Comp AI

Compliance er for mange danske virksomheder gået fra en formalitet til en forudsætning for at vinde kunder. Større indkøbere og enterprise aftaler kræver i stigende grad dokumenteret informationssikkerhed i form af en SOC 2 rapport eller en ISO 27001 certificering, før de overhovedet vil skrive under. Den proces har traditionelt været tung: spredte regneark, manuel indsamling af skærmbilleder som bevis, dyre konsulenttimer og måneders ventetid.

Comp AI er en compliance automatiseringsplatform, der samler dokumentation, politikker, kontroller og løbende overvågning ét sted. Platformen bruger AI agenter til at indsamle evidens automatisk på tværs af de systemer, virksomheden allerede bruger, så meget af det manuelle arbejde forsvinder. Den dækker rammeværk som SOC 2, ISO 27001, HIPAA og GDPR, i alt mere end 25 forskellige standarder. Det, der adskiller Comp AI fra de fleste konkurrenter, er, at platformen er open source under AGPLv3 og bygget som open core. Det betyder, at hele kodebasen kan revideres på GitHub, og at virksomheder med de rette ressourcer kan self hoste løsningen.

I praksis arbejder Comp AI på tre fronter. AI agenter henter løbende evidens fra over 580 integrationer, fra cloud platforme og kodeværktøjer til HR- og adgangsstyringssystemer, så kontrollerne dokumenteres automatisk frem for ved manuel opsamling før hver audit. Platformen genererer desuden sikkerhedspolitikker ud fra virksomhedens faktiske infrastruktur i stedet for generiske skabeloner, der skal tilrettes bagefter. Endelig findes en device agent, der hver time tjekker medarbejdernes enheder for diskkryptering, antivirus, skærmlås og adgangskodepolitik.

For en dansk SaaS virksomhed med 15 til 40 ansatte kan det betyde, at vejen til den første SOC 2 rapport går fra et halvårsprojekt til et langt mere overskueligt forløb. Et udviklingshus, der vil ind hos større kunder, kan bruge platformens Trust Center til at vise sin sikkerhedsstatus offentligt, mens den AI baserede besvarelse af sikkerhedsspørgeskemaer fjerner en stor del af det gentagne arbejde i salgsfasen. For virksomheder, der allerede er certificerede, ligger den reelle gevinst i den løbende overvågning: certificering er ikke en engangsopgave, men en tilstand, der skal vedligeholdes året rundt.

Comp AI kan bruges gratis, hvis man self hoster, fordi kernen er open source. Vil man have den driftede cloud version, begynder de offentligt oplyste abonnementer omkring 199 USD om måneden, mens en Pro pakke i niveauet 997 USD om måneden inkluderer en tredjepartsaudit. Derudover tilbydes Done For You- og enterprise pakker efter aftale.

Et vigtigt forbehold: auditomkostninger ligger ofte oveni abonnementet, og det er værd at få bekræftet, om honoraret til selve auditoren er med i den pakke, man kigger på. Priser og pakkesammensætning ændres løbende, så de aktuelle tal bør altid hentes direkte hos leverandøren frem for at tages for gode varer ud fra et øjebliksbillede.

De mest oplagte alternativer er Vanta og Drata, der begge er etablerede og modne platforme inden for samme felt. De har et stort økosystem, bred integrationsdybde og lang erfaring med både store kunder og regulerede brancher. Til gengæld er de typisk dyrere og lukkede, så man kan ikke gennemgå kontrollerne i kildekoden eller drive platformen selv.

Comp AIs styrke er prisen, åbenheden og muligheden for self hosting. For et lille team, der ønsker fuld indsigt i, hvordan kontrollerne fungerer, eller som af principielle eller datapolitiske grunde vil hoste løsningen selv, er det en reel fordel. Vejes det op, handler valget i høj grad om modenhed kontra fleksibilitet: Vanta og Drata er det trygge valg i et stort, reguleret miljø, mens Comp AI giver mere kontrol og en lavere indgangspris. Secureframe er et tredje alternativ, der ligesom de to andre er en kommerciel, lukket platform.

Comp AI passer bedst til startups og scale ups, ikke mindst SaaS- og AI virksomheder, der skal i mål med deres første SOC 2- eller ISO 27001 certificering hurtigt og til en lavere pris end ved traditionelle konsulenter. Det er også et naturligt valg for teams, der prioriterer open source og vil kunne efterse kontrollerne selv.

Man bør overveje et alternativ, hvis man opererer i et stort, stærkt reguleret miljø, hvor lang driftshistorik, dyb support og bevist integrationsdybde vejer tungere end pris og åbenhed, platformen er ung og lanceret i 2025. Vil man self hoste og bygge videre på koden, er det desuden værd at sætte sig ind i, hvad AGPLv3 licensen indebærer, og være opmærksom på, at enkelte enterprise funktioner ligger under kommerciel licens i open core modellen.

At komme i gang kræver først og fremmest en afklaring af, hvilket rammeværk virksomheden reelt har brug for, og hvilke systemer der skal kobles på via integrationerne. Selve den tekniske opsætning er forholdsvis hurtig, men det faglige forarbejde, at oversætte forretningens processer til kontroller, der kan dokumenteres, er som regel det, der afgør, om et compliance projekt lykkes.

Her kan det betale sig at få et uvildigt blik på både valg af platform og selve implementeringen, så man ikke betaler for funktioner, man ikke bruger, eller undervurderer auditomkostningerne. Lodværk hjælper danske virksomheder med at vælge det rette compliance værktøj og sætte det rigtigt op fra start, uanset om svaret bliver Comp AI eller en af de etablerede platforme.