Geneza i standardy AICPA<\/h2>\n\n\n\n
Raporty SOC maj\u0105 swoj\u0105 genez\u0119 w standardzie SAS 70, kt\u00f3ry przez wiele lat by\u0142 jedynym narz\u0119dziem oceny kontroli w firmach us\u0142ugowych. Standard ten dotyczy\u0142 wy\u0142\u0105cznie kontroli wp\u0142ywaj\u0105cych na sprawozdawczo\u015b\u0107 finansow\u0105, ale z czasem zacz\u0105\u0142 by\u0107 stosowany znacznie szerzej, r\u00f3wnie\u017c do oceny bezpiecze\u0144stwa IT. W 2011 roku AICPA zast\u0105pi\u0142o SAS 70 trzema odr\u0119bnymi raportami SOC, \u017ceby wyra\u017anie rozdzieli\u0107 kontrole finansowe od kontroli bezpiecze\u0144stwa i przetwarzania danych.<\/p>\n\n\n\n
Raporty SOC opieraj\u0105 si\u0119 na standardach AICPA. SOC 1 jest przeprowadzany zgodnie z SSAE<\/a> (ang. Statement on Standards for Attestation Engagements), obecnie w wersji SSAE 21, obowi\u0105zuj\u0105cej od 2022 roku. SOC 2 i SOC 3 korzystaj\u0105 z kryteri\u00f3w Trust Services Criteria<\/a>, r\u00f3wnie\u017c opracowanych przez AICPA. Trust Services Criteria wyznaczaj\u0105 pi\u0119\u0107 obszar\u00f3w oceny: bezpiecze\u0144stwo, dost\u0119pno\u015b\u0107, integralno\u015b\u0107 przetwarzania, poufno\u015b\u0107 i prywatno\u015b\u0107.<\/p>\n\n\n\n Warto wiedzie\u0107, \u017ce standardy AICPA maj\u0105 swoje mi\u0119dzynarodowe odpowiedniki. SOC 1 odpowiada mi\u0119dzynarodowemu standardowi ISAE 3402 wydanemu przez IAASB<\/a> (ang. International Auditing and Assurance Standards Board), natomiast SOC 2 odpowiada standardowi ISAE 3000. Firmy dzia\u0142aj\u0105ce na wielu rynkach mog\u0105 zleci\u0107 jeden audyt \u0142\u0105czony, kt\u00f3ry spe\u0142nia wymagania zar\u00f3wno AICPA, jak i IAASB. Dla polskich firm obs\u0142uguj\u0105cych klient\u00f3w z USA i Europy jest to rozwi\u0105zanie pozwalaj\u0105ce unikn\u0105\u0107 dw\u00f3ch oddzielnych audyt\u00f3w.<\/p>\n\n\n\n Raport SOC 1 ocenia kontrole w firmie us\u0142ugowej, kt\u00f3re mog\u0105 wp\u0142ywa\u0107 na sprawozdawczo\u015b\u0107 finansow\u0105 jej klient\u00f3w. Przyk\u0142adem organizacji, kt\u00f3ra mo\u017ce potrzebowa\u0107 takiego raportu, jest firma outsourcingowa obs\u0142uguj\u0105ca p\u0142ace lub przetwarzaj\u0105ca transakcje finansowe. Klient takiej firmy musi wykaza\u0107 w swoim w\u0142asnym audycie finansowym, \u017ce kontrole u dostawcy s\u0105 skuteczne, a raport SOC 1 dostarcza niezb\u0119dnych dowod\u00f3w.<\/p>\n\n\n\n W odr\u00f3\u017cnieniu od SOC 2, audyt SOC 1 nie opiera si\u0119 na sta\u0142ym zestawie kryteri\u00f3w. Firma us\u0142ugowa i jej audytor wsp\u00f3lnie definiuj\u0105 cele kontrolne (ang. control objectives) dostosowane do charakteru \u015bwiadczonych us\u0142ug. Oznacza to wi\u0119ksz\u0105 elastyczno\u015b\u0107 w kwestii przedmiotu badania, ale oznacza te\u017c, \u017ce zakres ka\u017cdego raportu SOC 1 jest inny.<\/p>\n\n\n\n Raport SOC 1 ma ograniczon\u0105 dystrybucj\u0119. Mog\u0105 go otrzyma\u0107 wy\u0142\u0105cznie klienci firmy us\u0142ugowej oraz ich audytorzy. Nie jest przeznaczony do publikacji ani do cel\u00f3w marketingowych.<\/p>\n\n\n\n Raport SOC 2 ocenia kontrole firmy us\u0142ugowej pod k\u0105tem pi\u0119ciu kryteri\u00f3w (Trust Services Criteria) opracowanych przez AICPA. Te kryteria to bezpiecze\u0144stwo (security), dost\u0119pno\u015b\u0107 (availability), integralno\u015b\u0107 przetwarzania (processing integrity), poufno\u015b\u0107 (confidentiality) i prywatno\u015b\u0107 (privacy). Bezpiecze\u0144stwo jest jedynym kryterium obowi\u0105zkowym w ka\u017cdym audycie SOC 2. Pozosta\u0142e kryteria firma wybiera w zale\u017cno\u015bci od charakteru us\u0142ug i oczekiwa\u0144 swoich klient\u00f3w.<\/p>\n\n\n\n SOC 2 jest najcz\u0119\u015bciej wymaganym raportem SOC w sektorze technologicznym. Dostawcy SaaS, centra danych, firmy chmurowe i podmioty zajmuj\u0105ce si\u0119 outsourcingiem IT to typowi adresaci tego audytu. Klienci tych firm chc\u0105 mie\u0107 pewno\u015b\u0107, \u017ce powierzone dostawcom dane s\u0105 chronione, systemy s\u0105 dost\u0119pne, a przetwarzanie odbywa si\u0119 rzetelnie.<\/p>\n\n\n\n Podobnie jak SOC 1, raport SOC 2 ma ograniczon\u0105 dystrybucj\u0119. Trafia wy\u0142\u0105cznie do klient\u00f3w firmy us\u0142ugowej i podmiot\u00f3w, kt\u00f3re maj\u0105 uzasadniony interes w zapoznaniu si\u0119 z jego tre\u015bci\u0105. Firma, kt\u00f3ra chce publicznie komunikowa\u0107 wyniki audytu, mo\u017ce w tym celu skorzysta\u0107 z raportu SOC 3.<\/p>\n\n\n\n SOC 3 opiera si\u0119 na tych samych kryteriach co SOC 2, ale pe\u0142ni inn\u0105 funkcj\u0119. Raport SOC 3 jest skr\u00f3cony i przeznaczony do publicznej dystrybucji. Nie zawiera on szczeg\u00f3\u0142owego opisu kontroli, polityk ani procedur firmy us\u0142ugowej. Zawiera natomiast opini\u0119 audytora o tym, czy kontrole spe\u0142niaj\u0105 wymagania wybranych kryteri\u00f3w.<\/p>\n\n\n\n Firmy wykorzystuj\u0105 SOC 3 w materia\u0142ach marketingowych, na stronach internetowych i w komunikacji z potencjalnymi klientami. Raport ten pozwala publicznie zasygnalizowa\u0107, \u017ce firma przesz\u0142a niezale\u017cny audyt bezpiecze\u0144stwa, bez ujawniania szczeg\u00f3\u0142\u00f3w technicznych, kt\u00f3re mog\u0142yby by\u0107 wra\u017cliwe. SOC 3 nie zast\u0119puje SOC 2 w relacjach z klientami wymagaj\u0105cymi pe\u0142nego raportu, ale uzupe\u0142nia go jako narz\u0119dzie komunikacyjne.<\/p>\n\n\n\n Poni\u017csza tabela zestawia najwa\u017cniejsze cechy trzech rodzaj\u00f3w raport\u00f3w SOC.<\/p>\n\n\n\n![\"\"](\"https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/04\/Banner-www-1-1024x267.png\" "\\"Banner")
<\/a><\/figure><\/div>\n\n\n\nSOC 1 \u2013 audyt kontroli zwi\u0105zanych ze sprawozdawczo\u015bci\u0105 finansow\u0105<\/h2>\n\n\n\n
SOC 2 \u2013 audyt bezpiecze\u0144stwa i kontroli IT<\/h2>\n\n\n\n
SOC 3 \u2013 publiczna wersja raportu SOC<\/h2>\n\n\n\n
Najwa\u017cniejsze r\u00f3\u017cnice pomi\u0119dzy SOC 1, SOC 2 i SOC 3<\/h2>\n\n\n\n
![\"\"](\"https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/04\/Audyty-bezpieczenstwa-SOC-PL-1024x610.png\")
<\/figure>\n<\/div>\n\n\n