Een SOC 2 verklaring is erop gericht om zekerheid te verschaffen over de kwaliteit van uitbestede IT diensten en de structuur van een SOC 2 rapport is gelijk aan de ISAE 3402. Voor een SOC 2 verklaring geldt echter geen verplichte relatie met de financiële verslaggeving van de klant. De inhoud van een SOC 2 verklaring wordt bepaald aan de hand van de Trust Services Criteria. Een SOC 2 verklaring hanteert een verplichte set aan beheersdoelstellingen en gaat hiermee een stap verder dan ISAE 3000, waarin de service organisatie meer vrijheid heeft in het bepalen van de reikwijdte.
SOC 2 is dus geen ISAE 3000, maar onderdeel van de Amerikaanse assurance standaard AT-C 205 en vooral op de Amerikaanse markt een belangrijke rapport. Ook in Nederland wordt een SOC 2 verklaring steeds vaker aan IT leveranciers gevraagd.
Onze register IT auditors ondersteunen je om efficiënt en pragmatisch de kwaliteit van je dienstverlening aan te tonen. Voor het assurance project hanteren we 4 fasen:
Om invulling te kunnen geven aan de privacy criteria in SOC 2, kan het NOREA Privacy Control Framework (PCF) gebruikt worden. Het PCF bevat beheersmaatregelen die de volgende privacy principes afdekken:
De reikwijdte en doelstellingen van een SOC 2 verklaring worden bepaald aan de hand van 5 categorieën (beginselen). De 5 categorieën zijn:
De 5 categorieën bestaan ieder uit een gemeenschappelijke verzameling van 33 algemene beheersdoelstellingen. Per categorie zijn er daarnaast ook specifieke beheersdoelstellingen. Per doelstelling moet de serviceorganisatie de onderliggende beheersmaatregelen zelf definiëren.
Een succesvol afgerond SOC 2 project levert de volgende voordelen op voor je organisatie:
Voor een succesvolle SOC 2 implementatie is actieve betrokkenheid vanuit de eigen organisatie essentieel, zowel vanuit management als operatie. Op basis van onze ervaring, beschikbare modellen en studierapporten zorgen wij ervoor dat de juiste stappen worden gezet. Tussentijds beoordelen wij (deel)producten; een kostenefficiënte en resultaatgerichte aanpak.
Wij zijn gespecialiseerd in het verstrekken van assurance verklaringen aan IT (cloud) service providers. Hierdoor kennen wij de diversiteit van de dienstverlening, begrijpen het complexe IT landschap en weten welke processen en maatregelen de risico’s voor klanten afdekken. Effectief in control en tegelijkertijd wendbaar en pragmatisch.
Wat klanten vertellen over onze assurance verklaring:
De begeleiding voor de totstandkoming van de ISAE 3402 certificering is ons erg goed bevallen. Zowel qua procesbeheersing als IT security. Goed werk!
Door het ISAE 3402 traject zijn we in staat om onze processen aantoonbaar continu te evalueren en te verbeteren, waardoor we de kwaliteit van onze dienstverlening blijven verhogen!
Het ISAE 3402 project heeft het mogelijk gemaakt om gebruik te maken van ons bestaande kwaliteitsmanagementsysteem waarbij wij onze bestaande doelstellingen – waar nodig – hebben gedetailleerd om additionele waarborging te geven dat onze gestelde maatregelen structureel aantoonbaar zijn voor zowel onze ISAE verklaring als onze NEN/ISO certificaten, mooi resultaat!
Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3000/SOC 2 Assurance rapportages af om de beheersing aan je klanten aan te tonen.
Transformeer jouw IT. Bescherm je bedrijf.
Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.
Neem vandaag nog contact op en versterk je IT!