt revisionsprogram kører kvartalsvist med stikprøvetest.
• Ekstern penetrationstest: Vi samarbejder med Cobalt om årlig penetrationstest. Rapporter er tilgængelige fortroligt på anmodning.
• ISO-certificeringsrevisioner: Årlige ISO-revisioner udføres af DNV. Efter revisionen i 2024 roste vores revisor Monta for sin "store entusiasme og engagement i den løbende forbedring af processer inden for ISMS og på tværs af organisationen."

Persondata

• GDPR-program og privatlivspolitik: app.monta.app/gdpr
• Privatlivspolitik: app.monta.app/privacy-policy

ISO 27001:2022-certifikat

Se certifikatet

SOC 2 Type II-attestering

Se attesteringen