Security
SOC 2
SOC 2 is een auditingraamwerk van de AICPA voor serviceproviders die data namens klanten verwerken of hosten. Onafhankelijke auditors toetsen of interne controles rond security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy betrouwbaar zijn ingericht en aantoonbaar werken. Het is vooral gangbaar bij cloud- en SaaS-leveranciers die bedrijfskritische systemen aanbieden.
SOC2 · Ook bekend als: SOC II, System and Organization Controls 2, SOC 2 Type II
SOC 2 in het kort
SOC 2 is ontwikkeld voor serviceorganisaties die data voor klanten verwerken of beheren, typisch cloud- en SaaS-aanbieders. Een auditor beoordeelt of de interne controles rond vijf trust service criteria betrouwbaar zijn ingesteld: security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Niet elke organisatie laat alle criteria auditen; security is het meest gangbaar.
Type I versus Type II
Er zijn twee types rapporten. Een Type I rapport beschrijft op een moment of de controles goed zijn ontworpen. Een Type II rapport toont over een langere periode, vaak 6 tot 12 maanden, dat die controles ook consequent werken. Voor due diligence bij een nieuwe SaaS- of AI-tool is Type II meestal het sterkste bewijs.
SOC 2 beoordelen als KMO
Belgische KMO's krijgen SOC 2-rapporten vaak onder een geheimhoudingsovereenkomst van de leverancier. Dat is normaal, maar vraag wel expliciet welke criteria zijn geaudit, welke periode het rapport dekt en of er relevante uitzonderingen of bevindingen zijn.
Wat betekent SOC 2?
SOC 2 is een auditingraamwerk van de AICPA voor serviceproviders die data namens klanten verwerken of hosten. Onafhankelijke auditors toetsen of interne controles rond security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy betrouwbaar zijn ingericht en aantoonbaar werken. Het is vooral gangbaar bij cloud- en SaaS-leveranciers die bedrijfskritische systemen aanbieden.