De eisen van een SOC 2 rapportage

Hoek en Blok.IT

Een SOC 2 verklaring bevestigt dat een organisatie voldoet aan de Trust Services Criteria principes; Beveiliging, Beschikbaarheid, Integriteit van verwerking, Vertrouwelijkheid en Privacy. Toch is een SOC 2 rapportage uniek voor elk bedrijf, waarbij bedrijfsspecifieke maatregelen ontworpen worden om aan de principes te voldoen. Niet alle vijf zijn verplicht om op te nemen tijdens een audit. Zo is alleen het beveiligingsprincipe verplicht. De overige 4 principes zijn optioneel, en afhankelijk van het type bedrijf, de producten en/ of diensten zijn ze wel of niet relevant.

De Trust Services Criteria van SOC 2

De vijf security principes bevatten het volgende:

Beveiliging

Het beveiligingsprincipe is de belangrijkste van alle vijf de vertrouwensprincipes en de enige die ook verplicht is bij een SOC 2 rapport. Binnen dit principe zijn 33 ‘common criteria’ voor, ook wel normen, waar een bedrijf aan moet voldoen. Per norm dient de organisatie één of meerdere concrete maatregelen te beschrijven die er gezamenlijk voor zorgen dat een basisniveau van beveiliging wordt gerealiseerd.

IT-beveiligingstools zoals netwerk- en webtoepassingsfirewalls (WAF’s), 2-factor authenticatie en inbraakdetectie helpen beveiligingsinbreuken te voorkomen die kunnen leiden tot ongeautoriseerde toegang tot systemen en gegevens.

Beschikbaarheid

Bij beschikbaarheid is Service Level Management erg belangrijk en verwijst naar de toegankelijkheid van de systemen, producten en/of diensten zoals vastgelegd is in een service level agreement (SLA). Zijn deze systemen, producten en/of diensten beschikbaar zoals is afgesproken? Monitoring van netwerkprestaties en beschikbaarheid, site-failover en afhandeling van beveiligingsincidenten zijn in dit opzicht van cruciaal belang.

Integriteit van verwerking (verwerkingsintegriteit)

Gegevensverwerking moet juist, volledig, nauwkeurig, tijdig en geautoriseerd zijn. Wanneer het bedrijf klantgegevens verwerkt, maar ook genereert en manipuleert, dan is de integriteit van deze verwerkingen relevant.

Vertrouwelijkheid

Bij het principe vertrouwelijkheid wordt beoordeeld of vertrouwelijke gegevens beschermt worden zoals afgesproken is. Vertrouwelijke gegevens zijn gegevens waarbij de openbaarmaking en toegang ervan beperkt is tot een bepaalde groep personen of organisaties.

Privacy

Het privacyprincipe betreft de bescherming van persoonsgegevens en de verwerking van persoonsgegevens. Sommige persoonsgegevens met betrekking tot gezondheid, seksualiteit en religie worden ook als gevoelig beschouwd en vereisen vaak aanvullende bescherming. Er moeten controles worden geïmplementeerd om alle persoonsgegevens te beschermen tegen ongeautoriseerde toegang.

SOC 2 rapportage

Een SOC 2 rapportage wordt uitgegeven door een onafhankelijke register IT-auditor. Die beoordeelt in hoeverre een bedrijf voldoet aan de trust services criteria. Echter hoeven niet alle 5 van de principes beoordeeld te worden. Bij het kiezen van welke principes meegenomen moeten worden staat de vraag centraal: waar willen jouw klanten meer zekerheid over? Wilt u hulp bij het uitzoeken hiervan, of begeleiding in het SOC 2 proces? Wij helpen je graag verder!

Lees meer over SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en we nemen contact met je op.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.