Što je SOC 2 i kada vam treba

SOC 2 je atestacijski izvještaj o tome kako tvrtka upravlja sigurnošću podataka svojih klijenata. Izrađuje se prema kriterijima američkog instituta ovlaštenih računovođa (AICPA), a izdaje ga neovisna revizorska tvrtka. Za razliku od certifikata, SOC 2 je izvještaj koji opisuje vaše kontrole i potvrđuje da rade kako je opisano. Najčešće ga traže poslovni kupci, posebno na sjevernoameričkom tržištu, prije nego što povjere svoje podatke nekom dobavljaču, tipično SaaS tvrtki ili pružatelju usluga u oblaku.

Za hrvatske tvrtke koje prodaju softver ili usluge međunarodnim klijentima SOC 2 često postaje uvjet za sklapanje posla. Bez njega nabava velikog kupca jednostavno ne ide dalje. Ovaj tekst objašnjava što SOC 2 zapravo jest, po čemu se razlikuje od ISO 27001, koje kriterije pokriva i kako izgleda put do izvještaja, tako da znate je li vam potreban i koliko posla nosi.

Što je SOC 2 zapravo

SOC 2 dolazi od engleskog naziva System and Organization Controls, a broj dva označava vrstu izvještaja usmjerenu na kontrole povezane sa sigurnošću i obradom podataka. Izvještaj se temelji na takozvanim Trust Services kriterijima, skupu načela koja opisuju kako organizacija štiti podatke. Revizor ispituje vaše kontrole i izdaje mišljenje o tome jesu li primjereno osmišljene i, kod jedne vrste izvještaja, djeluju li učinkovito tijekom razdoblja.

Ključno je razumjeti da SOC 2 nije certifikat koji prolazite ili ne prolazite na jednostavan način, nego izvještaj koji opisuje vaše stanje. Izvještaj zatim dijelite svojim kupcima, najčešće pod ugovorom o povjerljivosti, kako biste im dokazali da ozbiljno upravljate sigurnošću. Mnogi kupci traže SOC 2 izvještaj kao standardni dio procjene dobavljača.

SOC 2 i ISO 27001: koja je razlika

SOC 2 i ISO 27001 često se uspoređuju jer oba dokazuju da organizacija ozbiljno upravlja sigurnošću informacija, ali se razlikuju po pristupu i tržištu. ISO 27001 je međunarodna norma koja certificira sustav upravljanja informacijskom sigurnošću i prevladava u Europi i globalno. SOC 2 je atestacija prema američkim kriterijima i prevladava na sjevernoameričkom tržištu.

U praksi, ako prodajete američkim kupcima, vjerojatno će tražiti SOC 2. Ako poslujete pretežno u Europi ili nastupate na javnim natječajima, vjerojatnije je da će se tražiti ISO 27001. Mnoge tvrtke s vremenom trebaju oba, a dobra je vijest da se kontrole mogu postaviti tako da pokrivaju oba okvira i izbjegne se dvostruki posao. Detaljan vodič za ISO 27001 u domaćem kontekstu nalazi se u tekstu o ISO 27001 u Hrvatskoj, a uslugu pripreme vodimo na stranici ISO 27001.

Type 1 i Type 2: dvije vrste izvještaja

SOC 2 dolazi u dvije vrste, a razlika je u tome što revizor ispituje.

• Type 1 ocjenjuje jesu li vaše kontrole primjereno osmišljene u jednom određenom trenutku. Brže je do njega doći i često je prvi korak.
• Type 2 ocjenjuje djeluju li kontrole učinkovito tijekom razdoblja, najčešće od tri do dvanaest mjeseci. Zahtjevniji je, ali nosi veću težinu jer dokazuje da kontrole stvarno rade tijekom vremena.

Mnoge tvrtke kreću s izvještajem Type 1 kako bi brzo zadovoljile zahtjev kupca, a zatim prelaze na Type 2 koji kupci dugoročno cijene više. Koja vam vrsta treba ovisi o tome što vaši kupci traže i koliko brzo.

Certifikat ili izvještaj dokazuje da kontrola postoji. Stvarnu sigurnost dokazuje testiranje. Gradite za sigurnost prvo, pa izvještaj odražava stvarnu obranu, a ne samo papir.

Pet Trust Services kriterija

SOC 2 počiva na pet kriterija, od kojih je sigurnost obavezna, a ostale uključujete prema tome što je relevantno za vaše poslovanje i što kupci očekuju.

• Sigurnost, obavezna osnova, koja pokriva zaštitu sustava i podataka od neovlaštenog pristupa.
• Dostupnost, koja se odnosi na to da su sustavi dostupni za rad kako je dogovoreno.
• Povjerljivost, koja štiti podatke označene kao povjerljive.
• Integritet obrade, koji potvrđuje da sustav obrađuje podatke potpuno, točno i pravovremeno.
• Privatnost, koja se odnosi na prikupljanje i obradu osobnih podataka u skladu s obvezama.

Kome treba SOC 2

SOC 2 prije svega trebaju tvrtke koje u ime svojih klijenata obrađuju ili pohranjuju podatke i žele to dokazati.

• SaaS tvrtke i pružatelji usluga u oblaku, posebno oni koji prodaju srednjim i velikim poslovnim kupcima.
• Tvrtke koje prodaju na sjevernoameričkom tržištu, gdje je SOC 2 čest uvjet u nabavi.
• Dobavljači koje veliki kupci procjenjuju kroz upitnike o sigurnosti i bez izvještaja ne idu dalje.
• Tvrtke koje žele skratiti i pojednostaviti sigurnosne provjere koje im kupci ionako postavljaju.

Tko izdaje SOC 2 izvještaj

SOC 2 izvještaj izdaje neovisna revizorska tvrtka, odnosno ovlašteni revizor, jer je riječ o atestaciji prema AICPA standardima. Savjetnik koji vas priprema ne može sam izdati izvještaj, jednako kao što kod ISO 27001 certifikat izdaje akreditirano certifikacijsko tijelo, a ne onaj tko vas priprema.

Naša uloga je da vas dovedemo do izvještaja: mapiramo kontrole na Trust Services kriterije, zatvaramo nedostatke i postavljamo prikupljanje dokaza, a zatim radimo uz vašeg revizora tijekom ispitivanja. Uslugu vodimo kroz usluge upravljanja, rizika i usklađenosti, a pregled je na stranici SOC 2.

Kako izgleda put do SOC 2

Put do SOC 2 izvještaja slijedi jasan redoslijed. Trajanje ovisi o tome koliko su vaše kontrole već zrele.

• Procjena spremnosti, gdje uspoređujemo postojeće stanje s kriterijima i određujemo koje kriterije izvještaj treba pokriti.
• Zatvaranje nedostataka, gdje uvodimo tehničke i procesne kontrole koje nedostaju.
• Postavljanje dokaza, gdje uspostavljamo prikupljanje dokaza koje izvještaj Type 2 čini održivim.
• Revizija, gdje neovisni revizor provodi ispitivanje i izdaje izvještaj.
• Održavanje, jer SOC 2 nije jednokratan, nego se obnavlja, pa kontrole moraju raditi i nakon revizije.

Koliko traje i koliko košta

Trajanje i trošak ovise o polazištu, opsegu sustava i vrsti izvještaja. Tvrtka koja već ima uređene kontrole može doći do izvještaja Type 1 u nekoliko tjedana do nekoliko mjeseci. Izvještaj Type 2 zahtijeva razdoblje promatranja, pa od početka do izvještaja prođe više mjeseci. Trošak uključuje pripremu i zasebno reviziju, koju naplaćuje revizorska tvrtka. Poštenu procjenu dajemo tek nakon razgovora o opsegu, bez izmišljenih brojki.

SOC 2 i stvarna sigurnost

Važno je ne pobrkati izvještaj sa sigurnošću. SOC 2 potvrđuje da kontrole postoje i da rade kako su opisane, ali ne znači da napadač ne može ući. Tvrtka može imati uredan izvještaj i svejedno biti ranjiva ako su kontrole formalne. Zato gradimo prvo za sigurnost, a izvještaj tada odražava stvarnu obranu. Testiranje aplikacija i infrastrukture kroz sigurnost aplikacija i clouda i penetracijsko testiranje potkrepljuje kontrole na kojima izvještaj počiva.

Često postavljana pitanja

Je li SOC 2 certifikat?

Nije. SOC 2 je atestacijski izvještaj koji izdaje neovisni revizor, a ne certifikat koji izdaje certifikacijsko tijelo. Izvještaj opisuje vaše kontrole i potvrđuje da rade kako je opisano, a vi ga dijelite kupcima kao dokaz.

Što je bolje, SOC 2 ili ISO 27001?

Ne postoji bolji izbor općenito, nego ovisi o tržištu. SOC 2 najčešće traže američki kupci, a ISO 27001 prevladava u Europi i globalno te na javnim natječajima. Mnoge tvrtke trebaju oba, a kontrole se mogu postaviti da pokrivaju oba okvira.

Treba li nam Type 1 ili Type 2?

Type 1 dokazuje da su kontrole primjereno osmišljene u jednom trenutku i brže je do njega doći. Type 2 dokazuje da kontrole djeluju tijekom razdoblja i nosi veću težinu. Mnoge tvrtke kreću s Type 1 da brzo zadovolje kupca, a zatim prelaze na Type 2.

Izdajete li vi SOC 2 izvještaj?

Ne. Izvještaj izdaje neovisna revizorska tvrtka. Mi vas pripremamo: mapiramo kontrole, zatvaramo nedostatke, postavljamo dokaze i radimo uz vašeg revizora kroz ispitivanje.

SOC 2 je za mnoge tvrtke ulaznica na velika tržišta, ali vrijedi koliko i sigurnost koja stoji iza njega. Ako želite doći do izvještaja na način koji istovremeno stvarno smanjuje rizik, pogledajte naše usluge usklađenosti i sigurnosnog programa i stranicu o SOC 2, pa dogovorite uvodni razgovor.