Sikkerhed
Security
Beskyttelse af systemer og data mod uautoriseret adgang.
SOC 2 er den compliance-standard, cloud- og SaaS-virksomheder bruger til at bevise, at kundedata er i sikre hænder. Her får du et uafhængigt, dansk overblik over kriterierne, rapporttyperne og vejen til en attestation.
SOC 2 (System and Organization Controls 2) er en ramme for informationssikkerhed udviklet af den amerikanske revisorforening AICPA. I modsætning til SOC 1, der handler om finansiel rapportering, vurderer SOC 2, hvordan en serviceorganisation beskytter kundedata — målt op mod fem definerede tillidsprincipper (Trust Services Criteria). Resultatet er en rapport udstedt af en uafhængig revisor, ikke et selvudstedt stempel.
Security
Beskyttelse af systemer og data mod uautoriseret adgang.
Availability
Systemerne er tilgængelige og oppe, som det er aftalt med kunderne.
Processing Integrity
Data behandles korrekt, fuldstændigt, rettidigt og autoriseret.
Confidentiality
Fortrolige oplysninger beskyttes gennem hele deres livscyklus.
Privacy
Personoplysninger håndteres efter organisationens privatlivspolitik.
Kun Sikkerhed er obligatorisk i enhver rapport. De øvrige fire medtages, når de er relevante for jeres service. Se hvert princip i dybden →
Vurderer, om kontrollerne er designet hensigtsmæssigt på en bestemt dato. Hurtigere at opnå og et godt første skridt.
Vurderer også, om kontrollerne virkede effektivt over en periode på typisk 3–12 måneder. Mest efterspurgt af kunder.
En uafhængig rapport dokumenterer over for kunder og partnere, at I følger anerkendte sikkerhedskontroller.
Store kunder kræver ofte en SOC 2-rapport, før de køber cloud- og SaaS-ydelser — den fjerner en blokering i salgsprocessen.
Arbejdet tvinger jer til at dokumentere politikker, adgangsstyring og hændelseshåndtering ét sted.
Kontrollerne overlapper med bl.a. GDPR og ISO 27001, så I kan genbruge en stor del af arbejdet.
Standarden, AICPA og hvorfor attestation ikke er det samme som en certificering.
Læs mere → TSCSikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
Læs mere → Type I / IIDesign på ét tidspunkt versus dokumenteret effektivitet over en periode.
Læs mere → RoadmapFem faser fra gap-analyse til løbende overvågning.
Læs mere → vs. ISO 27001To rammer for informationssikkerhed — attestation over for certificering.
Læs mere → VærktøjerHvad automatiseringsplatforme gør, og hvor de har deres begrænsninger.
Læs mere →Skal du forberede en SOC 2, gør compliance-software forberedelsen hurtigere. Her er vores uafhængige overblik over platformene og prisen — uden salgstale.
Vanta, Drata, Secureframe, Sprinto m.fl. rangeret efter, hvad de er bedst til.
Læs mere → PrisRevisor, software og forberedelse — prisintervaller for Type I og Type II.
Læs mere → Vanta vs. DrataDe to mest udbredte platforme sat op mod hinanden, punkt for punkt.
Læs mere → AnmeldelseHvad platformen gør, hvem den passer til, samt fordele og ulemper.
Læs mere → AnmeldelseAPI-først automation — styrker, svagheder og prismodel.
Læs mere → AutomatiseringSådan indsamler compliance-software evidens — og hvad den ikke kan.
Læs mere →Ikke helt. Til daglig taler mange om "SOC 2-certificering", men SOC 2 resulterer teknisk set i en attestationsrapport udstedt af en uafhængig, autoriseret revisor (typisk en CPA-virksomhed) — ikke et formelt certifikat som ved ISO 27001. Rapporten beskriver revisors vurdering af dine kontroller.
Type I vurderer, om kontrollerne er designet korrekt på ét bestemt tidspunkt. Type II vurderer også, om kontrollerne rent faktisk virkede effektivt over en periode — typisk 3 til 12 måneder. Type II opfattes som mere omfattende og efterspørges oftest af kunder.
Kun Sikkerhed (de såkaldte common criteria) er obligatorisk i enhver SOC 2-rapport. Tilgængelighed, Behandlingsintegritet, Fortrolighed og Privatliv medtages kun, hvis de er relevante for den service, du leverer.
Nej. SOC 2 er ikke et lovkrav, men bliver ofte krævet kontraktuelt af kunder — særligt af større virksomheder, der køber cloud- og SaaS-ydelser og skal dokumentere deres leverandørers sikkerhed.
En SOC 2-audit skal udføres af en uafhængig, licenseret revisor — i USA en CPA-virksomhed, der er godkendt af AICPA. soc2.dk udfører ikke audits og udsteder ikke rapporter; vi formidler generel viden.
Det varierer. En Type I kan ofte gennemføres på nogle uger til et par måneder efter forberedelse, mens en Type II kræver en observationsperiode på typisk 3–12 måneder oven i selve revisionen. Compliance-automatiseringsværktøjer kan afkorte forberedelsen.