® 
SOC 2
Definitie
SOC 2 (Service Organization Control 2) is een Amerikaans auditrapport dat aantoont dat een dienstverlener voldoet aan beveiligings-, beschikbaarheids-, verwerkingsintegriteits-, vertrouwelijkheids- en privacystandaarden van het AICPA.
SOC 2 (Service Organization Control 2) is een Amerikaans auditframework dat aantoont dat een dienstverlener voldoet aan de Trust Services Criteria van het AICPA op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 2 is met name relevant voor SaaS-aanbieders, clouddienstverleners en managed service providers die klanten in de VS of internationale markten bedienen.
Hoe werkt SOC 2?
Een SOC 2-audit wordt uitgevoerd door een onafhankelijke CPA-firma (Certified Public Accountant). Er zijn twee typen: SOC 2 Type I beoordeelt de opzet en implementatie van beveiligingsmaatregelen op een specifiek moment. SOC 2 Type II beoordeelt de effectiviteit van beveiligingsmaatregelen over een periode van minimaal 6 maanden. Type II is significant waardevoller omdat het niet alleen toont dat maatregelen bestaan maar ook dat ze daadwerkelijk werken.
Verschil met ISO 27001
ISO 27001 is een internationaal certificaat met een focus op het managementsysteem voor informatiebeveiliging (ISMS). SOC 2 is een Amerikaans auditrapport gericht op de VS-markt met focus op specifieke Trust Services Criteria. Veel internationale organisaties hebben beide: ISO 27001 voor de Europese markt en SOC 2 voor de Amerikaanse markt.
Impact voor organisaties
Klanten, met name in de VS, eisen steeds vaker SOC 2-rapporten als voorwaarde voor het afnemen van clouddiensten. Het ontbreken van een SOC 2-rapport kan een belemmering vormen voor het sluiten van deals met Amerikaanse klanten.
Bescherming
Implementeer beveiligingsmaatregelen die voldoen aan de Trust Services Criteria. Documenteer beleid, processen en procedures. Voer een gap-assessment uit voor de audit. Werk met een ervaren CPA-firma voor de audit.
Hoe DEFION helpt
DEFION ondersteunt bij de voorbereiding op SOC 2-audits via Security Assessments die de huidige beveiligingshouding evalueren tegen de Trust Services Criteria.