Effective date:
November 7, 2025

Sikkerhedspolitik

1. Formål

Denne sikkerhedspolitik definerer de principper og foranstaltninger, som Spitze ApS implementerer for at beskytte informationsaktiver, personoplysninger og systemer mod uautoriseret adgang, tab, videregivelse, ændring eller ødelæggelse.
Politikken gælder for alle medarbejdere, entreprenører og tredjeparter, der har adgang til Spitze informationssystemer eller data.

2. Anvendelsesområde

Denne politik dækker alle elektroniske og fysiske informationsaktiver kontrolleret af Spitze, herunder interne systemer, hostede tjenester og cloud-miljøer, der bruges i forbindelse med rekruttering, klientstyring og virksomhedsdrift.

3. Styring og ansvar

Informationssikkerhed styres af ledelsen af Spitze.
Den administrerende direktør har det overordnede ansvar for at sikre, at der er indført passende sikkerhedsforanstaltninger.
Medarbejdere og entreprenører er forpligtet til at overholde denne politik og straks rapportere enhver mistænkt sikkerhedshændelse til deres linjechef eller til trust@spitze.net.

4. Kerneprincipper

Spitzes sikkerhedsstyring er baseret på følgende principper:

  • Fortrolighed: Oplysningerne er kun tilgængelige for autoriserede personer.
  • Integritet: Oplysningerne er nøjagtige, fuldstændige og beskyttet mod uautoriseret ændring.
  • Tilgængelighed: Systemer og oplysninger er tilgængelige for autoriserede brugere, når det er nødvendigt til forretningsformål.

5. Tekniske og organisatoriske foranstaltninger

5.1 Netværks- og kommunikationssikkerhed

  • Al e-mail-trafik krypteres under transit ved hjælp af TLS.
  • Domænegodkendelse håndhæves gennem SPF, DKIM, DMARC og MTA-STS.
  • Følsom kommunikation sendes ved hjælp af sikker krypteret meddelelseslevering (Microsoft 365 Secure Mail).
  • Ekstern kommunikation overvåges for spoofing, phishing eller uautoriseret aktivitet.

5.2 Web- og applikationssikkerhed

  • HTTPS håndhæves på alle Spitze-domæner.
  • DNSSEC og HSTS er aktive for at forhindre aflytning eller nedgradering af angreb.
  • Sikkerhedsoverskrifter (CSP, X-Frame-Options, X-XSS-beskyttelse) implementeres.
  • Alle webplatforme og SaaS-udbydere evalueres for overholdelse af OWASP bedste praksis.

5.3 Adgangskontrol

  • Adgang gives på et „mindst privilegium“ -grundlag og gennemgås regelmæssigt.
  • Multifaktorgodkendelse (MFA) er aktiveret, hvor det er teknisk understøttet.
  • Brugerkonti deaktiveres straks efter opsigelse eller rolleændring.
  • Administrativ adgang registreres og underkastes periodisk revision.

5.4 System- og infrastrukturstyring

  • Operativsystemer og software vedligeholdes med aktuelle sikkerhedsrettelser.
  • Sikkerhedskopier af forretningskritiske data udføres dagligt og opbevares sikkert i krypteret form.
  • Basislinjer for sikkerhedskonfiguration anvendes på alle systemer og gennemgås med jævne mellemrum.
  • Eksterne leverandører og cloud-udbydere er underlagt krav om due diligence og kontraktlige databeskyttelseskrav.

5.5 Fysisk sikkerhed

  • Adgang til kontorlokaler og udstyr er begrænset til autoriseret personale.
  • Besøgendes adgang overvåges og registreres.
  • Bærbare enheder er krypteret og underlagt slutpunktsbeskyttelseskontroller.

6. Datahåndtering og opbevaring

Personoplysninger behandles i overensstemmelse med EU's generelle databeskyttelsesforordning (GDPR) og opbevares kun til legitime forretningsmæssige eller juridiske formål.
For detaljerede oplysninger om behandlingsaktiviteter og opbevaringsperioder henvises til fortroligheds- og databeskyttelsespolitikken.

7. Håndtering af hændelser

  • Alle medarbejdere skal straks rapportere enhver mistænkt eller faktisk sikkerhedshændelse.
  • Hændelser registreres, undersøges og løses i overensstemmelse med Spitzes hændelsesreaktionsprocedure.
  • Hvis det er lovmæssigt påkrævet, vil berørte parter og relevante myndigheder blive underrettet uden unødig forsinkelse.
  • Grundårsagsanalyse og korrigerende handlinger udføres for at forhindre gentagelse.

8. Forretningskontinuitet

Spitze opretholder forretningskontinuitetsordninger designet til at sikre tilgængeligheden af nøglesystemer og data i tilfælde af forstyrrelser.
Sikkerhedskopier testes med jævne mellemrum for at kontrollere genopretteligheden.

9. Kontinuerlig forbedring

Denne politik og tilhørende kontroller gennemgås mindst en gang om året eller ved væsentlige ændringer i organisationens operationer, systemer eller gældende lovgivning.
Spitze stræber efter tilpasning til anerkendte sikkerhedsstandarder som ISO/IEC 27001 og ISAE 3000 for at sikre fortsat overholdelse og bedste praksis.

10. Kontakt

Spørgsmål eller anmodninger vedrørende denne politik skal rettes til: trust@spitze.net

Ledere og specialister til ambitiøse virksomheder

Email os
hello@spitze.net
Kontor
Copenhagen, Denmark
Magnoliahus
Kontor
Zürich, Schweiz
Novu Campus
De rette mennesker flytter virksomheden fremad.

Vi forbinder ambitiøse virksomheder med enestående talent – og giver hver kandidat en proces præget af respekt, tillid og omtanke.