Cet article a été traduit automatiquement.
Votre client vous a demandé de prouver que vous protégez les données. Vous pensez à SOC 1 ou SOC 2. Quel rapport satisfera votre client ?
Dans les deux rapports, le SOC fait référence au contrôle des organisations de services "." Dans ces rapports, le contrôle "" fait référence aux plans et procédures que vous avez développés. La différence concerne le type de données et le périmètre des données requises pour l'examen.
Les rapports SOC ont été élaborés par l'AICPA. Les organisations confirment que des comptables publics certifiés (CPA) réalisent l'audit. La série de rapports permet aux entreprises d'obtenir le type d'évaluation que leurs clients demandent.
Approfondissons les notions de SOC 1 et SOC 2, afin que vous puissiez faire un choix éclairé.
Qu'est-ce que SOC 1 ?
Choisissez un SOC 1 audit, et un CPA examinera vos plans, votre politique et vos procédures en matière d'informations financières.
Votre auditeur pourrait examiner la façon dont vous :
- Processus. Comment manipulez-vous les données pour votre client ? Comment vous assurer que vous ne modifiez rien que vous ne devriez pas ?
- Sécurisé. Comment protégez-vous les informations de client de toute manipulation extérieure ?
Préparez-vous à l'audit en rédigeant un rapport détaillant la manière dont vous traitez les données financières. Votre auditeur s'en sert comme point de départ au fur et à mesure que le travail progresse.
La durée de l'audit dépend du type d'audit que vous choisissez :
- Type 1 : Ce rapport met en évidence un moment donné. Votre auditeur examine les informations pertinentes, puis passe à autre chose.
- Type 2 : votre auditeur examine les procédures et les processus pendant une période prolongée afin de s'assurer qu'ils fonctionnent comme prévu.
Toute entreprise susceptible de manipuler des données financières a probablement besoin d'un audit SOC 1.
Qu'est-ce que SOC 2 ?
Choisissez un SOC 2 audit, et un CPA aura un périmètre des données requises beaucoup plus large. Le rapport comporte plusieurs points, et pour chacun d'entre eux, vous devez prouver que vous répondez à ce qui est considéré comme un secteur d'activité standard.
Un audit SOC 2 comprend un examen de vos contrôles internes en ce qui concerne
- Sécurité
- Disponibilité
- Intégrité du traitement
- Confidentialité
- Déclaration de confidentialité
Vous pouvez demander à un auditeur d'examiner les cinq aspects, ou vous pouvez sélectionner les éléments qui s'appliquent à votre entreprise.
Là encore, vous disposez de deux types de rapports. Le type 1 examine un moment dans le temps, et le type 2 implique un examen plus long.
SOC 1 vs. SOC 2
Si votre contrat porte exclusivement sur des informations financières, il est judicieux d'obtenir un certificat SOC 1 audit. Si vous ne traitez pas de données financières mais que vous avez des contrats avec des clients, SOC 2 peut être mieux adapté. Certaines organisations ont besoin des deux rapports.
Selon l'AICPA de nombreuses organisations choisissent les rapports SOC 1. Mais la prise de conscience des problèmes de sécurité est telle que les rapports SOC 2 sont de plus en plus nombreux.
Ce tableau comparatif rapide pourrait vous aider à prendre une décision plus claire.
SOC 1 | SOC 2 | |
périmètre des données requises | Données financières | Tout type de données relatives aux clients |
Profils cibles | Un client potentiel et votre bureau | Client potentiel, votre bureau, les régulateurs |
Contrôles examinés | Contrôles de l'information financière | L'un des cinq principes de service (sécurité, confidentialité, intégrité du traitement, respect de la vie privée, disponibilité) |
Types de rapports | Type 1 et type 2 | Type 1 et type 2 |
Référence des contrôles | Non défini | Défini |
Distribution | Restreint | Restreint |
Références
Contrôles des systèmes et des organisations : Suite de services SOC. AICPA.
Enquête sur les contrôles des systèmes et des organisations (SOC). (2021), AICPA.
