CreativeGround Cybersec

Gennemsigtighed & tillid

Vi opererer med klare, verificerbare praksisser omkring test, rapportering, kryptering og håndtering. Denne side forklarer, hvad vi indsamler, hvem der kan læse det, hvordan vi videresender indberetninger, og hvordan vi er ansvarlige overfor både kunder og kontraktorer.

Resultat frem for støj
  • Vi beviser realistisk risiko, ikke jagter scanningsvolumen.
  • Black-box-test efterligner virkelige scenarier.
Pligt til begge sider
  • Vi repræsenterer kunder og beskytter kontraktorer.
  • Vi sikrer lovligt scope, godkendelser og sikker leverance.
Mindst data, mest klarhed
  • Vi minimerer persondata og logadgang.
  • Vi offentliggør metoder og accepterer granskning.

Håndtering af beviser (whistleblowing & test)

  • Whistleblower-beviser er kun læselige for CreativeGround, ikke for kontraktorer.
  • Vi dekrypterer i et adskilt 'evidence desk'-miljø med adgangslogning og fire-øjne-godkendelse ved eksport.
  • Vi redigerer før deling med virksomheder eller myndigheder — medmindre rapportøren eksplicit samtykker til at dele rå artefakter, eller loven kræver det.
  • Al bevægelse af beviser registreres med tidsstempler, hashes og godkendere.
Bemærk: Vi opfordrer ikke til eller accepterer materiale opnået gennem ulovlig adgang.

Kryptering & nøgler

Indsendelser i den akutte modal krypteres på klientsiden. Beviser krypteres til CreativeGround (så vi kan triagere) og til rapportøren (så de bevarer kontrollen).

PGP contact key
Key ID (short)
Utilgængelig
Public key (armored)
Ikke konfigureret
Algorithms: OpenPGP (same key source as urgent modal).

Brug af kontraktorer & vores ansvar

Vi fokuserer på rådgivning og outsourcer pentests til betroede partnere under strenge scopes. Vi sikrer, at lovlighed, godkendelser og rapportering er korrekt — og vi tager ansvar begge veje: beskytter kontraktorer mod usikre krav og beskytter kunder mod uafprøvet aktivitet.

  • Omfang, tidslinjer og kontaktpunkter er dokumenteret og underskrevet.
  • Højrisikotests kræver eksplicit skriftlig godkendelse og ændringskontrol.
  • Levering bruger sikker håndtering: PoC’er leveres med to-nøgle-overførsel (klient + leverandør), så vi kan iscenesætte og verificere uden bred eksponering.
  • Hvis reverse engineering eller malwareanalyse er nødvendig, engagerer vi specialiserede partnere under vores kontrol.

Offentliggørelse & mægling

Ved presserende risici for andres data eller sikkerhed kan vi underrette den relevante organisation eller myndighed med anonymiserede detaljer for at beskytte anmelderen. Med samtykke kan vi dele redigerede tekniske beviser.

Hastende hotline / portalPolitik for fuld offentliggørelse

Vi er ikke et advokatfirma. Når det er relevant, koordinerer vi med jeres rådgiver for at opfylde juridiske forpligtelser og tidslinjer.

Opbevaring & sletning

  • Whistleblower-metadata (routingsinfo) opbevares i minimum den tid, der er nødvendig for at mægle.
  • Krypterede beviser opbevares kun, mens sagen er aktiv, eller hvor lov/kontrakt kræver det.
  • Ved afslutning planlægger vi sletning eller tilbagelevering efter aftale; logs og hash-manifester opbevares til revision, hvor det er tilladt.

Resumé af gennemsigtighed

Åbne afsløringer
Løbende, anonymiseret
Gns. første respons
Åbningstid
Samtykkebaseret
Beviseksporter
Redigeret eller juridisk krav

Vi offentliggør periodiske resuméer med optællinger og tidslinjer. Persondata er ikke inkluderet.

Næste skridt

Verificér vores nøgle & se politikken

Sammenlign fingeraftrykket ovenfor, og læs derefter, hvordan vi håndterer indtag, beviser, redigering og tidslinjer for offentliggørelse.

Læs offentliggørelsespolitikTal med en ekspert