jan-karel.nl
Home / ethical hacker / penetratietester / Achtergrond & Frameworks / Het Amerikaanse Stempel
SOC 2 Compliance Audit Trust

Het Amerikaanse Stempel

Als je software verkoopt aan Amerikaanse bedrijven — of aan Europese bedrijven die zaken doen met Amerikaanse bedrijven — dan is er één vraag die je vroeg of laat krijgt: "Hebben jullie een SOC 2?" Het klinkt als een voetbalcompetitie, maar het is een auditrapport. En het antwoord "nee" kan een deal-breaker zijn.

Wat is SOC 2?

SOC staat voor System and Organization Controls. Het is een auditraamwerk ontwikkeld door de AICPA (de Amerikaanse beroepsorganisatie van accountants) dat beoordeelt hoe een serviceorganisatie omgaat met klantdata. Het is geen certificering — er is geen "SOC 2 gecertificeerd" stempel. Het is een rapport, opgesteld door een onafhankelijke auditor, dat beschrijft of je controles effectief zijn.

Type I versus Type II

Het verschil is simpel en belangrijk:

  • Type I — De auditor beoordeelt of je controles op een specifiek moment goed zijn ingericht. Een foto.
  • Type II — De auditor beoordeelt of je controles gedurende een periode (meestal 6-12 maanden) effectief hebben gewerkt. Een film.

Type I is makkelijker en sneller te behalen. Type II is wat klanten eigenlijk willen zien. Want dat je op dinsdag je deur op slot hebt, zegt weinig als hij de rest van de week open staat.

De Trust Services Criteria

SOC 2 beoordeelt je organisatie op vijf criteria:

  1. Security (verplicht) — Bescherming tegen ongeautoriseerde toegang. Firewalls, toegangsbeheer, monitoring, incidentrespons.
  2. Availability — Beschikbaarheid van het systeem conform afspraken. Uptime, disaster recovery, capacity planning.
  3. Processing Integrity — Data wordt volledig, nauwkeurig en tijdig verwerkt.
  4. Confidentiality — Vertrouwelijke informatie wordt beschermd. Encryptie, toegangsbeperkingen, dataclassificatie.
  5. Privacy — Persoonsgegevens worden verwerkt conform het privacybeleid. Verzameling, gebruik, opslag, verwijdering.

Security is altijd verplicht. De overige vier kies je zelf, afhankelijk van wat relevant is voor je dienstverlening.

Hoe haal je het?

  1. Gap assessment. Waar sta je nu? Welke controles heb je al, welke ontbreken? Dit kun je zelf doen of laten doen.
  2. Controles implementeren. Beleid schrijven, technische maatregelen treffen, processen inrichten. Dit kost de meeste tijd — reken op 3-6 maanden voor een organisatie die nog weinig heeft.
  3. Bewijs verzamelen. De auditor wil bewijs dat je controles werken. Screenshots, logs, tickethistorie, goedkeuringsprocessen. Begin hier vroeg mee.
  4. Audit. Een onafhankelijke CPA-firma voert de audit uit. Ze interviewen medewerkers, bekijken bewijs, en testen controles. Dit duurt weken tot maanden.
  5. Rapport. De auditor levert het SOC 2-rapport op. Met een opinion: unqualified (alles goed), qualified (bijna goed, maar...), of adverse (niet goed).

Veelgemaakte fouten

  • Te laat beginnen met bewijs. Voor Type II moet je bewijs hebben over een periode van maanden. Je kunt niet in week 1 van de audit beginnen met loggen.
  • Beleid dat niemand volgt. Een wachtwoordbeleid dat "minimaal 12 tekens" eist terwijl het systeem 6 tekens accepteert, is erger dan geen beleid.
  • SOC 2 als eenmalig project. Het is een doorlopend proces. De controles moeten blijven werken, niet alleen tijdens de auditperiode.

SOC 2 is geen garantie dat je veilig bent. Het is een garantie dat je processen hebt om veilig te zijn. Het verschil is subtiel maar belangrijk. Maar voor de klant die ernaar vraagt, is het het verschil tussen "we nemen security serieus" en "bewijs het maar."

Verder lezen

  • DORA — het Europese equivalent voor de financiële sector
  • Securitymaatregelen — de controles die SOC 2 beoordeelt
  • Threat modeling — risico's identificeren als basis voor je controles

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

Gerelateerde artikelen

← Achtergrond & Frameworks ← Home