SOC 2 Type II
Стандарт доверительных услуг AICPA
SOC 2 Type II — стандарт AICPA для сервисных организаций, подтверждающий безопасность, доступность и конфиденциальность обработки данных клиентов. Аудит проводится за период 6-12 месяцев.
Целевая аудитория
SaaS-провайдеры, облачные сервисы, процессинговые центры, аутсорсинговые компании — все, кто обрабатывает данные клиентов.
Ключевые контроли
Логическая и физическая безопасность
Средства логической и физической безопасности ИТ-активов
Ограничение доступа к информационным активам
Выявление и устранение уязвимостей информационных активов
Безопасность границ системы
Меры безопасности против угроз на границах системы
Защита передаваемых данных
Ограничение передачи данных авторизованным пользователям и процессам
Предотвращение и обнаружение несанкционированного ПО
Предотвращение или обнаружение установки несанкционированного ПО
Мониторинг уязвимостей
Обнаружение изменений конфигурации, которые могут создать новые уязвимости
Проверяемые категории
Часто задаваемые вопросы
В чём разница между SOC 2 Type I и Type II?
Type I оценивает дизайн контролей на момент проверки. Type II проверяет работу контролей за период 6-12 месяцев — это более строгий и ценный аудит.
Сколько стоит аудит SOC 2?
Для небольшого SaaS — от $20K до $100K за аудит, плюс расходы на подготовку. Требуется ежегодное обновление.
Что проверяет КиберОценка для SOC 2?
Логическую безопасность (CC6.1), управление уязвимостями (CC6.5), защиту границ (CC6.6), шифрование данных (CC6.7), мониторинг (CC7.1).
Проверьте соответствие автоматически
Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.