SOC 2
Что такое SOC 2?
SOC 2Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria.
SOC 2 (System and Organization Controls 2) — это аттестационное задание AICPA в соответствии со стандартом SSAE 18. Оно оценивает контроли сервисной организации по Trust Services Criteria: безопасность (обязательно), доступность, целостность обработки, конфиденциальность и приватность. Отчёты бывают двух типов: Type 1 (дизайн контролей на определённый момент времени) и Type 2 (операционная эффективность контролей за период, обычно от 3 до 12 месяцев). SaaS-, облачные и managed-сервисы широко используют SOC 2, чтобы под NDA продемонстрировать зрелость контролей клиентам. SOC 2 не является сертификацией; результатом является мнение аудитора, изложенное в отчёте SOC 2.
● Примеры
- 01
SaaS-стартап получает отчёт SOC 2 Type 1 по безопасности и конфиденциальности в первый год аудита.
- 02
Корпоративный вендор ежегодно предоставляет клиентам отчёт SOC 2 Type 2 по безопасности и доступности.
● Частые вопросы
Что такое SOC 2?
Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает SOC 2?
Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria.
Как защититься от SOC 2?
Защита от SOC 2 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SOC 2?
Распространённые альтернативные названия: Service Organization Controls 2.