SOC 2
Qu'est-ce que SOC 2 ?
SOC 2Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria.
SOC 2 (System and Organization Controls 2) est une mission d'attestation définie par l'AICPA dans le cadre de la norme SSAE 18. Elle évalue les contrôles d'une organisation de services au regard des Trust Services Criteria : Sécurité (toujours requise), Disponibilité, Intégrité de traitement, Confidentialité et Vie privée. Les rapports sont émis en Type 1 (conception des contrôles à un instant donné) ou Type 2 (efficacité opérationnelle sur une période, généralement 3 à 12 mois). SOC 2 est largement utilisé par les éditeurs SaaS, fournisseurs cloud et MSP pour démontrer la maturité de leurs contrôles à leurs clients, sous NDA. Ce n'est pas une certification : le résultat est l'opinion de l'auditeur formalisée dans le rapport SOC 2.
● Exemples
- 01
Une startup SaaS obtient un rapport SOC 2 Type 1 portant sur Sécurité et Confidentialité lors de sa première année d'audit.
- 02
Un éditeur fournit chaque année à ses clients un rapport SOC 2 Type 2 couvrant Sécurité et Disponibilité.
● Questions fréquentes
Qu'est-ce que SOC 2 ?
Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie SOC 2 ?
Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria.
Comment se défendre contre SOC 2 ?
Les défenses contre SOC 2 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SOC 2 ?
Noms alternatifs courants : Service Organization Controls 2.