RAC | Jouw IT Sparringpartner

SOC 1/2/3

SOC staat voor Service Organisation Control. Een SOC-rapportage is opgesteld volgens de SOC-rapportage standaarden en gaat in op de opzet, het bestaan en de werking van beheersmaatregelen die zijn getroffen met betrekking tot uitbestede processen. Er zijn drie soorten SOC-rapportages, namelijk SOC 1, SOC 2 en SOC 3. Elke SOC heeft een ander rapportagegebied en is geldig tot aan het moment dat er wijzigingen plaatsvinden. Als serviceprovider bied je middels de SOC rapportage zekerheid over de kwaliteit van uw dienstverlening.

Meer informatie nodig? Neem dan contact op door het onderstaande formulier in te vullen of bel ons op 085 4000 737.

Bekijk hieronder de verschillende SOC rapportages.

SOC 1

De SOC 1 rapporteert over de opzet en werking van beheersmaatregelen met betrekking tot financiële verslaglegging van een organisatie. Denk hierbij aan applicaties of data die gelinkt zijn met het financieel proces. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist en volledig is opgenomen.

SOC 2

De SOC 2 rapporteert over vastgestelde principes (Trust Services Criteria) in relatie tot de opzet, het bestaan en de werking van operational IT-controls met betrekking tot uitbestede processen. Denk hierbij aan informatiebeveiliging en privacy. De Trust Services Criteria (TSP) zijn: availability, confidentiality, security en process integrity in een service organisatie.  

SOC 3

Wanneer er een SOC 2 verklaring is, dan kan er een SOC 3 verklaring worden gevraagd. Dit is een verkorte versie van een SOC 2-rapportage. Hierin wordt beknopt weergegeven hoe de organisatie een SOC 2-engagement heeft behaald. Er wordt dus in grote lijnen over de systeembeschrijven gerapporteerd, zonder daarbij technische maatregelen te benoemen. Een SOC 3 is met name bedoeld om aan huidige en potentiële opdrachtgevers te laten zien dat je als organisatie over de juiste controles beschikt om risico’s met betrekking tot beveiliging, beschikbaarheid, privacy en vertrouwelijkheid van klantinformatie die wordt verwerkt te beperken. Een SOC 3 kun je dus publiekelijk delen.