Spring til indhold
SOC 2 · Informationssikkerhed

Den danske guide til SOC 2 og de fem tillidsprincipper

SOC 2 er den compliance-standard, cloud- og SaaS-virksomheder bruger til at bevise, at kundedata er i sikre hænder. Her får du et uafhængigt, dansk overblik over kriterierne, rapporttyperne og vejen til en attestation.

5
Trust Services Criteria
2
Rapporttyper (I & II)
CC1–9
Fælles sikkerhedskriterier
AICPA
Ejer af standarden
Kort fortalt

Hvad er SOC 2?

SOC 2 (System and Organization Controls 2) er en ramme for informationssikkerhed udviklet af den amerikanske revisorforening AICPA. I modsætning til SOC 1, der handler om finansiel rapportering, vurderer SOC 2, hvordan en serviceorganisation beskytter kundedata — målt op mod fem definerede tillidsprincipper (Trust Services Criteria). Resultatet er en rapport udstedt af en uafhængig revisor, ikke et selvudstedt stempel.

Læs den fulde forklaring

Trust Services Criteria

De fem tillidsprincipper

Obligatorisk

Sikkerhed

Security

Beskyttelse af systemer og data mod uautoriseret adgang.

A

Tilgængelighed

Availability

Systemerne er tilgængelige og oppe, som det er aftalt med kunderne.

PI

Behandlingsintegritet

Processing Integrity

Data behandles korrekt, fuldstændigt, rettidigt og autoriseret.

C

Fortrolighed

Confidentiality

Fortrolige oplysninger beskyttes gennem hele deres livscyklus.

P

Privatliv

Privacy

Personoplysninger håndteres efter organisationens privatlivspolitik.

Kun Sikkerhed er obligatorisk i enhver rapport. De øvrige fire medtages, når de er relevante for jeres service. Se hvert princip i dybden →

Rapporttyper

Type I vs. Type II

Type I

Design på ét tidspunkt

Vurderer, om kontrollerne er designet hensigtsmæssigt på en bestemt dato. Hurtigere at opnå og et godt første skridt.

Sammenlign de to typer i detaljer

Hvorfor det betaler sig

Hvad SOC 2 giver din virksomhed

Opbygger tillid

En uafhængig rapport dokumenterer over for kunder og partnere, at I følger anerkendte sikkerhedskontroller.

Åbner salg

Store kunder kræver ofte en SOC 2-rapport, før de køber cloud- og SaaS-ydelser — den fjerner en blokering i salgsprocessen.

Strukturerer sikkerheden

Arbejdet tvinger jer til at dokumentere politikker, adgangsstyring og hændelseshåndtering ét sted.

Understøtter andre krav

Kontrollerne overlapper med bl.a. GDPR og ISO 27001, så I kan genbruge en stor del af arbejdet.

FAQ

Ofte stillede spørgsmål

Er SOC 2 en certificering?

Ikke helt. Til daglig taler mange om "SOC 2-certificering", men SOC 2 resulterer teknisk set i en attestationsrapport udstedt af en uafhængig, autoriseret revisor (typisk en CPA-virksomhed) — ikke et formelt certifikat som ved ISO 27001. Rapporten beskriver revisors vurdering af dine kontroller.

Hvad er forskellen på SOC 2 Type I og Type II?

Type I vurderer, om kontrollerne er designet korrekt på ét bestemt tidspunkt. Type II vurderer også, om kontrollerne rent faktisk virkede effektivt over en periode — typisk 3 til 12 måneder. Type II opfattes som mere omfattende og efterspørges oftest af kunder.

Hvilke af de fem tillidsprincipper er obligatoriske?

Kun Sikkerhed (de såkaldte common criteria) er obligatorisk i enhver SOC 2-rapport. Tilgængelighed, Behandlingsintegritet, Fortrolighed og Privatliv medtages kun, hvis de er relevante for den service, du leverer.

Er SOC 2 lovpligtigt?

Nej. SOC 2 er ikke et lovkrav, men bliver ofte krævet kontraktuelt af kunder — særligt af større virksomheder, der køber cloud- og SaaS-ydelser og skal dokumentere deres leverandørers sikkerhed.

Hvem kan udføre en SOC 2-audit?

En SOC 2-audit skal udføres af en uafhængig, licenseret revisor — i USA en CPA-virksomhed, der er godkendt af AICPA. soc2.dk udfører ikke audits og udsteder ikke rapporter; vi formidler generel viden.

Hvor lang tid tager det at blive SOC 2-klar?

Det varierer. En Type I kan ofte gennemføres på nogle uger til et par måneder efter forberedelse, mens en Type II kræver en observationsperiode på typisk 3–12 måneder oven i selve revisionen. Compliance-automatiseringsværktøjer kan afkorte forberedelsen.