Atestacija · Trust Services kriteriji

SOC 2

SOC 2 je atestacija prema AICPA Trust Services kriterijima. Izvještaj izdaje ovlašteni revizor (CPA), a u nabavi ga najčešće zahtijevaju kupci sa sjevernoameričkog tržišta.
Na koga se odnosi
SaaS tvrtke i pružatelji usluga, posebno oni koji prodaju američkim kupcima
Dobavljači kojima je izvještaj uvjet u postupku nabave
Organizacije koje odlučuju između izvještaja Type 1 i Type 2
Što zahtijeva
Obveze, jasno objašnjene.
01
Trust Services kriteriji
Kontrole mapirane na sigurnost te po potrebi na dostupnost, povjerljivost, integritet obrade i privatnost.
02
Type 1 ili Type 2
Ocjena dizajna kontrola u jednom trenutku (Type 1) ili njihove učinkovitosti tijekom razdoblja (Type 2).
03
Dokazi
Kontinuirano prikupljanje dokaza da kontrole funkcioniraju kako je opisano.
04
Revizija (CPA)
Neovisna CPA tvrtka provodi ispitivanje i izdaje izvještaj.
Kako Raptoric pomaže
Radimo inženjerski posao, ne samo dokumentaciju.
Procjena spremnosti
Utvrđujemo nedostatke prije revizije i definiramo odgovarajuće kriterije.
Uspostava kontrola
Uvodimo tehničke i procesne kontrole na kojima se izvještaj temelji.
Prikupljanje dokaza
Postavljamo proces prikupljanja dokaza koji izvještaj Type 2 čini održivim.
Podrška tijekom revizije
Surađujemo s vašom CPA tvrtkom tijekom cijelog ispitivanja.
Pripremamo organizaciju i provjeravamo kontrole. Izvještaj izdaje neovisna CPA tvrtka.
Česta pitanja
Pitanja i odgovori
Što je SOC 2 izvještaj?
Atestacija neovisnog revizora da organizacija ima uspostavljene sigurnosne kontrole i da ih se pridržava. Type 1 ocjenjuje dizajn kontrola u jednom trenutku, a Type 2 njihovu učinkovitost tijekom razdoblja.
Znači li SOC 2 izvještaj da smo sigurni?
Izvještaj potvrđuje da kontrole postoje i da funkcioniraju kako je opisano. Otpornost na stvarne napade provjerava se testiranjem, zato kontrole postavljamo prvenstveno radi sigurnosti, a izvještaj je njihova formalna potvrda.
Kako pomažete sa SOC 2?
Mapiramo kontrole prema Trust Services kriterijima, otklanjamo utvrđene nedostatke i postavljamo prikupljanje dokaza, a atestaciju provodi vaš revizor.
SOC 2 ili ISO 27001, što prije?
Ovisi o tržištu na kojem poslujete. SOC 2 najčešće traže sjevernoamerički kupci, a ISO 27001 europski i globalni. Kontrole je moguće postaviti tako da pokrivaju oba okvira, bez dvostrukog rada.
Trebate biti spremni za SOC 2?
Naš tim s vama će definirati opseg posla u 30-minutnom razgovoru.
Dogovorite razgovor ili pišite na contact@raptoric.com