anonym.legal

By · Last updated 2026-03-19

Til baka á BloggTæknilegt

ISO 27001 + ZK styttir mat á lánardrottnum

Könnun frá 2025 leiddi í ljós að 'skortur á viðurkenndum öryggisvottun' var nr. 2 ástæðan fyrir því að CISO-ar hafna SaaS-lánardrottnum. Hér er hvað ISO 27001 + ZK gerir.

March 19, 20267 mín lestur
ISO 27001 certificationvendor assessmentCISO procuremententerprise securityzero-knowledge

Vottunargjáin í lánardrottnainnkaupum

Öryggisfræðiteymi fyrirtækja fara yfir tugi lánardrottna á hverju ári. Þau þurfa skjótan sía. ISO 27001 vottur gefur þeim hann. Endurskoðandi hefur þegar athugað stýringar lánardrottins. Það sparar innra teyminu að gera sömu vinnu aftur.

Lánardrottnar án þessar vottunar verða að byggja upp málstað sinn í hverri sölu. Það kostar tíma beggja vegna. Það hægir á úttektina og eykur hættu á misheppnuðum athugun.

Hvað staðallinn frá 2022 nær yfir

Viðauki A í núverandi útgáfu hefur 93 stýringar í fjórum hópum: skipulagslegar, mannlegar, líkamlegar og tæknilegar. Teymi einblína á nokkur lykilsvæði.

Dulmálsstýringar (viðauki A 8.24): Lánardrottinn verður að skilgreina reglur um lyklaNotkun. Þær ná yfir hvernig lyklar eru búnir til, geymdir, aðgengilegir og fjarlægðir. Vottur sýnir að endurskoðandi staðfesti að þessi stefna virkar.

Aðgangsstýring (viðauki A 8.2-8.5): Aðgangur starfsmanna að gögnum viðskiptavina verður að fylgja lágmarksréttindarreglum. Vottur sýnir að þessar takmarkanir eru skráðar og framfylgdar.

Samband við birgja (viðauki A 5.19-5.22): Lánardrottnar verða að skrá öryggisreglur fyrir eigin birgja. Þetta skiptir máli þegar kaupendur verða að sanna að eigin lánardrottnar þeirra séu öruggir.

Skírteinið staðfestir að ferlis- og skipulagsstýringar eru til staðar. Það dregur sérsnidna úttektina saman í minni hóp arkitektúrspurninga sem staðallinn fjallar ekki um.

Spurningin sem vottunin svarar ekki

Staðallinn svarar ferlisSpurningum. Hann svarar ekki því sem reglubundin fyrirtæki hafa mest áhyggjur af: getur lánardrottinn lesið gögn okkar?

Vottaður lánardrottinn getur enn haft lykla á þjónustuþjóni. Vottur staðfestir að lyklastjórnun fylgir stefnu. Hann staðfestir ekki að þessi stefna hindri aðgang lánardrottins að ódulkóðuðum gögnum.

Núllþekkingaruppbygging svarar því sem staðallinn lætur eftir opið. Lyklar eru búnir til á hlið viðskiptavinarins. Engir lyklar sitja á þjónustuþjóninum. Gögn eru dulkóðuð með AES-256-GCM áður en þau fara frá viðskiptavininum. Lánardrottinn getur ekki lesið gögn viðskiptavina. Það er uppbyggingarlegt staðreynd, ekki stefnuval.

Þetta nær yfir tvær aðskildar áhyggjur. Skírteinið fullnægir ferlis- og skipulagsathugunum í innkaupaeyðublöðum. Núllþekkingaruppbygging fullnægir gagnaaðgangsáhyggjunni sem reglubundin fyrirtæki meta hæst. Saman hreinsa þær tvær aðalhlið fyrir samþykki skýjalánardrottins í heilbrigðis-, fjármála- og lagalegum mörkuðum.

Sjá hvernig núllþekkingaruppbygging svarar öryggiskönnunum og farðu yfir yfirlit yfir öryggi og samræmni.

Hvernig þetta hefur áhrif á úttektartíma

Lánardrottnaúttektir á reglubundnum mörkuðum taka tíma. Þær innihalda spurningalinnavinnu, skjalaskoðun, arkitektúrskoðun og oft símtal við öryggisteymið.

Vottun styttir skjalaskoðunina. Skírteinið og yfirlýsing um gildissvið þjóna sem sönnun. Endurskoðandi hefur þegar athugað stýringarnar. InnkaupaTeymið þarf ekki að endurtaka þá vinnu.

Núllþekkingaruppbygging styttir arkitektúrskoðunina. Gagnaaðgangs spurningin hefur skýrt uppbyggingarlegt svar. Það er ekkert að semja um fyrir utan uppbygginguna sjálfa.

Báðir þættirnir draga úr fram og tilbaka sem lengir lánardrottnaúttektir. Teymi hreyfast hraðar þegar erfiðar spurningar fá bein svör í fyrstu innsendingu. Færri umferðir þýða færri tafir.

Fyrir lánardrottna á reglubundnum mörkuðum skiptir þetta máli í hverri sölu. Styttri úttektir þýða styttri söluferla. Á stigi fyrirtækjasamning a er þessi munur fljótur að leggjast saman. Söluaðilar sem geta svarað erfiðustu spurningunum á fyrsta degi þurfa að glíma við minna núning í öllu ferlinu.

Fyrir fyrirtækjakaupendur þýðir samsetningin sterkara áhættusnið. Lánardrottinn sem getur ekki lesið gögn viðskiptavina og hefur endurskoðaðar skipulagsstýringar gefur skýra sönnun fyrir öryggisskuldbindingu. Faðu frekari upplýsingar í algengar spurningar.

Heimildir

Tengdar Greinar

Tæknilegt

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tæknilegt

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tæknilegt

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Ertu tilbúinn að vernda gögnin þín?

Byrjaðu að anonymiza PII með 285+ gerðum í 48 tungumálum.

Byrjaðu Ókeypis PrufuSkoða Eiginleika

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.