USECURE HJELPER DEG Å HOLDE SAMSVAR Dokumenter overholdelse. Reduser menneskelig risiko. Oppfyll globale standarder raskere med automatisert bevisstgjøring, sporingsverktøy for retningslinjer og revisjonsklare rapporter. ISO NIS 2 GDPR DORA PCI HIPAA CIS SOC 2 ISO 27001 Artikkel Krav Løsning Artikkel 7.3 - bevisstgjøring Vedlegg A 6.3 – bevisstgjøring, opplæring og kompetanseheving innen informasjons-sikkerhet Standarden krever at hver enkelt person under din kontroll — ansatte, innleide arbeidstakere og tredjeparter—må kjenne til fire ting: Retningslinje: Medarbeidere trenger ikke å memorere den, men de må vite at den finnes og hvor de kan finne den. Deres bidrag: Medarbeidere må forstå hvordan deres spesifikke jobb skaper sikkerhet (eller sårbarhet). Fordelene: Medarbeidere må forstå hvorfor sikkerhet er viktig. Konsekvensene: Medarbeidere må forstå konsekvensene av svikt. Dette inkluderer disiplinære tiltak, juridisk ansvar og skade på virksomheten. Bevisstgjøring, opplæring og trening innen informasjonssikkerhet (IT-sikkerhetsbevissthet) handler om å informere brukere om betydningen av informasjonssikkerhet. Bevissthet skal motivere dem til å forbedre sine sikkerhetspraksiser på datamaskiner. Medarbeiderne må gjøres oppmerksomme på potensielle sikkerhetsrisikoer knyttet til sine aktiviteter og lære hvordan de kan beskytte seg mot disse. Bevisstgjøring, opplæring og trening innen informasjonssikkerhet er avgjørende for enhver organisasjons suksess. Alt personell må forstå betydningen av informasjons-sikkerhet og hvilke konsekvenser det har for alle. Jo bedre ansatte forstår hvordan de kan beskytte seg mot cybertrusler, desto sikrere blir organisasjonen. Bruk usecure til å gjøre bevissthet om til dokumentasjon. Hver opplæringslogg, bekreftelse på retningslinjer og resultat fra phishing-tester blir loggført, tidsstemplet og kan eksporteres for ISO-revisjoner – slik at du enkelt kan levere «dokumentert informasjon» til revisorer. Hold brukere kontinuerlig i samsvar med regelverket. Automatiserte læringsplaner og påminnelser er i tråd med punkt 7.3 (tidligere 7.2.2 i 2013-versjonen). Vedlegg A.6.3 styrkes med jevnlig opplæring og repetisjon, og revisjonsspor viser nøyaktig når og hvordan bevisstheten ble opprettholdt. Reduser tid brukt på revisjonsforberedelser. Sentraliser opplæringslogger, bekreftelser på retningslinjer og phishing-resultater for å støtte informasjonssikkerhetsstyringssystemet (ISMS), risikohåndteringsplaner og ledelsesevalueringer. NIS 2 Artikkel Krav Løsning Artikkel 21 - Opplæring om datasikkerhet Artikkel 21(2)(g) Får vi grunnleggende cyber-hygiene og ansattopplæring med denne løsningen? Artikkel 21(2)(i) Styrker løsningen HR-sikkerheten, tilgangskontrollpolitikk og håndtering av digitale enheter? Artikkel 21(2)(f) Gir løsningen bevis på at tiltakene er effektive? Artikkel 21(2)(b) Støtter løsningen håndtering av hendelser og rapportering? Artikkel 21(2)(g) Ja, løsningen inkluderer gjentakende, rollebasert opplæring for ansatte og ledelse med fullføringsregistrering. Artikkel 21(2)(i) Ja, bekreftelse av retningslinjer håndheves og følges opp, og innleide arbeidstakere inkluderes for å sikre fullstendig dekning. Artikkel 21(2)(f) Ja, phishing-tester, mikroveiledning og risikotrender brukes til å dokumentere målbare forbedringer. Artikkel 21(2)(b) Ja, brukerne trenes i å oppdage mistenkelig aktivitet og reagere raskt, noe som støtter meldingsplikt. Artikkel 29 - Overholdelse Artikkel 29 Kan løsningen dokumentere overholdelse overfor tilsynsmyndigheter? Artikkel 29 Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer. GDPR Artikkel Krav Løsning Artikkel 39 Artikkel 39 Ansattopplæring GDPR krever regelmessig, dokumentert opplæring for å sikre at teamet ditt forstår prinsippene for personvern, deres ansvar og risikoer som phishing. Dette beskytter ikke bare kundedata, men viser også myndighetene at du tar overholdelse på alvor. Med usecure kan du: Lever GDPR-rettet opplæring Dekk nøkkelprinsipper, rettigheter og rapportering av brudd Valider bevissthet gjennom phishing-tester Reduser sannsynligheten for databrudd Automatiser GDPR-opplæring for ansatte og innleide arbeidstakere Artikkel 5(2) Artikkel 5(2) Ansvarlighet Du må føre oversikt over dine databehandlingsaktiviteter, retningslinjer og opplæring. Tilsynsmyndigheter kan når som helst be om bevis på at du har følgt GDPR-reglene. Å digitalisere dine overholdelsesdokumenter vil redde deg under en uanmeldt revisjon. Med usecure kan du: Distribuer og spor bekreftelse av retningslinjer Sørg for at ansatte aksepterer og følger personvernpolitikk. Gi bevis til myndighetene med sentraliserte dashbord og eksporterbare poster DORA Artikkel Krav Løsning Artikkel 13(6) - Sikkerhetsbevissthet Artikkel 13(6) Pålegger obligatoriske IKT-sikkerhetsbevissthets-programmer og opplæring i digital operasjonell motstandsdyktighet for alle ansatte og ledelsen. Med usecure får du kontinuerlig opplæring og bevisstgjøring, kombinert med atferdsvalidering, samt håndtering av menneskeskapte sårbarheter. Artikkel 5(2)(g) med lenke til Artikkel 13(6) Overvåk bevisstgjøring og opplæring og inkluder i budsjett Bevisdashbord og eksporteringsfunksjoner støtter styringsorganets plikt til å overvåke og budsjettere for bevisstgjøring og opplæring. Artikkel 6 Krav på regelmessig revisjon av IKT Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer. PCI DSS Artikkel Krav Løsning Artikkel 12.6 Artikkel 12.1–12.2 Artikkel 12.6.3.1 Artikkel 12.10 Artikkel 12.6 - kontinuerlig opplæring om datasikkerhet Artikkel 12.1–12.2 - verifisering på at policyer har blitt lest Artikkel 12.6.3.1 - beskyttelse mot phishing Artikkel 12.10 - planlegging for håndtering av hendelser usecure hjelper med dokumentasjon: Oversikt over opplæring og kunnskapsstatus Medarbeidere må lese, og bekrefte med signature, at de har lest retningslinjer Oversikt over phishing-tester og risikoscore for klikk eller nedlasting i en falsk e-post Bevis på beredskap for hendelser registreres med tidsstempler og eksporteres for tilsynsmyndigheter Innleide arbeidskraft og tredjeparter kan inkluderes i opplæring. (Enkelt on-boarding for alle som har tilgang til kortbrukeres opplysninger.) HIPAA Regel Krav Løsning Sikkerhetsregel §164.308(a)(5) Personvernregel §164.530(b)(1) Krever løpende opplæring av medarbeidere for å beskytte helseopplysninger (PHI) og sikre at ansatte forstår sine ansvarsområder. usecure hjelper med dokumentasjon: Oversikt over opplæring og bevissthetstilstand. Medarbeidere må lese, og bekrefte, med signature, at de har lest retningslinjer. Oversikt over phishing-tester og risikoscore basert på klikk eller nedlasting i en falsk e-post. Bevis på beredskap for hendelser registreres med tidsstempler og eksporteres for tilsynsmyndigheter. Håndter HIPAA-opplæring, retningslinjer og rapportering for flere helseklienter fra én plattform. CIS CONTROLS Control Krav Løsning Control 14 - Security Awareness and Skills Training Control 14 Opprett et fullstendig bevisstgjørings- og kompetanseprogram med dokumentasjon på kontinuerlig faglig dyktighet. Control 14.2 Valider motstandsdyktighet og reduser hendelser Kjør målrettede phishing-simuleringer med mikroveiledning for å vise målbart forbedring over tid. usecure sine automatiserte, rollebaserte programmer bygger kontinuerlig kompetanse. Fullførte kurs, repetisjoner og poengsummer tidsstemples og kan eksporteres som dokumentasjon på forespørsel. usecure phishing-simuleringer (med mikroveiledning) skaper målbart forbedring over tid. Control 3, 5, 15, 17 - Dokumentasjon Planlegg og vær forberdt for hendelser og dokumentasjon. usecrue reduserer komplianseinnsatsen med sentralisert dokumentasjon Én plattform for opplæringsposter, bekreftelser på retningslinjer og phishing-trender. Generer eksportklare rapporter for styret og revisorer for Kontroll 14, med støttedokumentasjon for Controls 3, 5, 15 og 17. SOC 2 Artikkel Krav Løsning Artikkel CC1.1 og CC2.1 Artikkel CC4.1 Artikkel CC7.2 Artikkel CC7.4 Artikkel CC1.1 og CC2.1 - Øk ansattes bevissthet og dokumenter kontinuerlig overholdelse. Artikkel CC4.1 - Overvåk aktiviteter Artikkel CC7.2 - Oppdag unormal atferd Artikkel CC7.4 - Planlegg for, og håndter, hendelser usecure sine rollebaserte, automatiserte opplæringsmoduler i samsvar med CC1.1 og CC2.1 hjelper deg med å bygge ansattes bevissthet og dokumentere kontinuerlig overholdelse, noe som reduserer risikoen for menneskelige feil. usecure sine realistiske phishing-tester og mikroveiledning validerer ansattes motstandsdyktighet mot sosial manipulering, i tråd med CC7.2 (overvåking av avvik) og CC7.4 (beredskap for hendelseshåndtering). Med usecure sentralisert rapportering får du oversikt over opplæring, bekreftelser på retningslinjer og phishing-resultater for å støtte CC4.1 (overvåkingsaktiviteter) og reduserer forberedelsestiden for revisjon fra dager til minutter. ISO 27001 × Lukk Virkeområdet GLOBAL - alle kan søke sertifisering - ikke lovpålagt men kan være et krav fra kunden. Beskrivelse International Organization for Standardization ISO/IEC 27001:2022 er den globale standarden for informasjonssikkerhetsstyring (ISMS). Standarden støtter bedrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere. Hovedmål Konfidensialitet: Sikre at kun autoriserte personer har tilgang til informasjon. Integritet: Beskytte informasjon mot uautoriserte endringer. Tilgjengelighet: Sikre at informasjon er tilgjengelig når den trenges. Kjernekomponenter Risikostyring: Identifisere, vurdere og håndtere informasjonssikkerhetsrisiko. Implementere kontroller for å redusere risiko. ISMS-rammeverk: Etablere retningslinjer, prosedyrer og prosesser for å styre informasjonssikkerhet. Kontinuerlig overvåke og forbedre ISMS. Vedlegg A – Kontroller: Et sett med 93 kontroller (per ISO 27001:2022) som dekker områder som tilgangskontroll, kryptering, fysisk sikkerhet og hendelseshåndtering. Sertifiseringsprosess Implementering: Utvikle og implementere et ISMS i samsvar med ISO 27001-krav. Intern revisjon: Vurdere ISMS for overholdelse og effektivitet. Sertifiseringsrevisjon: En ekstern revisor evaluerer ISMS. Hvis systemet er i samsvar, mottar organisasjonen ISO 27001-sertifisering. Oppfølgingsrevisjoner: Regelmessige revisjoner for å opprettholde sertifiseringen. Fordeler med ISO 27001 Forbedret sikkerhet: Reduserer risikoen for datainnbrudd og cybertrusler. Regulatorisk overholdelse: Hjelper med å oppfylle juridiske og regulatoriske krav. Kundetillit: Demonstrerer forpliktelse til å beskytte sensitiv informasjon. Konkurransefortrinn: Skiller organisasjoner i markedet. Hvem bør bruke ISO 27001? Organisasjoner av alle størrelser og bransjer som håndterer sensitiv informasjon. Bedrifter som ønsker å forbedre sin informasjonssikkerhet NIS 2 × Lukk Beskrivelse Formålet med Network and Information Security 2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU. GDPR × Lukk Virkeområdet EU - gjelder for alle organisasjoner som behandler personopplysninger om EU-borgere, uavhengig av hvor organisasjonen er lokalisert. Beskrivelse General Data Protection Regulation er en EU-forordning som fastsetter regler for beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger, samt regler for fri flyt av personopplysninger. Forordningen beskytter grunnleggende rettigheter og friheter for enkeltpersoner, og særlig deres rett til vern av personopplysninger. Hovedmål med GDPR Beskyttelse av personopplysninger GDPR skal sikre at personopplysninger behandles på en måte som beskytter enkeltpersoners rettigheter og personvern. Standardisering av personvernregler Skape ensartede regler for databeskyttelse i hele EU, slik at både borgere og bedrifter har klare retningslinjer. Gi enkeltpersoner kontroll Styrke enkeltpersoners rettigheter over sine egne data, inkludert rett til innsyn, retting og sletting. Regulere internasjonale datastrømmer Sikre at personopplysninger overføres trygt også utenfor EU, med tilstrekkelige beskyttelsestiltak. Kjernekomponenter i GDPR Lovlighet, rettferdighet og gjennomsiktighet Personopplysninger må behandles lovlig, rettferdig og på en åpen måte for den registrerte. Formålsbegrensning Data kan kun samles inn for spesifikke, eksplisitte og legitime formål. Dataminimering Bare nødvendig informasjon skal samles inn og behandles. Nøyaktighet Personopplysninger må være korrekte og oppdatert. Lagringsbegrensning Data kan ikke lagres lenger enn nødvendig for formålet. Integritet og konfidensialitet Personopplysninger må beskyttes mot uautorisert tilgang, tap eller ødeleggelse. Ansvarlighet Organisasjoner må kunne dokumentere overholdelse av GDPR. Plikter for organisasjoner Melde databrudd til tilsynsmyndigheter innen 72 timer. Utpeke en personvernombud (Data Protection Officer, DPO) om nødvendig. Gjennomføre personvernvurderinger (Data Protection Impact Assessments, DPIA) for risikofylte prosjekter. DORA × Lukk Virkeområdet EU - gjelder for alle finansielle aktører, uavhengig av størrelse, inkludert banker, forsikringsselskaper, investeringsselskaper, betalingstjenesteleverandører, verdipapirforetak, børser, pensjonsforetak, finansielle infrastrukturer, samt IKT-leverandører som yter kritiske tjenester til finansielle enheter. Beskrivelse Formålet med Digital Operational Resilience Act er å sikre høy grad av digital operasjonell motstandsdyktighet hos foretak i finanssektoren. DORA gir regler for styring av risiko, hendelseshåndtering, testing av digital operasjonell motstandsdyktighet, styring av tredjepartsrisiko og deling av informasjon på IKT-området.edrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere. Kjernekomponenter i DORA 1. IKT-risikostyring Organisasjoner må etablere et robust rammeverk for å identifisere, vurdere, håndtere og overvåke IKT-risiko. Dette inkluderer: Risikoidentifisering: Kartlegging av potensielle trusler (f.eks. cyberangrep, systemfeil). Risikovurdering: Analyse av sannsynlighet og konsekvenser. Risikoreduserende tiltak: Implementering av sikkerhetsløsninger (f.eks. kryptering, tilgangskontroll). Overvåking og rapportering: Kontinuerlig oppfølging og dokumentasjon. 2. IKT-hendelseshåndtering Organisasjoner må ha klare prosesser for å håndtere, klassifisere og rapportere IKT-hendelser: Deteksjon: Oppdage hendelser raskt (f.eks. via overvåkingsverktøy). Respons: Iverksette tiltak for å begrense skader. Rapportering: Melde alvorlige hendelser til tilsynsmyndigheter (f.eks. Finanstilsynet i Norge) innen 1 time etter oppdagelse. Gjenoppretting: Sikre rask tilbakeføring til normal drift. 3. Digital operasjonell motstandsdyktighetstesting Organisasjoner må regelmessig teste sin digitale motstandsdyktighet: Sårbarhetstester: Identifisere svakheter i systemer. Trusselsimuleringer: Simulere cyberangrep for å teste respons. Penetrasjonstester: Aktive tester for å avdekke sikkerhetshull. Frekvens: Minst årlig for kritiske systemer. 4. IKT-risiko fra tredjeparter Organisasjoner må overvåke og styre risiko knyttet til leverandører og underleverandører: Due diligence: Vurdere tredjeparters sikkerhetsnivå før samarbeid. Kontraktskrav: Sikre at avtaler inkluderer sikkerhetskrav og ansvarsfordeling. Kontinuerlig overvåking: Regelmessig evaluere tredjeparters etterlevelse. 5. Informasjonsdeling Organisasjoner må dele relevant informasjon om IKT-trusler og hendelser med: Tilsynsmyndigheter (f.eks. Finanstilsynet). Andre finansielle aktører (for å forebygge systemiske risikoer). EUs cybertrusselsinformasjonsplattform (f.eks. ECCC – European Cyber Crises Coordination). PCI-DSS × Lukk Virkeområdet GLOBAL - gjelder alle organisasjoner som er involvert i betalingskort-transaksjoner, uavhengig av størrelse eller bransje. Inkluderer forhandlere, prosessorer, oppkjøpere, utstedere og tjenesteleverandører. Beskrivelse Payment Card Industry Data Security Standard gir et grunnleggende sett av tekniske og operative krav utformet for å beskytte betalingskontoinformasjon. Virkeområdet omfatter enheter som lagrer, behandler eller overfører kortinnehaverdata (CHD) og/eller sensitiv autentiseringsdata (SAD), eller som kan påvirke sikkerheten i kortinnehavermiljøet (CDE). 12 hovedkravene i PCI-DSS Installer og vedlikehold en brannmur for å beskytte kortdata Brannvegger må konfigureres for å begrense trafikk til og fra systemer som håndterer kortdata. Standardiserte sikkerhetsregler må dokumenteres og oppdateres Ikke bruk standardpassord eller usikre innstillinger fra leverandører Endre alle standardpassord og fjern unødvendige tjenester/protokoller. Sikre at alle systemer har unike, sterke passord. Beskytt lagrede kortdata Krypter kortdata under lagring (f.eks. med AES-256). Masker PAN (Primary Account Number) når det vises (f.eks. kun de 4 siste sifrene). Ikke lagre sensitiv autentiseringsdata (f.eks. CVV/CVC, PIN-koder). Krypter overføring av kortdata over åpne, offentlige nettverk Bruk sterk kryptering (f.eks. TLS 1.2 eller høyere) for å beskytte data under overføring. Beskytt alle systemer mot skadelig programvare Installer og oppdater antivirusprogrammer på alle systemer. Utfør regelmessige skanninger for skadelig programvare. Utvikle og vedlikehold sikre systemer og applikasjoner Oppdater all programvare med de nyeste sikkerhetspatchene. Fjern eller beskyt sårbare applikasjoner. Implementer sikker programmeringspraksis for å unngå sårbarheter Begrens tilgang til kortdata til kun de som trenger det Bruk rollebasert tilgangskontroll (RBAC) for å begrense tilgang. Implementer tofaktorautentisering for fjerntilgang Tildel unike brukernavn og passord til alle med tilgang Passord må være komplekse og oppdateres regelmessig. Bruk multifaktorautentisering (MFA) for alle eksterne og administrative tilganger. Begrens fysisk tilgang til kortdata Bruk tilgangskontroll (f.eks. nøkkelkort, biometri) til serverrom og kontorer. Overvåk fysiske områder med videoovervåking og loggføring av besøkende. Logg og overvåk all tilgang til kortdata Loggfiler må inneholde hvem, når, og hva som ble tilgang til. Oppbevar loggene i minst 1 år (3 måneder lett tilgjengelig). Test sikkerheten regelmessig Utfør kvartalsvise sårbarhetsskanninger. Gjennomfør årlige penetrasjonstester (utført av kvalifiserte tredjeparter). Bruk intrusjonsdetekteringssystemer (IDS) og intrusjonsforebyggingsystemer (IPS). Vedlikehold en sikkerhetspolicy for all personell Utvikle og oppretthold en sikkerhetspolicy som dekker ansvarsfordeling, risikostyring, og håndtering av hendelser. Alle ansatte må være opplært i PCI-DSS-krav og sikkerhetsrutiner. Utfør årlig sikkerhetsopplæring for alle ansatte. HIPAA × Lukk Virkeområdet USA - enhver virksomhet som ved avtale har forpliktet seg til å følge den. Beskrivelse Norges versjon av HIPAA er Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren. Hovedmål med normen Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern hos den enkelte virksomhet, i infrastruktur, nettverk- og informasjonssystemer i helsesektoren generelt. Normen skal bidra til å forebygge, avdekke, motvirke og håndtere uønskede hendelser i nettverk- og informasjonssystemer, tjenester og produkter som brukes for å levere digitale tjenester i helsesektoren. Normen skal bidra til at påvirkede virksomheter har egnede tekniske, organisatoriske, fysiske og personellmessige tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger. Last ned EXCEL-ark med krav i normen. CIS CONTROLS × Lukk Virkeområdet GLOBAL - anbefalt for alle Beskrivelse Center for Internet Security Controls er et prioriterte sett med anbefalte sikkerhetstiltak utviklet for å beskytte mot de mest utbredte cybertruslene mot systemer og nettverk. CIS Controls oppdateres jevnlig basert på trussellandskapet og kan brukes som sikkerhetens sjekkliste. CIS Critical Security Controls (CIS 18) Inventar og kontroll av maskinvareenheter Inventar og kontroll av programvareenheter Kontroll av kontinuerlig sårbarhetsstyring Kontrollerte bruk av administrative privilegier Sikker konfigurasjon av maskinvare og programvare på enheter Opprettholdelse, overvåking og analyse av sikkerhetslogger E-post- og nettleserbeskyttelse Beskyttelse mot skadelig programvare Begrensning og kontroll av nettverkstrafikk Datagjenoppretting Sikker konfigurasjon av nettverksenheter Grensebeskyttelse (Endepunkter) Databeskyttelse Kontrollert tilgang basert på behov Kontroll og beskyttelse av trådløse tilgangspunkter Overvåking og kontroll av brukeratferd Implementering av et sikkerhetsbevissthets- og opplæringsprogram Sikkerhetsprogram for applikasjonsprogramvare SOC 2 × Lukk Virkeområdet USA - frivillig men krav for enhver virksomhet som, ved avtale, har forpliktet seg til å følge den. Beskrivelse Service Organization Control 2 er et rammeverk utviklet av AICPA (American Institute of Certified Public Accountants) for rapportering. Den brukes til å vurdere et selskaps interne kontroller for å sikre kundedata og teknisk utvikling. En SOC 2-rapport dokumenterer om organisasjonens sikkerhetstiltak er robuste og effektive. For å oppnå SOC 2-samsvar må selskaper etablere klare retningslinjer og prosedyrer for datasikkerhet, som alle ansatte må følge. Dette omfatter også kontinuerlig arbeid med å styrke selskapets IT-infrastruktur og systemer. 5 tillitsprinsipper i SOC 2 Sikkerhet: Beskyttelse av systemer og data mot uautorisert tilgang, både fysisk og logisk. Nøkkelementer: Tilgangskontroll (f.eks. brukernavn/passord, multifaktorautentisering) Nettverksikkerhet (f.eks. brannmurer, kryptering) Overvåking og håndtering av sikkerhetshendelser Beskyttelse mot skadelig programvare Tilgjengelighet: ystemer, produkter eller tjenester er tilgjengelige for drift og bruk som avtalt. Nøkkelementer: Overvåking av systemytelse og oppetid Planlegging for katastrofe- og gjenoppretting (DRP) Redundans og feiltoleranse i infrastrukturen Behandlingsintegritet: Systemer og prosesser utfører sine oppgaver fullstendig, nøyaktig, rettidig og med tillatelse. Nøkkelementer: Validering av data og transaksjoner Overvåking av feil og unntak Automatiserte kontroller for å forhindre eller oppdage feil Konfidensialitet:Beskyttelse av sensitiv informasjon, som personopplysninger eller forretningshemmeligheter, mot uautorisert tilgang eller avsløring. Nøkkelementer: Klassifisering og håndtering av konfidensiell informasjon Kryptering av data (både i transit og i hvile) Tilgangskontroll og avtaler om taushetsplikt Personvern: Beskyttelse av personopplysninger i samsvar med gjeldende lover og regler (f.eks. GDPR). Nøkkelementer: Innsamling, bruk, lagring og sletting av personopplysninger Samtykkehåndtering og brukerrettigheter Overholdelse av personvernreguleringer 2 typer sertifiseringer i SOC 2 Type I vurderer utformingen og eksistensen av interne kontroller på et bestemt tidspunkt, og sikrer at de er tilstrekkelig strukturert for å oppfylle gjeldende kriterier. Denne typen revisjon gir et øyeblikksbilde av kontrollene som er på plass, og bekrefter deres tilstedeværelse og egnethet for å beskytte data. I Type II rapporterer den eksterne revisoren om egnetheten til utformingen og eksistensen av kontrollene, samt om driftsmessig effektivitet av disse kontrollene i løpet av en definert periode. Dette innebærer at den eksterne revisoren gjennomfører en detaljert undersøkelse av tjenesteorganisasjonens interne kontroller og også vurderer om alle kontroller fungerer effektivt i samsvar med forhåndsdefinerte prosesser, kontroller og prosedyrer.