Direct naar inhoud
Auditpoint. Plan een kennismaking
Diensten Assurance-audits
Assurance-audits

SOC 2.

Trust Services Criteria voor SaaS en cloud.

Wat is het?

SOC 2 is het Amerikaanse assurance-rapport op basis van de AICPA Trust Services Criteria: Security, Availability, Confidentiality, Processing Integrity en Privacy. Internationale klanten vragen er vaak om voordat ze met een SaaS- of cloudleverancier in zee gaan. Wij voeren SOC 2 uit vanuit Nederland, op een manier die hier én bij je internationale klanten landt.

Voor wie?

Voor SaaS-bedrijven, cloudproviders en dataverwerkers die zakendoen met (vooral) Amerikaanse klanten, of die hun securityprogramma onafhankelijk willen laten valideren. Een SOC 2-rapport is vaak de sleutel om enterprise-klanten en hun securityteams te overtuigen.

Wat het oplevert.

  • Een SOC 2 Type I- of Type II-rapport op de AICPA Trust Services Criteria
  • Een Engelstalig rapport dat aansluit bij wat internationale klanten gewend zijn
  • Onafhankelijke validatie van je securityprogramma
  • Inzicht in gaten en concrete verbeterpunten vóór de observatieperiode

Onze aanpak.

  1. Kennismaking & scoping

    We beginnen met een kennismaking en bepalen samen de scope: wat hoort erbij en wat niet.

  2. Offerte

    Op basis van de scope stellen we een heldere offerte op, met een vaste prijs en een duidelijke aanpak.

  3. Kick-off

    Zodra de offerte getekend is, starten we met een kick-off waarin we de exacte tijdlijnen en aanpak afstemmen.

  4. Systeembeschrijving beoordelen

    We beoordelen de systeembeschrijving (sectie III van de rapportage) op juistheid en volledigheid: geeft die een getrouw beeld van de dienstverlening en de omgeving?

  5. Normenkader toetsen

    We toetsen het normenkader op volledigheid en of de controls op een juiste, toetsbare wijze zijn beschreven.

  6. Toetsing

    Na jouw akkoord op het normenkader toetsen we de beheersmaatregelen en verzamelen we het onderbouwende bewijs.

  7. Rapportage

    We stellen een heldere rapportage op met ons onafhankelijke oordeel en de bevindingen.

  8. Presentatie & evaluatie

    We bespreken de rapportage en evalueren samen het traject, zodat een volgende audit nog soepeler verloopt.

Veelgestelde vragen.

Welke Trust Services Criteria kan ik kiezen?
Naast de verplichte Common Criteria (Security) kun je Availability, Confidentiality, Processing Integrity en Privacy toevoegen. We adviseren welke voor jouw situatie relevant zijn.
Is SOC 2 hetzelfde als ISO 27001?
Nee. SOC 2 is een Amerikaans assurance-rapport op de Trust Services Criteria; ISO 27001 is een internationale, certificeerbare norm voor je ISMS. Ze overlappen deels en versterken elkaar.
Kunnen jullie SOC 2 in Nederland uitvoeren?
Ja. Wij voeren SOC 2-trajecten uit vanuit Nederland, met een rapport dat zowel hier als bij je internationale klanten landt.