Service Organization Controls 2 - De Amerikaanse standaard voor beveiliging, beschikbaarheid en privacy bij clouddiensten.
SOC 2 is een audit-framework ontwikkeld door AICPA dat de controls van een serviceorganisatie beoordeelt op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
Security is altijd vereist, de andere criteria zijn optioneel
Bescherming van informatie en systemen tegen ongeautoriseerde toegang.
CC1-CC9 (Common Criteria)Systemen zijn beschikbaar voor werking en gebruik zoals overeengekomen.
A1.1-A1.3Systeemverwerking is volledig, geldig, nauwkeurig en tijdig.
PI1.1-PI1.5Informatie aangemerkt als vertrouwelijk wordt beschermd zoals overeengekomen.
C1.1-C1.2Persoonsgegevens worden behandeld volgens het privacybeleid.
P1-P8Beoordeelt het ontwerp van controls op een specifiek moment. Sneller en goedkoper, maar minder overtuigend.
Beoordeelt ontwerp EN effectiviteit van controls over een periode (typisch 6-12 maanden). Uitgebreider en overtuigender.
Volledige checklist van alle Common Criteria en aanvullende criteria met implementatiestatus en bewijsmateriaal.
Centrale opslag van al het bewijsmateriaal met koppeling aan de betreffende controls en automatische volledigheidscontrole.
Audit-readiness checklist, gap-analyse en planning voor de auditvoorbereiding.
Automatische mapping naar ISO 27001 voor efficiente multi-framework compliance.
SOC 2 is voornamelijk nodig voor SaaS-bedrijven, clouddiensten en technologieaanbieders die data verwerken voor Amerikaanse klanten. Het is vaak een vereiste voor enterprise-verkopen.
ISO 27001 is een certificering (ja/nee), terwijl SOC 2 een attestatie is (rapport). SOC 2 is gangbaar in de VS, ISO 27001 internationaal. Er zijn veel overlappende controls, daarom ondersteunt ComplyGuide mapping tussen beide.
Start vandaag nog met ComplyGuide en vereenvoudig je compliance.