Strona główna Standardy Branże ✦ Ocena AI Zapytaj o ofertę →
Strona głównaStandardy → SOC 2

SOC 2 Type I i II — Kontrole organizacji usługowych

De facto standard zapewnienia bezpieczeństwa dla dostawców SaaS, usług chmurowych i technologicznych obsługujących klientów korporacyjnych w USA. BALTUM realizuje programy gotowości SOC 2 oraz koordynuje przeprowadzanie audytów Type I i Type II za pośrednictwem akredytowanych firm CPA z całego świata.

SOC 2 Type ISOC 2 Type IIAICPA TSCKryteria usług zaufania

Czym jest SOC 2?

SOC 2 (System and Organisation Controls 2) to standard audytowy opracowany przez Amerykański Instytut Biegłych Rewidentów (AICPA). Ocenia on mechanizmy kontroli organizacji usługowej w odniesieniu do Kryteriów Usług Zaufania (TSC): Bezpieczeństwo, Dostępność, Integralność przetwarzania, Poufność i Prywatność. Bezpieczeństwo (Wspólne Kryteria) jest wymagane; pozostałe cztery są opcjonalne w zależności od kontekstu biznesowego.

SOC 2 Type I a Type II

  • Type I — Ocena punktowa potwierdzająca, że mechanizmy kontroli są odpowiednio zaprojektowane. Typowy czas realizacji: 2–3 miesiące. Przydatny jako raport przejściowy podczas dążenia do Type II.
  • Type II — Ocena w okresie obserwacji (zazwyczaj 6–12 miesięcy) potwierdzająca, że mechanizmy kontroli działały skutecznie przez cały okres. Wymagany przez większość przedsiębiorstw i Fortune 500 w procesach zakupowych.

Kto potrzebuje SOC 2?

  • Firmy SaaS i chmurowe z klientami korporacyjnymi w USA
  • Dostawcy infrastruktury chmurowej, hostingu i centrów danych
  • Dostawcy zarządzanych usług bezpieczeństwa i IT
  • Dostawcy platform HR, płacowych i świadczeń pracowniczych
  • Każdy dostawca technologiczny odpowiadający na kwestionariusze bezpieczeństwa korporacyjnego

Kryteria usług zaufania — przegląd wspólnych kryteriów

  • CC1 — Środowisko kontroli (zarządzanie, odpowiedzialność)
  • CC2 — Komunikacja i informacja
  • CC3 — Ocena ryzyka
  • CC4 — Monitorowanie mechanizmów kontroli
  • CC5 — Działania kontrolne (polityki i procedury)
  • CC6 — Logiczna i fizyczna kontrola dostępu
  • CC7 — Działanie systemów (wykrywanie anomalii, reagowanie na incydenty)
  • CC8 — Zarządzanie zmianami
  • CC9 — Ograniczanie ryzyka

Zaangażowanie BALTUM w SOC 2

  • Ocena gotowości względem wszystkich mających zastosowanie kryteriów usług zaufania
  • Rejestr luk i plan naprawczy
  • Dokumentacja polityk i procedur zgodna z wymaganiami TSC
  • Wdrożenie platformy GRC (Vanta, Drata, Sprinto lub podobnej)
  • Koordynacja z firmą CPA w zakresie przeprowadzenia audytu Type I i Type II
  • Bieżące utrzymanie zgodności i wsparcie corocznego audytu

Integracja SOC 2 + ISO 27001

Ujednolicone ramy dowodowe BALTUM mapują Kryteria Usług Zaufania SOC 2 na mechanizmy kontroli Załącznika A ISO 27001:2022 — umożliwiając jednoczesną certyfikację SOC 2 + ISO 27001 z jedną biblioteką polityk, jednym procesem oceny ryzyka i znacząco ograniczoną duplikacją audytów.