Als u als organisatie aan een SOC 2 traject denkt, dan is de eerste vraag: “Wat is de scope van het rapport?” Dat zijn eigenlijk twee vragen, namelijk “Waarover gaat het rapport (het systeem)” en “Welke criteria willen we iets over vertellen”. Op die laatste vraag zullen we hier kort ingaan.
Trust Services Criteria
De SOC 2 toetsing en rapportage is opgebouwd rond een aantal criteria, de zogenaamde Trust Services Criteria. Deze criteria zijn onderverdeeld in vijf groepen. Aangezien SOC 2 een Amerikaans normenkader is, hanteren we hier de Engelse termen:
- Security (beveiliging): is het systeem beschermd tegen ongeautoriseerde toegang en aanvallen;
- Availability (beschikbaarheid): is het systeem beschikbaar zoals afgesproken;
- Confidentiality (vertrouwelijkheid): wordt alle vertrouwelijke informatie beschermd zoals afgesproken;
- Processing Integrity (integriteit): zijn alle verwerkingen juist, volledig en tijdig;
- Privacy: worden persoonsgegevens op de juiste manier beveiligd en verwerkt.
Het kiezen van Trust Services Criteria
Het eerste criterium, Security is een verplicht onderdeel van een SOC 2 onderzoek en rapportage. De andere criteria zijn optioneel. Die mag u dus zelf kiezen. Maar hoe doet u dat? Simpel. Verplaats uzelf in uw klant of prospect, de lezer van het SOC 2 rapport.
Stel uzelf de vraag: “Wat zou ik willen weten, als ik onze dienst zou afnemen?” Indien u bijvoorbeeld een dienst levert waarbij de bedrijfsprocessen van klanten sterk afhankelijk zijn van het 24/7 beschikbaar zijn van die dienst, dan willen die klanten graag lezen dat Availability ook getoetst is in het SOC 2 onderzoek. Als u in uw dienst geen persoonsgegevens verwerkt, dan is Privacy weer niet relevant om mee te nemen in het SOC 2 rapport.
Overigens is de keuze niet helemaal vrij en zult u de gekozen criteria in samenspraak met uw auditor bepalen. Afhankelijk van de geboden dienst kan het zijn dat het onlogisch is om een bepaald criterium wel of niet mee te nemen. Stel u levert een online wachtwoordkluis. In dat geval zullen gebruikers en lezers van het rapport zeker Confidentiality verwachten. Het niet opnemen van dat criterium zou in dit geval onlogisch zijn.
Meer criteria = meer werk
Uiteraard levert het toetsen van meer criteria, meer werk op. Meer criteria in scope verzwaren het SOC 2 traject dus. Van het SOC 2 traject is Security veruit het meeste werk. Availability en Confidentiality zijn relatief lichte normen. Processing Integrity en Privacy zijn daarentegen weer hele zware normen. Het zal dus meer moeite kosten om daaraan te voldoen en voor de auditor is het meer werk om vast te stellen dat hieraan wordt voldaan.
Ondersteuning
Wat wil mijn klant weten blijft dus de primaire vraag in een SOC 2 traject en is doorslaggevend voor welke rapportage u nodig heeft. Waar wil de klant zekerheid over en met welk doel? Welke rapportage u ook kiest, 2-Control helpt u graag met het maken van uw keuze.
Wilt u in contact komen met onze SOC 2 compliance specialisten en weten hoe wij u hierbij kunnen ondersteunen? Bel ons dan op 076-5019470 of laat hieronder uw gegevens achter. Eén van onze SOC 2 specialisten neemt dan spoedig contact met u op.
