SOC 2, oficiálně Service Organization Control 2, informuje o různých organizačních kontrolách týkajících se bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti nebo soukromí.

Standard pro regulaci těchto pěti otázek byl vytvořen v rámci Zásad a kritérií pro důvěryhodné služby AICPA. SOC 2 se dělí na typ 1 a typ 2.

SOC 2 typ I hodnotí kontroly kybernetické bezpečnosti organizace v jednom časovém okamžiku. Cílem je zjistit, zda jsou vnitřní kontroly zavedené dostatečně a správně navržené, aby poskytovaly správnou ochranu dat zákazníků. Audity a zprávy typu 1 lze dokončit během několika týdnů.

Zpráva SOC 2 typ II zkoumá, jak dobře funguje systém a kontrolní mechanismy organizace poskytující služby po určitou dobu (obvykle 3-12 měsíců). Zkoumá, jaká je provozní činnost a zdali systémy fungují tak, jak bylo původně zamýšleno po celé kontrolované období. Doba nezbytná pro provedení tohoto auditu se zpravidla pohybuje mezi 3–6 měsíci. 

Oba typy SOC 2 vyžadují provedení auditorskou společností.

Při výběru zprávy je vždy zásadní, zda je reálné provést ověření za celé kontrolní období, či zda se jedná o první ověření a není zajištěn soulad se všemi požadavky. Pokud není možné provést ověření za celé období (například kontroly byly zavedeny teprve nedávno,) je vhodnější zvolit typ I a následně realizovat typ II. Druhým příkladem je provedení prvního auditu SOC 2. Pokud klient ví, že má zavedené kontroly a potřebuje je potvrdit před samotnou realizací typu II, zpracovává se zpráva typu I. Třetí variantou je zcela výchozí provedení ověření existence kontrol, v tomto případě klientům doporučujeme realizaci vyhodnocení souladu interních kontrol s požadavky na SOC 2 (preassessment).

Kritéria

SOC je postaven na pěti kritériích svěřenských služeb (dříve nazývaných Zásady svěřenských služeb), které definoval Americký institut certifikovaných účetních (AICPA).

Tato kritéria důvěryhodných služeb jsou základními prvky kybernetické bezpečnosti. Zahrnují kontroly organizace, hodnocení rizik, zmírňování rizik, řízení rizik a řízení změn.

Bezpečnostní kritéria důvěryhodnosti se týkají ochrany informací před neoprávněným předáním informací a citlivých dat klientů. Kritérium zabezpečení prokazuje, že systémy a kontrolní prostředí servisní organizace jsou chráněny proti neoprávněnému přístupu a dalším rizikům. Je to zároveň jediné kritérium, které je pro zprávy SOC povinné. Ostatní je možné libovolně přidávat.

Kritéria dostupnosti určují, zda se vaši zaměstnanci a klienti mohou při své práci spolehnout na vaše systémy. Některé příklady zahrnují zálohování dat, obnovu po havárii a plánování kontinuity provozu. Každé z nich minimalizuje škody v případě výpadku. Například v případě, že vaše datové centrum zaplaví voda, pak máte k dispozici několik záložních zdrojů pro napájení. Tím je zajištěno, že data budou k dispozici i v případě selhání hardwaru. Do své SOC zprávy doporučujeme zahrnout toto kritérium v případě, že vaše služby vyžadují provoz v odpovídající úrovni dostupnosti. Výpadek by vašim klientům ohrozil vaše poskytované služby klientům. 

Kritérium důvěrnosti hodnotí, jak organizace chrání důvěrné informace, jak je omezený přístup, ukládání a používání takových informací. Může organizacím pomoci definovat, které osoby mohou mít přístup k jakým údajům a jakým způsobem mohou být tyto údaje sdíleny. Tím je zajištěno, že citlivé informace, jako jsou právní dokumenty, mohou prohlížet pouze oprávněné osoby. Do své SOC zprávy doporučujeme zahrnout toto kritérium v případě, že vaše organizace nakládá s důvěrnými informacemi. Příkladem mohou být finanční zprávy, hesla, obchodní strategie a duševní vlastnictví.

Kritéria integrity zpracování ověřují, zda systém funguje správně. Vykonává své zamýšlené funkce bez zpoždění, chyb, opomenutí nebo náhodné manipulace.  Do svého SOC doporučujeme toto kritérium přidat v případě, že poskytujete služby finančního výkaznictví, nebo jste společnost provozující elektronický obchod, či zpracováváte přes vaši prostředí data klientů. 

Toto kritérium zkoumá, jak kontrolní činnosti organizace chrání osobní údaje zákazníků (PII). Zajišťuje také, aby systém, který používá osobní údaje, byl v souladu s obecně uznávanými zásadami ochrany osobních údajů AICPA. Jméno, fyzická adresa, e-mailová adresa a číslo sociálního zabezpečení jsou několika příklady informací, které spadají do této kategorie ochrany osobních údajů. Pro některé společnosti a poskytovatele služeb mohou být relevantní z hlediska ochrany osobních údajů také údaje jako zdravotní stav, rasa a sexualita.

Proces

Než pozvete auditora do své kanceláře, musíte se nejprve rozhodnout, jaký typ zprávy SOC 2 vaše servisní organizace potřebuje. Auditor vám případně může pomoci navrhnout nejvhodnější způsob pro vás.

Nejprve se rozhodněte, zda budete usilovat o audit SOC 2 na úrovni společnosti nebo pro konkrétní službu.
Dále se rozhodněte, jaké časové období budete požadovat (doporučená délka pro typ II je alespoň 6 měsíců.). 
Nakonec vyberte z pěti kritérií důvěryhodných služeb, pro která musíte audit provést. Můžete vybrat pro začátek pouze některá a následně přidat další. Určitá odvětví mají některá kritéria povinná. Například zdravotnické firmy musí splňovat požadavky HIPAA, tudíž volba Privacy nad Security by měla být vyhovující. Po výběru období a kritérií určete, které kontroly a systémy zabezpečení informací jsou relevantní.
Poté shromážděte veškerou dokumentaci k těmto systémům a kontrolám. Během auditu auditor tuto dokumentaci spolu s vašimi systémy a kontrolami přezkoumá a určí provozní účinnost. Mezi dokumenty, které budete možná muset poskytnout, patří např: inventáře aktiv, informace o řízení změn, záznamy o údržbě zařízení, záznamy o zálohování systému, kodex chování a etické zásady, plány kontinuity provozu a reakce na incidenty,... Veškerá kritéria je také vhodné projednat s auditorem tak, aby byla jejich volba správná.

Nyní, když máte všechny systémy, kontrolní mechanismy a dokumenty, musíte porovnat, jak jste na tom s požadavky na shodu se standardem SOC 2. Tato analýza nedostatků vám umožní identifikovat všechny oblasti, ve kterých váš systém při ochraně údajů zákazníků zaostává. Díky tomu můžete vytvořit plán nápravy, abyste je uvedli do souladu ještě před formálním auditem SOC 2.

Auditor může také provést posouzení připravenosti. Během posouzení připravenosti provede auditorská firma vlastní analýzu nedostatků a poskytne vám některá doporučení. Vysvětlí vám také požadavky kritérií důvěryhodných služeb, které jste si vybrali.

V rámci přípravy si můžete přizvat auditora SOC, který vám zodpoví případné dotazy.