Service Organization Control Type 2 (SOC 2)

Hva er Service Organization Control Type 2 (SOC 2)?

Service Organization Control Type 2 (SOC 2) er en uavhengig revisjon som undersøker om en tjenesteleverandør beskytter kundedata og holder systemene pålitelige over tid. Den ser på hvordan selskapet faktisk opererer, ikke bare hva som står i en presentasjon. Tenk på det som en sesonglang stresstest for sikkerhet og driftssikkerhet, ikke en enkel kveld med pugging. Nysgjerrig på hvem som definerer det? Se en bred oversikt her: System and Organization Controls.

Hvordan Service Organization Control Type 2 (SOC 2) fungerer

Her er trinn for trinn for en kryptokustodian, børs eller lommebok som tjenesteleverandør som gjennomgår en Service Organization Control Type 2 (SOC 2) revisjon:

• Steg 1: Velg omfang og en uavhengig revisor. Eksempel: oppbevaring, nøkkelhåndtering, håndtering av hendelser.
• Steg 2: Kartlegg kontroller i forhold til Trust Services Criteria: sikkerhet, tilgjengelighet, prosessintegritet, konfidensialitet, personvern.
• Steg 3: Drift kontroller over flere måneder mens revisorer tester dem gjennom hele perioden, ikke bare på én dato.
• Steg 4: Revisorer utsteder en rapport med konklusjon, systembeskrivelse og detaljerte testresultater, inkludert eventuelle avvik.
• Steg 5: Selskapet deler rapporten under en taushetserklæring med kunder og partnere som ber om den.

Ja, det er det. Hvis du vil ha den formelle kilden, beskriver denne siden fra AICPA programmet: AICPA SOC.

Hvorfor Service Organization Control Type 2 (SOC 2) er viktig

Hva gjør det verdt tiden din?

• Fordel: Raskere leverandørvurdering. Én rapport kan svare på mange spørsmål i sikkerhetsskjemaer.
• Perspektiv: Institusjoner forventer det. Mange fond, økonomiavdelinger og partnere innen fintech ser på SOC 2 Type 2 som standard.
• Relevans: Du vil se det hos forvaltere, børser, analyse som SaaS og infrastruktur for lommebøker. For eksempel, se hvordan Fireblocks fremhever sine revisjoner her: Fireblocks security and compliance.

Hovedtrekk ved Service Organization Control Type 2 (SOC 2)

Hva som skiller det, raskt oppsummert:

• Periode: Dekker et datointervall for å vise at kontroller fungerte over tid.
• Kriterier: Bruker fem Trust Services Criteria som styrer hva som testes.
• Omfang: Fokus på kontroller, ikke markedsføringspåstander eller funksjonslister.
• Revisor: Utført av et uavhengig CPA-firma med attestasjonskompetanse.
• Deling: Full rapport deles vanligvis under NDA, ikke publiseres åpent.

1. Påstand: Ledelsens erklæring om systemet og kontrollene.
2. Konklusjon: Revisorens vurdering av utforming og driftseffektivitet.
3. Beskrivelse: Hvordan systemet fungerer på et forståelig språk.
4. Tester: Hver kontroll, hvordan den ble testet, og resultatene.
5. CUCs: Komplementære brukerkrav du må gjøre på din side.

Vil du se hvordan selskaper deler disse under en NDA? Mange legger rapportene i portaler som AWS Artifact: AWS Artifact.

Varianter

Samme familie, ulike varianter:

• Type 1: Revisor sjekker kontrollenes utforming på ett tidspunkt.
• Type 2: Revisor sjekker utforming og driftseffektivitet over flere måneder.
• SOC 1: Fokuserer på kontroller for finansiell rapportering, ikke generell sikkerhet.
• SOC 3: Et offentlig vennlig sammendrag av SOC 2 som du kan dele bredt.

Eksempel

Et kryptofond ber en depotleverandør om sin Service Organization Control Type 2 (SOC 2) rapport og gjennomgår nøkkelhåndtering, endringskontroll og håndtering av hendelser før de overfører midler.

Visste du at

Akronymet SOC ble opprinnelig brukt som Service Organization Control, og i dag kaller sponsor programmet System and Organization Controls. Samme bokstaver, større omfang; AICPA overview forklarer helheten.

Oppsummering

Kort oppsummering: Service Organization Control Type 2 (SOC 2) er tillitsrapporten som gjør at seriøse partnere kan si ja raskere.