System and Organization Controls 2

SOC 2 er en standard for, hvordan virksomheder håndterer og beskytter data – især persondata og kundedata – inden for it- og cloudtjenester. Det er primært relevant for softwarevirksomheder, der opbevarer eller behandler andres data. SOC 2 vurderer en virksomheds kontrolsystemer ud fra fem “Trust Service Criteria”: sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
Forskellen mellem Type 1 og Type 2 er:
Type 1: Tester, om virksomhedens kontroller er korrekt designet og implementeret på et givent tidspunkt. Det er altså et “øjebliksbillede” af systemet.
Type 2: Tester både designet og effektiviteten af kontrollerne over en periode (typisk 6-12 måneder). Det viser, at kontrollerne faktisk fungerer i praksis over tid.
Kort sagt: Type 1 = “Er systemet sat op korrekt?” Type 2 = “Fungerer systemet også korrekt over tid?”