SOC 2 Audit. Niet een onderwerp waar je hart nou direct sneller van gaat kloppen, of iets waar je misschien überhaupt over hebt gehoord. In Europa is deze veiligheidsmaatregel beter bekend onder de naam ISAE 3000 (International Standard On Assurance Engagements). Toch zijn deze internationaal erkende certificaten een heel interessant en nuttig onderwerp voor onze dienstverlening (en dus direct ook voor onze klanten!). Sinds vandaag is OTYS officieel ISAE 3000 gecertificeerd en waarom dat zo belangrijk is, leggen we uit in deze blog.

Wat is SOC rapportage?

Het SOC (Service Organization Control report) 2 certificaat heeft twee broertjes die qua namen weinig variëren met hun zusje: SOC 1 en SOC 3. Het SOC 2 Certificaat is een verzameling van kwaliteitseisen die worden getoetst op de zogenaamde Trust Services Principles (TSP):

• Beveiliging
  Fysieke en logische bescherming tegen ongewenste toegang. 
• Beschikbaarheid
  Het systeem is operationeel beschikbaar voor gebruik zoals is vastgelegd of overeengekomen.
• Integriteit van de verwerking
  De systeemverwerking is compleet, nauwkeurig, tijdig en geautoriseerd.
• Vertrouwelijkheid
  Alle informatie wordt geclassificeerd en beschermd zoals vastgelegd of overeengekomen.
• Privacy
  Persoonlijke informatie wordt verzameld, gebruikt, bewaard en overgedragen zoals vastgelegd of overeengekomen.

Nu denk je misschien: “Oké, maar wat houdt dit dan in?”. SOC 2 is een controleprocedure die ervoor zorgt dat serviceproviders data veilig beheren om de belangen van een organisatie en de privacy van haar klanten te beschermen. Het certificaat zorgt ervoor dat er meer waarde wordt toegevoegd aan de outsourcingsdiensten van leveranciers. Immers, zonder dit certificaat is er geen garantie dat er niet alles aan wordt gedaan om verkeerd gebruik van gegevens tegen te gaan. Dit kan een bedrijf kwetsbaarder maken voor datadiefstal, cyberaanvallen, afpersing en malware-installatie.

Soort SOC certificaten

Nu we dit weten is het tijd om dieper in de certificaten te duiken. SOC 2 is onder te verdelen in een Type 1 en een Type 2. Daarnaast zijn er nog SOC 1 en SOC 3 certificaten. In de volgende tabel leggen we kort het verschil uit tussen de type certificaten.

Het ISAE 3000 certificaat

Het ISAE 3000 certificaat is in wezen weinig verschillend van een SOC-rapportage. Beide rapporten zorgen ervoor dat er veel aandacht wordt besteed aan de bescherming van processen van (onder andere) IT-leveranciers. Waar het verschil ook in ligt is dat SOC II een specifiek Amerikaans product is. Het is door het Amerikaanse instituut van accountants AICPA op de markt gezet en als servicemerk in de Verenigde Staten gedeponeerd. Dat is de reden waarom wij in Nederland het keurmerk SOC II niet mogen dragen maar uitwijken naar de term ISAE 3000, waarbij vermeld moet worden dat OTYS een ISAE3000 heeft laten uitvoeren op basis van het SOC principe (in de basis dus SOC) en de inhoud dus gelijk is aan een SOC II rapportage.
Het ISAE 3000 certificaat is een internationaal erkende onderscheiding en met dit papiertje op zak kunnen ICT-dienstverleners zich positief onderscheiden ten opzichte van degene die dit niet hebben. Een dergelijk certificaat wordt dan ook vaak niet zonder reden gezien als een continue streven naar een verbetering en betere bewaking van de processen binnen een organisatie.

Wat betekent dit voor jou als klant?

Voor jou als klant zal er helemaal niets veranderen en je hoeft niet in bepaalde settings te gaan rommelen. Een SOC II certificaat geeft je een extra bevestiging dat er binnen OTYS een model is ontwikkeld én beschreven om de beveiliging van waardevolle informatie te centraliseren, dat de veiligheidsinformatie bij elkaar is gebracht tot één punt en dat deze voortdurend wordt gemonitord. Dit zorgt ervoor dat we (potentieel) gevaar kunnen voorkomen, en indien het niet te voorkomen is, razendsnel kunnen ingrijpen zonder dat hierbij gevoelige informatie in gevaar komt. Een win voor beide kanten: op deze manier behouden we transparantie aan beide zijden, zowel intern als extern.