Home Standard Settori ✦ Valutazione IA Richiedi un preventivo →
HomeStandard → SOC 2

SOC 2 Type I & II — Controlli delle Organizzazioni di Servizio

Lo standard di garanzia della sicurezza de facto per i fornitori di servizi SaaS, cloud e tecnologici che servono clienti enterprise negli Stati Uniti. BALTUM eroga programmi di preparazione SOC 2 e coordina la delivery degli audit Type I e Type II tramite studi CPA accreditati AICPA in tutto il mondo.

SOC 2 Type ISOC 2 Type IIAICPA TSCTrust Services Criteria

Che cos'è SOC 2?

SOC 2 (System and Organisation Controls 2) è uno standard di audit sviluppato dall'American Institute of Certified Public Accountants (AICPA). Valuta i controlli di un'organizzazione di servizi in relazione ai Trust Services Criteria (TSC): Sicurezza, Disponibilità, Integrità dell'elaborazione, Riservatezza e Privacy. La Sicurezza (Common Criteria) è obbligatoria; i restanti quattro criteri sono facoltativi in base al contesto aziendale.

SOC 2 Type I vs Type II

  • Type I — Valutazione puntuale che conferma l'adeguata progettazione dei controlli. Tempistica tipica: 2–3 mesi. Utile come report intermedio durante il percorso verso il Type II.
  • Type II — Valutazione su un periodo di osservazione (tipicamente 6–12 mesi) che conferma l'efficace funzionamento dei controlli nel tempo. Richiesto dalla maggior parte degli approvvigionamenti enterprise e Fortune 500.

Chi necessita di SOC 2?

  • Aziende SaaS e software cloud con clienti enterprise negli Stati Uniti
  • Fornitori di infrastruttura cloud, hosting e data centre
  • Fornitori di servizi di sicurezza gestita e servizi IT
  • Fornitori di piattaforme HR, payroll e benefit
  • Qualsiasi fornitore tecnologico che risponde a questionari di sicurezza enterprise

Trust Services Criteria — Panoramica dei Common Criteria

  • CC1 — Ambiente di controllo (governance, responsabilità)
  • CC2 — Comunicazione e informazione
  • CC3 — Valutazione del rischio
  • CC4 — Monitoraggio dei controlli
  • CC5 — Attività di controllo (politiche e procedure)
  • CC6 — Controlli di accesso logico e fisico
  • CC7 — Operazioni di sistema (rilevamento anomalie, risposta agli incidenti)
  • CC8 — Gestione delle modifiche
  • CC9 — Mitigazione del rischio

Incarico SOC 2 di BALTUM

  • Valutazione di preparazione rispetto a tutti i Trust Services Criteria applicabili
  • Registro delle lacune e roadmap di remediation
  • Documentazione di politiche e procedure allineate ai requisiti TSC
  • Implementazione di piattaforma GRC (Vanta, Drata, Sprinto o simili)
  • Coordinamento con studi CPA per la delivery di audit Type I e Type II
  • Manutenzione continua della conformità e supporto all'audit annuale

Integrazione SOC 2 + ISO 27001

Il framework di evidenze unificato di BALTUM mappa i Trust Services Criteria SOC 2 sui controlli dell'Allegato A della ISO 27001:2022 — consentendo la certificazione simultanea SOC 2 + ISO 27001 con un'unica libreria di politiche, un unico processo di valutazione del rischio e una significativa riduzione della duplicazione degli audit.