SOC 2.

SOC 2 è il report di attestazione AICPA sui controlli di un'organizzazione di servizi, che copre cinque criteri di fiducia (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy). Riferimento canonico nordamericano per i vendor SaaS; ISO 27001 è l'equivalente europeo. Type I = valutazione puntuale; Type II = efficacia operativa su un periodo di 6-12 mesi. Spesso richiesto nei processi di procurement enterprise.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

Il punto di vista di Cyber Academy

SOC 2 è il report di attestazione AICPA sui controlli di un'organizzazione di servizi, che copre cinque criteri di fiducia (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy). Riferimento canonico nordamericano per i vendor SaaS; ISO 27001 è l'equivalente europeo. Type I = valutazione puntuale; Type II = efficacia operativa su un periodo di 6-12 mesi. Spesso richiesto nei processi di procurement enterprise.

Cosa attesta realmente SOC 2

SOC 2 non è una certificazione che si supera o non si supera. È un rapporto di attestazione prodotto da uno studio di CPA abilitato secondo gli standard di attestazione dell'AICPA, in cui un revisore indipendente esprime un'opinione sul fatto che i controlli di un'organizzazione di servizi siano progettati in modo adeguato e, per il Tipo II, operino efficacemente per un periodo. L'ambito si costruisce intorno ai Trust Services Criteria: sicurezza (l'unica categoria obbligatoria, detta anche common criteria), disponibilità, integrità di elaborazione, riservatezza e privacy. Si sceglie quali dei cinque si applicano al servizio offerto, e il rapporto è dimensionato in base a tale scelta.

Poiché si tratta di un'opinione su una descrizione redatta dal management, due rapporti SOC 2 sono raramente identici. Un fornitore può circoscrivere l'ambito alla sola sicurezza; un altro può aggiungere disponibilità e riservatezza. Leggere il rapporto significa leggere la descrizione del sistema, i criteri inclusi nell'ambito, i test eseguiti e, soprattutto, eventuali eccezioni rilevate dal revisore. Un rapporto senza rilievi con un ambito ristretto può costituire una prova più debole di un rapporto con eccezioni minori su un ambito ampio.

Tipo I rispetto al Tipo II

La distinzione a cui i professionisti tengono di più è quella tra Tipo I e Tipo II. Il Tipo I è un'istantanea: il revisore esprime l'opinione che i controlli siano progettati in modo adeguato a una singola data. Dimostra che i controlli esistono sulla carta ed erano in essere quel giorno. Il Tipo II è quello che gli acquirenti enterprise desiderano davvero, perché il revisore verifica se tali controlli abbiano operato efficacemente nell'arco di un periodo di esame che copre solitamente da sei a dodici mesi, campionando le prove lungo tutto il periodo. Un Tipo II risponde alla vera domanda degli approvvigionamenti: il fornitore lo ha fatto in modo costante, e non solo il giorno dell'audit?

SOC 2 Tipo I vs Tipo II
DimensioneTipo ITipo II
Cosa viene testatoProgettazione dei controlliProgettazione ed efficacia operativa
Arco temporaleUn singolo momento nel tempoUn periodo di esame (comunemente da 6 a 12 mesi)
ProveControlli in essere alla dataProve campionate lungo il periodo
Uso tipicoPrimo rapporto, fornitori in fase inizialeCiò che si aspettano gli approvvigionamenti enterprise

SOC 2 accanto a ISO 27001

SOC 2 e ISO 27001 rispondono alla stessa preoccupazione dell'acquirente da due tradizioni diverse. SOC 2 è il segnale canonico nordamericano, un'attestazione del revisore legata ai Trust Services Criteria e rinnovata secondo un periodo ricorrente. ISO 27001 è lo standard internazionale e certificabile costruito intorno a un sistema di gestione (l'SGSI), con la certificazione rilasciata da un organismo accreditato e mantenuta tramite audit di sorveglianza.

SOC 2 riferisce sui controlli a fronte di criteri; ISO 27001 certifica che si gestisce un sistema funzionante con una Dichiarazione di Applicabilità e un miglioramento continuo. Molti fornitori che vendono su entrambe le sponde dell'Atlantico finiscono per possederli entrambi, e le prove di controllo si sovrappongono ampiamente anche se i deliverable differiscono.

In pratica, i team GRC trattano i due come complementari anziché concorrenti. Gli stessi controlli di accesso, la gestione dei cambiamenti, il trattamento delle vulnerabilità e la risposta agli incidenti alimentano sia l'insieme di controlli dell'Annex A di ISO 27001 sia i common criteria di SOC 2. Il lavoro consiste nel mappare una volta e presentare due volte.

Frequently asked questions

01SOC 2 è una certificazione?

No. SOC 2 è un rapporto di attestazione con l'opinione di un revisore, non un certificato superato/non superato. Non c'è alcun certificato da esibire; ciò che esiste è un rapporto emesso da uno studio di CPA, che si condivide sotto NDA con clienti e potenziali clienti.

02Dovremmo ottenere il Tipo I o il Tipo II?

Il Tipo I è un primo passo ragionevole per dimostrare che i controlli sono progettati correttamente, e può essere emesso più rapidamente. La maggior parte degli acquirenti enterprise si aspetta in ultima analisi il Tipo II, perché dimostra che i controlli hanno operato efficacemente in un periodo prolungato.

03Abbiamo bisogno di tutti e cinque i Trust Services Criteria?

No. La sicurezza (i common criteria) è l'unica categoria obbligatoria. Si aggiungono disponibilità, integrità di elaborazione, riservatezza o privacy in base agli impegni assunti verso i clienti e alla natura del servizio.

04Che relazione c'è tra SOC 2 e ISO 27001?

Servono lo stesso scopo di fiducia attraverso meccanismi diversi. SOC 2 è un'attestazione incentrata sugli USA a fronte dei Trust Services Criteria; ISO 27001 è una certificazione internazionale di un sistema di gestione della sicurezza delle informazioni. I controlli sottostanti si sovrappongono sostanzialmente, quindi le prove raccolte per l'uno supportano in gran parte l'altro.

05Con quale frequenza si rinnova un rapporto SOC 2?

I rapporti SOC 2 Tipo II coprono un periodo di esame definito e vengono solitamente aggiornati secondo un ciclo ricorrente affinché i clienti dispongano sempre di una copertura aggiornata. I fornitori pianificano il periodo di audit in modo da evitare qualsiasi lacuna tra rapporti consecutivi.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.