Steeds meer organisaties krijgen te maken met het beheren van data. Deze data is in veel gevallen bedrijf kritisch. Met een SOC 2-verklaring toon je aan dat je de basisprincipes van informatiebeveiliging goed op orde hebt. In dit artikel geven we je een toelichting op wat SOC 2 is en wat de voordelen hiervan zijn.
SOC staat voor Service Organization Control. Een SOC 2-rapport richt zich op het evalueren van de operationele IT-controls van een serviceorganisatie op verschillende kernprincipes. De verklaring is niet wettelijk verplicht, maar kan wel aantonen dat de data van je klanten goed wordt beveiligd. Er zijn twee typen SOC 2-verklaringen, elk met unieke voordelen die in dit artikel worden besproken.
Een SOC 2-rapport richt zich op het evalueren van de operationele IT-controls die een serviceorganisatie heeft geïmplementeerd om de vertrouwelijkheid, integriteit, beschikbaarheid en privacy van de gegevens te waarborgen. Met dit rapport kan worden aangetoond dat een organisatie voldoet aan strikte normen en regels voor databeheer en IT-beveiliging. Het wordt vooral gebruikt door organisaties die uitbestede processen beheren. De vijf kernprincipes van de Trust Service Criteria die worden gehanteerd bij SOC 2-rapportages zijn:
Een van de belangrijkste criteria is de beveiliging. Dit criterium omvat de beveiliging van informatie gedurende de gehele levenscyclus, van creatie, gebruik, verwerking en transmissie tot opslag. De controles in het beveiligingscriterium zijn ontworpen om kwaadwillende aanvallen, ongeautoriseerde toegang/verwijdering van gegevens en wijziging/vernietiging/misbruik van software te detecteren en voorkomen.
In totaal zijn er negen focus punten binnen het eerste onderdeel beveiliging:
Het doel van de beschikbaarheid is ervoor te zorgen dat systemen beschikbaar zijn en dat informatie toegankelijk is voor de gebruiker.
Het doel van de is ervoor te zorgen dat informatie die als vertrouwelijk is gedefinieerd binnen het systeem, wordt beschermd. Er zijn twee aanvullende ‘aandachtspunten’ die moeten worden nageleefd om aan de vertrouwelijkheidscriteria te voldoen. Dit zijn:
in SOC 2 verwijst naar de nauwkeurigheid, volledigheid en validiteit van het dataverwerkingsproces binnen een organisatie. Het doel is om ervoor te zorgen dat systemen consistent werken zoals bedoeld, zonder fouten of ongeautoriseerde aanpassingen. Hier zijn de belangrijkste aspecten van verwerkingsintegriteit:
Bij de privacy criteria wordt gekeken hoe een organisatie omgaat met persoonlijke informatie, bijvoorbeeld gegevens die onder AVG (algemene verordening gegevensbescherming) vallen.
De criteria beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy zijn optioneel en niet vereist voor het rapport. Deze criteria kunnen worden gebruikt wanneer er een zakelijke behoefte is of wanneer een klant verlangt dat de processen en procedures rondom een of meer van deze gebieden worden belicht. Het is belangrijk om zorgvuldig te onderzoeken welke criteria nodig zijn voor een organisatie om geld en tijd te besparen.
Er zijn twee typen SOC 2-verklaringen: type 1 en type 2. Hieronder leggen we uit wat het verschil is. Welk type bij jouw organisatie past, hangt af van de vraag van eventuele klanten/leveranciers of de behoefte van de organisatie.
Bij type 1 wordt een organisatie geëvalueerd op één bepaald moment. Het doel is om te bevestigen dat de nodige controles en processen aanwezig zijn en goed zijn ontworpen, maar er wordt geen oordeel gegeven over de consistentie van de uitvoering van de maatregelen gedurende een langere periode.
Bij de SOC 2 type wordt geëvalueerd hoe systemen en controles van een serviceorganisatie presteren over bepaalde periodes, gemiddeld is dit tussen de 3 en 12 maanden. Het doel is om te bevestigen dat de controles en processen niet alleen aanwezig zijn en goed zijn ontworpen, maar ook effectief werken over een langere periode.
Het verschil tussen de SOC type 1 en 2 is dus dat er bij SOC type 1 wordt gekeken naar een enkel meetmoment. Bij de SOC 2 type 2 wordt er met een interval van minimaal 3 maanden gekeken naar de vereiste onderdelen.
Een SOC 2 verklaring is niet wettelijk verplicht, maar heeft wel voordelen, met het rapport dat je krijgt kan bijvoorbeeld aan klanten worden aangetoond dat je in controle bent van je informatiebeveiliging. Hiernaast weet een klant doormiddel van het SOC 2 rapport meteen dat ze te maken hebben met een betrouwbare partij.
Een aantal voordelen van een SOC 2 verklaring op een rij:
Voor het behalen van een SOC 2 verklaring is het verstandig om met een externe partij samen te werken met de juiste ervaring en expertise. Op deze manier haal je de kennis in huis zonder dat je hier een eigen team voor hoeft op te stellen. Uiteraard blijft het een samenwerking dus zorg ook dat je intern draagvlak hebt voor het onderdeel informatiebeveiliging.
De SOC 2-verklaring is voornamelijk bedoeld voor organisaties die diensten leveren die te maken hebben met gegevensbeheer en IT-systemen. Er kan met deze verklaring worden aangetoond dat klanten, serviceproviders, partners en aandeelhouders te maken hebben met een betrouwbare partij.
Een SOC 2-verklaring biedt een waardevolle evaluatie van operationele IT-controls van een serviceorganisatie op verschillende kernprincipes en is voornamelijk bedoeld voor organisaties die diensten leveren die te maken hebben met gegevensbeheer en IT-systemen. Hoewel het verkrijgen van de verklaring niet wettelijk verplicht is, biedt het aanzienlijke voordelen zoals internationale erkenning, professionalisering van de organisatie en versterking van klantvertrouwen. Er zijn 2 types SOC 2 verklaringen. Het onderscheid tussen deze types ligt in de evaluatieperiode, waarbij type 1 een momentopname biedt en type 2 een langere termijn evaluatie. Het inschakelen van ervaren securityconsultants kan het certificeringsproces efficiënter en effectiever maken.