SOC 2 — Hizmet Kuruluşları için AICPA Uyum Çerçevesi

TLDR:

SOC 2 (Service Organization Control 2), Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) tarafından hizmet kuruluşlarının güvenlik, kullanılabilirlik, işleme bütünlüğü, gizlilik ve mahremiyetle ilgili kontrollerini değerlendirmek için geliştirilen bir onay çerçevesidir. SOC 2 raporları bağımsız denetçiler tarafından üretilir ve ABD kurumsal müşterilerine hizmet veren B2B SaaS şirketleri için fiili bir gereksinim haline gelmiştir.

Güven Hizmetleri Kriterleri

SOC 2 beş “Güven Hizmetleri Kriteri” (TSC) karşı kontrolleri değerlendirir: Güvenlik (temel, her zaman dahil—yetkisiz erişime karşı korumayı kapsar), Kullanılabilirlik (sistem çalışma süresi ve performans), İşleme Bütünlüğü (sistem işlemesi tam, geçerli, doğru, zamanında ve yetkilidir), Gizlilik (gizli olarak belirlenen bilgiler korunur) ve Mahremiyet (kişisel bilgiler uygun şekilde toplanır, kullanılır, saklanır, açıklanır ve elden çıkarılır). Şirketler, müşteri gereksinimlerine ve hizmet teklifine göre hangi TSC’leri dahil edeceklerini seçer.

Type I vs. Type II

İki rapor türü: SOC 2 Type I, tek bir zamandaki kontrollerin tasarımını değerlendirir (haftalar içinde elde edilebilir); SOC 2 Type II bir dönem boyunca operasyonel etkinliği değerlendirir (tipik olarak 6-12 ay, kontrol çalışmasının kanıtını gerektirir). Type II önemli ölçüde daha titizdir ve çoğu kurumsal müşterinin gerçekten istediği şeydir. Yeni şirketler tipik olarak önce Type I’i, ardından ikinci yıllık denetim döngüsünde Type II’yi elde eder.

SOC 2 Pratiği

Bir SOC 2 programı inşa etmek şunları içerir: denetim kapsamını tanımlama (hangi hizmetler, hangi TSC’ler, hangi alt hizmet kuruluşları), gerekli kontrolleri uygulama (erişim yönetimi, değişiklik yönetimi, olay müdahale, tedarikçi yönetimi, şifreleme, iş sürekliliği, vb.), kontrol işletim kanıtı toplama, denetim için AICPA lisanslı CPA firması görevlendirme ve tanımlanan eksiklikleri düzeltme. Özelleşmiş “SOC 2 kutusu” satıcıları (Vanta, Drata, Secureframe) uygulamayı kolaylaştırmak için ortaya çıkmıştır. ABD kurumsal müşterileri peşinde koşan SaaS startup’ları için SOC 2 esasen zorunlu hale gelmiştir.