ISAE 3402 - Dokumenterad kontroll av drift och databehandling
Som en del av twoday omfattas Addo Sign av en ISAE 3402-rapport upprättad av en oberoende revisor. Detta ger dig som kund trygghet i att våra drift- och databehandlingsprocesser är väl dokumenterade, övervakade och kontrollerade enligt internationellt erkända standarder.
Vad är ISAE 3402?
ISAE 3402 (International Standard on Assurance Engagements 3402) är en internationell revisionsstandard som används för att bedöma och dokumentera interna kontroller hos tjänsteorganisationer – t.ex. IT-leverantörer, databehandlare och driftspartner. Standarden gör det möjligt för organisationer att visa att de har tillräckliga kontroller för att skydda sina kunders data och säkerställa stabil drift.
En ISAE 3402-rapport är särskilt relevant när ett företag hanterar kritiska data eller driftuppgifter för andras räkning – och behöver dokumentera att dessa uppgifter utförs ansvarsfullt och säkert.
Syftet med ISAE 3402
Syftet med ISAE 3402 är att ge kunder och samarbetspartners en hög grad av säkerhet att interna kontroller, riskhantering och processer är under kontroll. Standarden kräver att kontroller inte bara finns utan också fungerar effektivt över tid. Därför dokumenterar rapporten både utformningen och den effektiva verksamheten av kontrollerna.
ISAE 3402 används ofta som dokumentation i samband med outsourcing, efterlevnad och revision – och fungerar som ett kvalitetsmärke för IT- och tjänsteföretag.
Vad bedöms i revisionen?
Revisionen utförs av en oberoende revisor som bedömer flera viktiga områden såsom databehandling, systemtillgänglighet, förändringshantering, åtkomstkontroll, incidenthantering och den övergripande säkerhetsorganisationen. Revisorn utvärderar både hur kontrollerna är utformade och hur de har fungerat i praktiken över tid.
Två typer av rapporter kan utfärdas:
Typ I: Bedömer om kontrollerna är korrekt utformade vid en given tidpunkt.
Typ II: Bedömer både utformningen och den effektiva funktionen över en längre period.
Vad betyder detta för Addo Signs kunder?
Eftersom Addo Sign är en del av twoday är det twoday som har mottagit ISAE 3402-rapporten. Rapporten täcker viktiga funktioner och system som Addo Sign är integrerat med – inklusive drift, hosting, datasäkerhet och användaradministration. Det innebär att Addo Signs kunder kan lita på att data hanteras säkert och i enlighet med dokumenterade kontrollprocedurer.
ISAE 3402 är därmed ett viktigt komplement till vår efterlevnad av GDPR och andra säkerhetsåtgärder.
En del av vår kontrollmiljö
ISAE 3402 är en nyckelkomponent i twodays och Addo Signs samlade kontroll- och compliance-upplägg. Den oberoende revisionen bidrar till att dokumentera att vi arbetar strukturerat och ansvarsfullt med driftkontroll och informationssäkerhet – till gagn för kunder, partners och tillsynsmyndigheter.
