SOC 2:s CC8.1 kräver att förändringar i produktion är auktoriserade, granskade och testade. För ett mjukvarubolag bevisas det i GitHub — branch protection, required reviews och gröna CI-gates. Vi visar var ni står.
Kör gratis domänscan Alla kontroller →Vi mappar SOC 2:s change management-krav mot konkreta GitHub-kontroller: att ingen kan pusha direkt till produktion utan granskning, att CI måste passera före merge, att admins inte kringgår reglerna och att förändringshistoriken är spårbar per commit.
CC8.1 är ofta den kriteriepunkt där tech-bolag fastnar i revisionen — inte för att processen saknas, utan för att den inte kan bevisas tekniskt. Branch protection och required reviews är den evidens en revisor faktiskt godtar.
Ersätter detta vår SOC 2-revision?
Nej — vi levererar den tekniska evidensen för CC8.1 som ni och er revisor använder. Vi utfärdar inte SOC 2-rapporten.
Type I eller Type II?
Evidensen tjänar båda — Type II kräver dessutom att kontrollen bevisas fungera över tid, vilket branch protection-historiken visar.
Måste koden lämna oss?
Nej — kontrollen läser repo-inställningar via API och kan köras utan att koden lämnar miljön.
Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.
Kör gratis domänscan