SOC 2 Trust Services Criteria: de vijf pijlers uitgelegd

Een SOC 2 rapport is gebaseerd op de Trust Services Criteria (TSC), ontwikkeld door de AICPA. Deze criteria vormen het raamwerk waartegen de controls van een serviceorganisatie worden beoordeeld. Er zijn vijf categorieën, waarvan Security (ook wel Common Criteria genoemd) altijd verplicht is. De overige vier zijn optioneel en worden gekozen op basis van de dienstverlening.

Security (Common Criteria) is de basis van elk SOC 2 rapport. Deze categorie omvat de bescherming van informatie en systemen tegen ongeautoriseerde toegang, zowel fysiek als logisch. Controls in deze categorie gaan over toegangscontrole, netwerk- en applicatiebeveiliging, change management, risicobeoordeling en monitoring. Vrijwel elke SOC 2 audit bevat uitsluitend deze categorie.

Availability richt zich op de beschikbaarheid van het systeem conform de afspraken met klanten. Dit omvat controls voor capaciteitsplanning, disaster recovery, back-up en restore, incidentbeheer en performance monitoring. Deze categorie is relevant voor organisaties die SLA's op beschikbaarheid bieden, zoals hostingproviders en SaaS-bedrijven met uptimegaranties.

Processing Integrity gaat over de volledigheid, juistheid, tijdigheid en autorisatie van systeemverwerking. Controls in deze categorie waarborgen dat transacties correct worden verwerkt, dat er validaties plaatsvinden op input en output, en dat verwerkingsfouten worden gedetecteerd en gecorrigeerd. Deze categorie is vooral relevant voor organisaties die financiële transacties of bedrijfskritieke data verwerken.

Confidentiality betreft de bescherming van vertrouwelijke informatie. Dit gaat verder dan persoonsgegevens: het omvat ook bedrijfsgeheimen, intellectueel eigendom, financiële data en andere informatie die als vertrouwelijk is aangemerkt. Controls omvatten classificatie van data, versleuteling, toegangsbeperkingen en veilige vernietiging van data.

Privacy richt zich specifiek op de verwerking van persoonsgegevens. Deze categorie is gebaseerd op de Generally Accepted Privacy Principles (GAPP) en omvat controls voor het verzamelen, gebruiken, bewaren, openbaren en vernietigen van persoonsgegevens. Voor Europese organisaties is er overlap met de AVG, maar de Privacy criteria hanteren een eigen kader.

De keuze welke criteria in scope zijn hangt af van de dienstverlening en de verwachtingen van klanten. Een SaaS-platform dat financiële data verwerkt zal doorgaans Security, Availability en Confidentiality opnemen. Een betalingsverwerker voegt Processing Integrity toe. Security alleen is de minimale en meest voorkomende scope.

Secure Audit helpt organisaties bij het bepalen van de juiste scope voor hun SOC 2 traject en voert de audit uit conform de AICPA-standaarden. Neem contact op voor een scopebepaling.