SOC 2, ook bekend als Beheer serviceorganisatie 2, is een criterium en auditprocedure gericht op technologiebedrijven en providers die vertrouwelijke klantgegevens in de cloud opslaan.
SOC 2 is een set richtlijnen voor compliance-eisen voor bedrijven die cloudgebaseerde opslag van klantgegevens gebruiken. SOC 2 is een essentieel onderdeel van het toezicht op de regelgeving, de leveranciersbeheerprogramma's en het bestuur van uw organisatie.
SOC 2 is een technische audit, en dat is vereist alomvattend informatiebeveiligingsbeleid en procedures die moeten worden geschreven en gevolgd.
Gemaakt door de Auditing Standards Board van het American Institute of Certified Public Accountants (AICPA), SOC 2 is uitdrukkelijk ontworpen voor dienstverleners die klantgegevens in de cloud opslaan. Dit betekent dat SOC 2 van toepassing is op vrijwel elk SaaS-bedrijf, evenals elk bedrijf dat gebruik maakt van de cloud om klantgegevens en de informatie van hun klanten op te slaan.
Het doel van een SOC 2-rapport is het evalueren van een informatiesystemen van de organisatie met betrekking tot hun beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
Vóór 2014 moesten alleen bedrijven die diensten in de cloud leverden voldoen aan de SOC 1-compliancevereisten. Momenteel moet elk bedrijf dat klantgegevens in de cloud opslaat, voldoen aan de SOC 2-vereisten om het risico en de blootstelling aan die gegevens te minimaliseren.
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
Kiezen voor beschermen tegen datalekken is niet alleen een defensieve strategie. Het kan uw bedrijf ook helpen groeien, wat u kunt doen door een SOC 2-audit te doorstaan om klanten en prospects ervan te verzekeren dat hun gegevens veilig zijn tegen kwaadaardige bedreigingen zoals schadelijke inbreuken!
Naleving van SOC 2 kan de reputatie van een bedrijf versterken door de interne controles te documenteren, evalueren en verbeteren.
Type 2-certificering is niet het enige SOC-rapport dat bedrijven kunnen verdienen, maar het is wel een van de meest robuuste.
SOC 2 Type 2-certificering kan organisaties op de volgende manieren ten goede komen:
Een SOC 1-rapport richt zich op de prestaties van outsourcingdiensten door organisaties die relevant zijn voor de financiële verslaggeving van een bedrijf.
Een SOC 2-rapport pakt de risico’s aan van uitbesteding aan externe leveranciers op gebieden die niet tot de financiële verslaggeving behoren. Deze rapporten zijn gebaseerd op Criteria voor vertrouwensdiensten, die vijf categorieën omvat: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
SOC 3-rapporten zijn vergelijkbaar met SOC 2-rapporten. Het zijn rapporten voor algemeen gebruik die de serviceorganisatie als marketinginstrument kan gebruiken en aan potentiële klanten kan verstrekken.
SOC 2-rapporten getuigen van de effectiviteit van de interne controles van een serviceorganisatie die relevant zijn voor vijf Categorieën voor vertrouwensdiensten (voorheen bekend als principes voor vertrouwensdiensten), opgesteld door AICPA.
Organisaties zullen periodiek de effectiviteit van hun beleid evalueren beleid en procedures die ongeoorloofde toegang tot informatie regelen en passende maatregelen nemen wanneer zich een inbreuk voordoet.
De informatie en systemen in een organisatie nodig hebben zowel beschikbaar voor gebruik als operationeel zijn om de doelstellingen van de entiteit te bereiken.
Het systeem verwerkt de transactie nauwkeurig, op tijd en met autorisatie.
Als gegevens als vertrouwelijk worden beschouwd, moeten de toegang en openbaarmaking worden beperkt tot een specifieke groep mensen. Voorbeelden hiervan zijn bedrijfspersoneel, bedrijfsplannen, intellectueel eigendom en andere gevoelige financiële informatie.
Persoonlijk identificeerbare informatie (PII) moeten op een veilige manier worden verzameld, gebruikt, openbaar gemaakt en verwijderd. Het beschermen van klant- en klantgegevens tegen ongeoorloofde toegang is een topprioriteit voor serviceorganisaties die gegevens van externe klanten verwerken, opslaan of verzenden.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
SOC 2 is een auditprocedure die ervoor zorgt dat uw dienstverleners uw gegevens veilig beheren om de belangen van u en uw organisatie te beschermen. Naleving van SOC 2 is een minimale vereiste voor beveiligingsbewuste bedrijven die een SaaS-provider overwegen.
SOC 2 is geen voorgeschreven lijst met controles, tools of processen. In plaats daarvan geeft het de criteria waaraan moet worden voldaan zorgen voor een robuuste informatiebeveiliging. Hierdoor kan elk bedrijf praktijken overnemen en procedures die relevant zijn voor haar doelstellingen en activiteiten.
ISMS.online kan u een platform bieden om u op weg te helpen naar het bereiken van SOC 2-compliance. Elke sectie van SOC 2 wordt gedetailleerd beschreven op het beveiligde platform, waardoor het gemakkelijk te volgen is. Dit vermindert uw werkdruk, kosten en de stress die u ervaart als u niet weet of u alles goed heeft gedaan.
Talrijke voordelen van naleving van SOC 2 zijn onder meer:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Een SOC 2-audit kan alleen worden uitgevoerd door een auditor met een licentie van de Certified Public Accountant (CPA) bedrijf gespecialiseerd in informatiebeveiliging.
Auditors die SOC-audits uitvoeren, worden gereguleerd door en moeten zich houden aan de regels van de AICPA.
Bovendien moet een audit specifieke richtlijnen volgen met betrekking tot de planning en uitvoering van procedures. AICPA-leden moeten ook een peer review ondergaan om ervoor te zorgen dat de audits die zij uitvoeren, worden uitgevoerd volgens aanvaardbare auditnormen.
Een SOC 2-rapport verzekert klanten, management en gebruikersorganisaties van serviceorganisaties van de geschiktheid en effectiviteit van beveiligingsrelevante controles.
De SOC 2-audit omvat doorgaans het volgende:
Terwijl SOC 2 verwijst naar een set van auditrapportenISO 27001 is een norm die eisen stelt aan een Information Security Management System (ISMS).
De vraag zou dat ook niet moeten zijn ISO 27001 of SOC 2, omdat SOC 2 een auditrapport is en ISO 27001 een standaard is voor het opzetten van managementsystemen voor informatiebeveiliging. Het kan worden gezien als een van de resultaten die door een ISMS-implementatie kunnen worden geleverd.
ISO 27001-certificering Het is niet verplicht om een SOC 2-rapport op te stellen, maar een ISO 27001 ISMS kan een solide basis bieden voor het opstellen van dit document zonder grote extra kosten en moeite. Dit vergroot het vertrouwen van klanten dat de organisatie hun informatie kan beschermen.
| - | ISO / IEC 27001 | SOC 2 |
|---|---|---|
| Structuur | Internationale standaard | Attest Standaard |
| Locatie | Wereldwijd | VS gebaseerd |
| Wat wordt gecontroleerd? | Het ontwerp en de operationele effectiviteit van uw Information Security Management System (ISMS) op een bepaald moment | Type 1: Het ontwerp van bedieningselementen op een bepaald moment. Type 2: Het ontwerp en de operationele effectiviteit van controles over een bepaalde periode |
| Resultaat | Er wordt een auditrapport aan de genoemde organisatie verstrekt en een ISO-certificaat – indien certificering wordt verleend | SOC 2 Attestrapport – SOC 2 is geen certificering |
| Afloop | 3 Years | 1 Jaar |
| Betrouwbare servicecriteria | ISO/IEC 27001 Controle en vereisten |
|---|---|
| TSC – VEILIGHEID | A.6.1.5 (Informatiebeveiliging in projectmanagement – 1 controle) |
| A.6 (Mobiele apparaten en telewerken – 2 bedieningselementen) | |
| A.8.1.3 (Aanvaardbaar gebruik van activa – 1 controle) | |
| A.11.2 (Uitrusting – 9 bedieningselementen) | |
| A.13 (Communicatiebeveiliging – 7 controles) | |
| TSC – VERTROUWELIJKHEID | A.8.2 (Informatieclassificatie – 3 controles) |
| A.13.2 (Informatieoverdracht – 3 controles) | |
| A.9.1 (Zakelijke vereisten voor toegangscontrole – 2 controles) | |
| A.9.2 (Gebruikerstoegangsbeheer – 6 bedieningselementen) | |
| A.9.4 (Toegangscontrole van systeem en applicatie – 5 controles) | |
| TSC – INTEGRITEIT VAN VERWERKING | A.14 (Aankoop, ontwikkeling en onderhoud van systemen – 13 bedieningselementen) |
| TSC – BESCHIKBAARHEID | A.17 (Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer – 4 controles) |
| TSC – PRIVACY | A.18.11 (Identificatie van toepasselijke wetgeving en contractuele vereisten – 1 controle) |
| A.18.1.4 (Privacy en bescherming van persoonlijk identificeerbare informatie – 1 controle) |
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Download onze gratis gids voor snelle en duurzame certificering
Zowel de Type I als II SOC 2-rapporten bieden een onafhankelijke beoordeling van de serviceorganisatie, inclusief hun beschrijving van de controles en deskundigenadviezen over de vertegenwoordiging door het management. Deze twee rapporttypen hebben ook gelijke procedures voor het beoordelen van de geschiktheid van systeemontwerpen.
Het belangrijkste verschil tussen een SOC 1 en SOC 2 is dat SOC 1 zich richt op de interne controles van een organisatie die van invloed kunnen zijn op de financiële overzichten van klanten. SOC 2 daarentegen richt zich op operationele controles zoals uiteengezet in de Trust Services Criteria van de AICPA.
De werkzaamheden van de service-auditor voor SOC 2- en SOC 3-rapportages zijn zeer vergelijkbaar. Beide rapporteren volgens de AICPA-normen, dus de geïdentificeerde en geteste controles zijn doorgaans hetzelfde voor beide rapporten. Het belangrijkste verschil tussen deze twee verklaringen zit in de rapportage ervan. Een SOC 3 is altijd een Type II en kent niet de optie voor Type I. Bovendien zijn SOC 2-rapporten beperkt bruikbaar – ontworpen om te worden gebruikt door het management, klanten en de auditors van hun klanten.
SOC 3-rapporten zijn minder gedetailleerd dan SOC 1 & 2-rapporten omdat ze weinig tot geen vertrouwelijke informatie bevatten. De serviceorganisatie kan ze vrijelijk distribueren en is meer geschikt voor documenten met weinig details voor algemeen gebruik.
Dit rapport gaat niet veel in detail over het systeem en hoe het werkt, welke bedieningselementen zijn getest en de resultaten van die tests. SOC 3 is een geweldige manier om uzelf onder de aandacht te brengen bij potentiële klanten, maar op zichzelf zou SOC 3 doorgaans niet voldoen aan de huidige behoeften van klanten of hun auditors.
