Wat past beter bij mijn organisatie? SOC 1 of SOC 2?
De SSAE18-standaard (AICPA) uit de Verenigde Staten omvat twee soorten rapporten; een Service Organization Control Report 1 (SOC 1) en een Service Organization Control Report 2 (SOC 2). Deze terminologie wordt steeds vaker internationaal gebruikt. Een ISAE 3402-rapport is binnen deze terminologie een SOC 1-rapport, een ISAE 3000-rapport is een SOC 2-rapport.
Een ISAE 3402-rapport is een rapport over hoe de serviceprovider de risico’s beheert van de processen die zijn uitbesteed. Outsourcing, en meer specifiek financiële processen, vormen het kader voor dit rapport. Een alternatief voor dit rapport is het SOC 2-rapport waarbij uitbesteding niet het primaire raamwerk is, maar informatiebeveiliging. De criteria voor informatiebeveiliging en privacy zijn opgenomen in de Trust Service Criteria. Criteria met betrekking tot beveiliging, privacy, beschikbaarheid en vertrouwelijkheid. Daarnaast is er een SOC 3-rapport.
Heb ik een SOC 1 nodig?
Een Service Organization Control 1 is een audit van interne controles gericht op het beveiligen van klantgegevens. SOC 1-audits worden uitgevoerd volgens Statement on Standards for Attestation Engagements No. 16 (SSAE 16). Een SOC 1 omvat controledoelstellingen die worden gebruikt voor interne controle over de financiële verslaglegging. De jaarrekening vormt dus het kader voor dit verslag. Dit betekent dat alle processen zo zijn ingericht dat alle gegevens in de jaarrekening accuraat en volledig zijn.
Met andere woorden: als je gegevens met betrekking tot een financieel proces verwerkt of host, dan is SOC 1 van toepassing.
Heb ik een SOC 2 nodig?
Als je gegevens verwerkt of host die geen invloed hebben op de jaarrekening van je klanten, dan is SOC 2 van toepassing. In dit geval zijn je klanten vooral geïnteresseerd in of je op de juiste manier omgaat met informatiebeveiliging en privacy.
In een SOC 2-rapport, vergelijkbaar met een SOC 1-rapport, worden interne controlemaatregelen opgenomen.
Welk type rapport is nu het beste voor mij? SOC 1 of SOC 2?
Een belangrijk verschil is dat privacy niet verplicht is in een SOC 1 en in een SOC 2 op basis van de Trust Service Criteria wel. Als je klanten hebt die in beide categorieën vallen, is er een redelijke kans dat je gevraagd wordt om beide te leveren. Je kunt bepalen of je een SOC 1- of SOC 2-rapport nodig hebt om te voldoen aan de behoeften van een grote verscheidenheid aan klanten. Risklane biedt een unieke Online Audit Tool (ControlReports) die u ondersteunt bij het integreren van de SOC 1 en SOC 2 audits, resulterend in twee afzonderlijke rapporten. Zonder extra kosten.
Wil je meer informatie over de impact van SOC 1(ISAE 3402), SOC 2(ISAE3000) voor jouw organisatie, neem dan contact op met Securance (+31) 030 2800888.
