Wat is het?
SOC 2 is het Amerikaanse assurance-rapport op basis van de AICPA Trust Services Criteria: Security, Availability, Confidentiality, Processing Integrity en Privacy. Internationale klanten vragen er vaak om voordat ze met een SaaS- of cloudleverancier in zee gaan. Wij voeren SOC 2 uit vanuit Nederland, op een manier die hier én bij je internationale klanten landt.
Voor wie?
Voor SaaS-bedrijven, cloudproviders en dataverwerkers die zakendoen met (vooral) Amerikaanse klanten, of die hun securityprogramma onafhankelijk willen laten valideren. Een SOC 2-rapport is vaak de sleutel om enterprise-klanten en hun securityteams te overtuigen.
Wat het oplevert.
- Een SOC 2 Type I- of Type II-rapport op de AICPA Trust Services Criteria
- Een Engelstalig rapport dat aansluit bij wat internationale klanten gewend zijn
- Onafhankelijke validatie van je securityprogramma
- Inzicht in gaten en concrete verbeterpunten vóór de observatieperiode
Onze aanpak.
-
Kennismaking & scoping
We beginnen met een kennismaking en bepalen samen de scope: wat hoort erbij en wat niet.
-
Offerte
Op basis van de scope stellen we een heldere offerte op, met een vaste prijs en een duidelijke aanpak.
-
Kick-off
Zodra de offerte getekend is, starten we met een kick-off waarin we de exacte tijdlijnen en aanpak afstemmen.
-
Systeembeschrijving beoordelen
We beoordelen de systeembeschrijving (sectie III van de rapportage) op juistheid en volledigheid: geeft die een getrouw beeld van de dienstverlening en de omgeving?
-
Normenkader toetsen
We toetsen het normenkader op volledigheid en of de controls op een juiste, toetsbare wijze zijn beschreven.
-
Toetsing
Na jouw akkoord op het normenkader toetsen we de beheersmaatregelen en verzamelen we het onderbouwende bewijs.
-
Rapportage
We stellen een heldere rapportage op met ons onafhankelijke oordeel en de bevindingen.
-
Presentatie & evaluatie
We bespreken de rapportage en evalueren samen het traject, zodat een volgende audit nog soepeler verloopt.
Veelgestelde vragen.
- Welke Trust Services Criteria kan ik kiezen?
- Naast de verplichte Common Criteria (Security) kun je Availability, Confidentiality, Processing Integrity en Privacy toevoegen. We adviseren welke voor jouw situatie relevant zijn.
- Is SOC 2 hetzelfde als ISO 27001?
- Nee. SOC 2 is een Amerikaans assurance-rapport op de Trust Services Criteria; ISO 27001 is een internationale, certificeerbare norm voor je ISMS. Ze overlappen deels en versterken elkaar.
- Kunnen jullie SOC 2 in Nederland uitvoeren?
- Ja. Wij voeren SOC 2-trajecten uit vanuit Nederland, met een rapport dat zowel hier als bij je internationale klanten landt.