SOC 2
รายงาน attestation จาก AICPA ที่ประเมิน controls ของ service organization เทียบกับ Trust Services Criteria ห้าหมวด: security, availability, processing integrity, confidentiality และ privacy แบ่งเป็น Type I (จุดเวลาเดียว) และ Type II (ครอบคลุมช่วงเวลา)
SOC 2 (Service Organization Control 2) คือรายงาน attestation ที่ออกโดย CPA firm อิสระ มันประเมิน internal controls ของ service organization เทียบกับ Trust Services Criteria (TSC) ที่กำหนดโดย AICPA
หมวด TSC ห้าหมวด:
- Security (หมวดเดียวที่บังคับ) — การปกป้องระบบและข้อมูลจาก unauthorized access
- Availability — system uptime ตาม service commitments ที่ตกลง
- Processing integrity — การประมวลผลของระบบครบถ้วน แม่นยำ ทันเวลา และได้รับการอนุญาต
- Confidentiality — ข้อมูลที่กำหนดเป็น confidential ถูกปกป้อง
- Privacy — ข้อมูลส่วนบุคคลถูกจัดการตาม privacy notice ขององค์กรและเกณฑ์ AICPA
รายงานสองประเภท:
- Type I — snapshot ของ control design ที่จุดเวลาหนึ่ง
- Type II — controls ถูกประเมินตลอดช่วงเวลา (มักจะ 6-12 เดือน) รวมถึง operating effectiveness testing
ลูกค้า SaaS ส่วนใหญ่ขอ SOC 2 Type II report เป็นเงื่อนไขสำหรับ enterprise sales การ audit ครั้งแรกมักใช้เวลาเตรียม 6-12 เดือน และ observation window 6 เดือน
SOC 2 report ไม่ใช่ certification — มันคือ opinion จาก CPA firm ใครก็อ้าง compliance ได้ แต่มีแค่ SOC 2 report จาก CPA firm เท่านั้นที่มีน้ำหนัก
Sources
- [5]American Institute of Certified Public Accountants. AICPA SOC 2 Trust Services Criteria. AICPA, 2017. https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2