Audyty bezpieczeństwa SOC: Czym się różnią SOC 1, SOC 2 i SOC 3 i który raport wybrać?

HomeResourcesArtykułyAudyty bezpieczeństwa SOC: Czym się różnią SOC 1, SOC 2 i SOC 3 i który raport wybrać?

„Czy macie raport SOC?” Coraz więcej firm usługowych słyszy to pytanie. Pada ono zwłaszcza w relacjach z dużymi korporacjami międzynarodowymi i firmami z rynków , ale nie tylko. Każda firma, która przetwarza dane swoich klientów, obsługuje ich transakcje lub zarządza ich infrastrukturą IT, może usłyszeć prośbę o taki raport. SOC (ang. System and Organization Controls) to zestaw raportów audytowych potwierdzających skuteczność kontroli wewnętrznych u dostawcy usług. Raporty te dzielą się na trzy rodzaje, a każdy z nich służy innemu celowi. Postaramy się wyjaśnić różnice między nimi i pomóc wybrać odpowiedni dla twojej firmy.

Spis treści
  1. 1. Czym są audyty SOC?
  2. 2. Geneza i standardy AICPA
  3. 3. SOC 1 – audyt kontroli związanych ze sprawozdawczością finansową
  4. 4. SOC 2 – audyt bezpieczeństwa i kontroli IT
  5. 5. SOC 3 – publiczna wersja raportu SOC
  6. 6. Najważniejsze różnice pomiędzy SOC 1, SOC 2 i SOC 3
  7. 7. Typy raportów SOC: Type I i Type II
  8. 8. Kiedy firma powinna przejść audyt SOC?
  9. 9. SOC a inne standardy bezpieczeństwa (ISO 27001, RODO)
  10. 10. Jak przygotować się do audytu? Podsumowanie
  11. 11. Najczęściej zadawane pytania

Czym są audyty SOC?

Audyt SOC to niezależna ocena kontroli wewnętrznych w firmie świadczącej usługi dla innych podmiotów. Jej celem jest potwierdzenie, że dostawca stosuje odpowiednie zabezpieczenia i zarządza ryzykiem w sposób udokumentowany. Wynikiem audytu jest raport, który klienci firmy usługowej mogą wykorzystać do oceny ryzyka związanego ze współpracą z tym dostawcą.

Raporty SOC opracowała AICPA (ang. American Institute of Certified Public Accountants), amerykańska organizacja zrzeszająca biegłych rewidentów. Audyt SOC musi przeprowadzić niezależna firma audytorska posiadająca uprawnienia wymagane przez AICPA. W Polsce i Europie zajmują się tym zarówno międzynarodowe firmy audytorskie, jak i lokalne podmioty z odpowiednimi kwalifikacjami. AICPA wyróżnia trzy rodzaje raportów. SOC 1 dotyczy kontroli wpływających na sprawozdawczość finansową klientów, SOC 2 ocenia kontrole bezpieczeństwa i przetwarzania danych, a SOC 3 jest publiczną, skróconą wersją raportu SOC 2.

Geneza i standardy AICPA

Raporty SOC mają swoją genezę w standardzie SAS 70, który przez wiele lat był jedynym narzędziem oceny kontroli w firmach usługowych. Standard ten dotyczył wyłącznie kontroli wpływających na sprawozdawczość finansową, ale z czasem zaczął być stosowany znacznie szerzej, również do oceny bezpieczeństwa IT. W 2011 roku AICPA zastąpiło SAS 70 trzema odrębnymi raportami SOC, żeby wyraźnie rozdzielić kontrole finansowe od kontroli bezpieczeństwa i przetwarzania danych.

Raporty SOC opierają się na standardach AICPA. SOC 1 jest przeprowadzany zgodnie z SSAE (ang. Statement on Standards for Attestation Engagements), obecnie w wersji SSAE 21, obowiązującej od 2022 roku. SOC 2 i SOC 3 korzystają z kryteriów Trust Services Criteria, również opracowanych przez AICPA. Trust Services Criteria wyznaczają pięć obszarów oceny: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność.

Warto wiedzieć, że standardy AICPA mają swoje międzynarodowe odpowiedniki. SOC 1 odpowiada międzynarodowemu standardowi ISAE 3402 wydanemu przez IAASB (ang. International Auditing and Assurance Standards Board), natomiast SOC 2 odpowiada standardowi ISAE 3000. Firmy działające na wielu rynkach mogą zlecić jeden audyt łączony, który spełnia wymagania zarówno AICPA, jak i IAASB. Dla polskich firm obsługujących klientów z USA i Europy jest to rozwiązanie pozwalające uniknąć dwóch oddzielnych audytów.

SOC 1 – audyt kontroli związanych ze sprawozdawczością finansową

Raport SOC 1 ocenia kontrole w firmie usługowej, które mogą wpływać na sprawozdawczość finansową jej klientów. Przykładem organizacji, która może potrzebować takiego raportu, jest firma outsourcingowa obsługująca płace lub przetwarzająca transakcje finansowe. Klient takiej firmy musi wykazać w swoim własnym audycie finansowym, że kontrole u dostawcy są skuteczne, a raport SOC 1 dostarcza niezbędnych dowodów.

W odróżnieniu od SOC 2, audyt SOC 1 nie opiera się na stałym zestawie kryteriów. Firma usługowa i jej audytor wspólnie definiują cele kontrolne (ang. control objectives) dostosowane do charakteru świadczonych usług. Oznacza to większą elastyczność w kwestii przedmiotu badania, ale oznacza też, że zakres każdego raportu SOC 1 jest inny.

Raport SOC 1 ma ograniczoną dystrybucję. Mogą go otrzymać wyłącznie klienci firmy usługowej oraz ich audytorzy. Nie jest przeznaczony do publikacji ani do celów marketingowych.

SOC 2 – audyt bezpieczeństwa i kontroli IT

Raport SOC 2 ocenia kontrole firmy usługowej pod kątem pięciu kryteriów (Trust Services Criteria) opracowanych przez AICPA. Te kryteria to bezpieczeństwo (security), dostępność (availability), integralność przetwarzania (processing integrity), poufność (confidentiality) i prywatność (privacy). Bezpieczeństwo jest jedynym kryterium obowiązkowym w każdym audycie SOC 2. Pozostałe kryteria firma wybiera w zależności od charakteru usług i oczekiwań swoich klientów.

SOC 2 jest najczęściej wymaganym raportem SOC w sektorze technologicznym. Dostawcy SaaS, centra danych, firmy chmurowe i podmioty zajmujące się outsourcingiem IT to typowi adresaci tego audytu. Klienci tych firm chcą mieć pewność, że powierzone dostawcom dane są chronione, systemy są dostępne, a przetwarzanie odbywa się rzetelnie.

Podobnie jak SOC 1, raport SOC 2 ma ograniczoną dystrybucję. Trafia wyłącznie do klientów firmy usługowej i podmiotów, które mają uzasadniony interes w zapoznaniu się z jego treścią. Firma, która chce publicznie komunikować wyniki audytu, może w tym celu skorzystać z raportu SOC 3.

SOC 3 – publiczna wersja raportu SOC

SOC 3 opiera się na tych samych kryteriach co SOC 2, ale pełni inną funkcję. Raport SOC 3 jest skrócony i przeznaczony do publicznej dystrybucji. Nie zawiera on szczegółowego opisu kontroli, polityk ani procedur firmy usługowej. Zawiera natomiast opinię audytora o tym, czy kontrole spełniają wymagania wybranych kryteriów.

Firmy wykorzystują SOC 3 w materiałach marketingowych, na stronach internetowych i w komunikacji z potencjalnymi klientami. Raport ten pozwala publicznie zasygnalizować, że firma przeszła niezależny audyt bezpieczeństwa, bez ujawniania szczegółów technicznych, które mogłyby być wrażliwe. SOC 3 nie zastępuje SOC 2 w relacjach z klientami wymagającymi pełnego raportu, ale uzupełnia go jako narzędzie komunikacyjne.

Najważniejsze różnice pomiędzy SOC 1, SOC 2 i SOC 3

Poniższa tabela zestawia najważniejsze cechy trzech rodzajów raportów SOC.

SOC 1SOC 2SOC 3
Cel raportuOcena kontroli wpływających na sprawozdawczość finansową klientówOcena kontroli bezpieczeństwa, dostępności, integralności, poufności i prywatnościPubliczne potwierdzenie wyników audytu bezpieczeństwa
Podstawa audytuCele kontrolne definiowane indywidualnieTrust Services Criteria (AICPA)Trust Services Criteria (AICPA)
Typowy odbiorcaKlienci firmy usługowej i ich audytorzy finansowiKlienci wymagający potwierdzenia bezpieczeństwa ITPotencjalni klienci, partnerzy, opinia publiczna
DystrybucjaOgraniczonaOgraniczonaPubliczna
Poziom szczegółowościWysoki (opis kontroli, wyniki testów)Wysoki (opis kontroli, wyniki testów)Niski (tylko opinia audytora)
Kto potrzebuje raportu    Firmy outsourcingowe obsługujące płace, transakcje finansowe, usługi księgoweDostawcy SaaS, centra danych, firmy chmurowe, outsourcing ITTe same firmy co SOC 2, gdy chcą publicznie komunikować wyniki audytu
Typowe wykorzystanieKlient dołącza go do dokumentacji swojego audytu finansowegoKlient ocenia bezpieczeństwo dostawcy przed nawiązaniem lub w trakcie współpracyPublikacja na stronie internetowej, materiały marketingowe, komunikacja z potencjalnymi klientami
Odpowiednik międzynarodowyISAE 3402ISAE 3000Brak bezpośredniego odpowiednika

SOC 1 dominuje tam, gdzie usługi dostawcy wpływają bezpośrednio na finanse klienta. SOC 2 jest najczęściej wymaganym raportem w branży technologicznej i usługach cyfrowych. SOC 3 pełni przede wszystkim funkcję komunikacyjną i marketingową.

Typy raportów SOC: Type I i Type II

Każdy raport SOC, niezależnie od tego, czy jest to SOC 1 czy SOC 2, może mieć jedną z dwóch form oznaczanych po angielsku jako Type I lub Type II.

Raport Type I ocenia projekt kontroli w określonym momencie. Audytor sprawdza, czy kontrole są zaprojektowane poprawnie i wdrożone na dany dzień. Raport odpowiada zatem na pytanie, czy firma posiada odpowiednie kontrole.

Raport Type II idzie o krok dalej. Ocenia on nie tylko projekt kontroli, ale też ich skuteczność w danym okresie, zwykle od sześciu do dwunastu miesięcy. Audytor weryfikuje, czy kontrole faktycznie działały przez cały badany okres. Raport Type II odpowiada więc na pytanie, czy kontrole działają w sposób ciągły.

Type II jest bardziej wartościowy dla klientów, bo pokazuje, że zabezpieczenia nie istnieją wyłącznie na papierze. Wiele firm zaczyna od raportu Type I jako pierwszego kroku, a następnie przechodzi do Type II, gdy system kontroli dojrzeje. Klienci z sektora finansowego i dużych korporacji najczęściej wymagają raportu Type II.

Kiedy firma powinna przejść audyt SOC?

Kilka sytuacji wskazuje na to, że warto rozważyć audyt SOC. Przede wszystkim klienci mogą wprost pytać o raport SOC lub wpisywać go jako wymóg w zapytaniach ofertowych. W innych wypadkach firma może właśnie wchodzić na rynki międzynarodowe lub zaczynać obsługiwać klientów z dużych korporacji. Organizacja może też przetwarzać dane klientów w modelu SaaS, cloud computing lub outsourcingu i chcieć formalnie potwierdzić, że robi to w sposób bezpieczny.

Wybór raportu zależy od charakteru usług. SOC 1 jest odpowiedni, gdy usługi wpływają na sprawozdawczość finansową klienta, np. przy outsourcingu płac lub przetwarzaniu transakcji. SOC 2 jest właściwy, gdy klient pyta o bezpieczeństwo danych, kontrole IT i ochronę prywatności. SOC 3 uzupełnia SOC 2, jeśli firma chce publicznie komunikować wyniki audytu.

Przed właściwym audytem warto przeprowadzić ocenę gotowości (ang. readiness assessment). Pozwala ona zidentyfikować luki w kontrolach i dokumentacji, zanim przyjdzie audytor. Polskie firmy audytorskie oferujące usługi SOC często rozpoczynają współpracę właśnie od takiej oceny wstępnej.

SOC a inne standardy bezpieczeństwa (ISO 27001, RODO)

Norma ISO 27001, podobnie jak SOC 2, dotyczy bezpieczeństwa informacji, ale ma inne zastosowanie. ISO 27001 to norma międzynarodowa, na podstawie której firma uzyskuje certyfikat potwierdzający wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI). SOC 2 to raport z audytu kontroli przeprowadzonego zgodnie ze standardami AICPA. ISO 27001 jest uznawana globalnie, SOC 2 ma korzenie w USA, ale jest coraz szerzej wymagany w Europie, zwłaszcza przez klientów z sektora technologicznego.

Certyfikacja i raport mogą się uzupełniać. Firma, która posiada certyfikat ISO 27001, ma już wdrożone wiele kontroli, które są badane również w ramach audytu SOC 2. Część firm decyduje się przeprowadzić jedno i drugie, żeby spełnić oczekiwania różnych grup klientów: europejskich (ISO 27001) i amerykańskich (SOC 2).

RODO reguluje ochronę danych osobowych w Unii Europejskiej i nie jest bezpośrednim odpowiednikiem SOC. Raport SOC 2, zwłaszcza gdy uwzględnia kryterium prywatności z Trust Services Criteria, może jednak pomóc wykazać część wymagań RODO dotyczących środków technicznych i organizacyjnych ochrony danych. SOC 2 nie zastępuje zgodności z RODO, ale może ją wspierać.

Jak przygotować się do audytu? Podsumowanie

Spośród trzech raportów SOC to SOC 2 jest najczęściej stosowanym standardem audytu bezpieczeństwa usług cyfrowych. Wynika to z rosnących oczekiwań klientów wobec dostawców SaaS, usług chmurowych i outsourcingu IT, którzy muszą wykazać, że chronią powierzone im dane.

Przygotowanie do audytu SOC warto zacząć od kilku kroków. Pierwszy to jasne określenie, które usługi, systemy i procesy będą objęte raportem. Drugi to przeprowadzenie oceny gotowości, która pokaże, gdzie brakuje kontroli lub dokumentacji. Trzeci to uporządkowanie polityk i procedur bezpieczeństwa oraz upewnienie się, że są one stosowane, a nie tylko spisane. Ważne jest też zaangażowanie zespołów IT i compliance od samego początku, bo audyt wymaga współpracy wielu działów.

Wybór firmy audytorskiej z doświadczeniem w raportach SOC ma istotne znaczenie dla przebiegu audytu. W Polsce i Europie audyty SOC przeprowadzają zarówno międzynarodowe firmy audytorskie, jak i wyspecjalizowane lokalne podmioty.

Najczęściej zadawane pytania

Łukasz Krzewicki

Audit, Risk & Compliance Expert | C&F

A consultant and project manager with more than 20 years of experience in telecommunications, consulting, and IT. He is responsible for the GRC business line, product roadmap, and development planning at C&F. His specialties include risk management (certified CRISC), service delivery management, security management (certified CISM), software product management, SCRUM, CRM, and business process improvements.

Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    Pozostałe wpisy:

    Rozwiązania biznesowe

    AdaptiveGRC to zintegrowany system do zarządzania działaniami GRC (Governance, Risk, Compliance) w Twojej firmie, który spełnia najnowsze wymogi regulacyjne (DORA, NIS2).

    Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
    ZAREZERWUJ KONSUTLACJĘ

    Usprawnij swoje działania GRC dzięki AdaptiveGRC
    Uzyskuj szybsze wyniki.

    • Wypełnij formularz.
    • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
    • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
    • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
    Wypełnij formularz

      Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

      NASZE RECENZJE

      Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

      Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

      AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

      Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

      Wszechstronna platforma do zarządzania ryzykiem i zgodnością

      Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

      Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

      Doskonałe narzędzie do kontroli zgodności

      Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

      Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

      AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

      Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

      Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

      W nazwie AdaptiveGRC zawiera się wszystko

      Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

      D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

      Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

      Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

      Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

      Świetne wsparcie dla firmy ubezpieczeniowej

      Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

      Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500