SOC 2 — standard pro SaaS poskytovatele
AICPA standard. B2B SaaS poskytovatelé ho potřebují, aby prodali velkým enterprise zákazníkům.
Co to je
SOC 2 (Service Organization Control 2) je standard vyvinutý AICPA (American Institute of CPAs), který se zaměřuje na kontroly v pěti oblastech (Trust Service Criteria): security, availability, processing integrity, confidentiality a privacy. Existují dva typy auditů: SOC 2 Type I (snapshot v jeden moment — jsou kontroly nastavené?) a SOC 2 Type II (kontrola za období 6-12 měsíců — fungují kontroly v praxi?). Výsledkem je SOC 2 report od nezávislého auditora, který se sdílí s potenciálními zákazníky pod NDA.
Proč to záleží
Pro B2B SaaS startupy je SOC 2 typicky první compliance milestone — velcí enterprise zákazníci (zejména US) ji vyžadují v procurement procesu. Type II report (period audit) typicky 6-12 měsíců přípravy + 200-500k Kč. SOC 2 NENÍ certifikace v EU smyslu — je to attest report (zpráva o ověření). V Evropě je často kombinovaná s ISO 27001 (která JE certifikace) pro maximální tržní pokrytí. Pro Czech SaaS startup uvažující o expanzi do US je SOC 2 strategickou prioritou.
Podobná témata
- ISO 27001 — standard pro správu informační bezpečnostiMezinárodní standard pro systém řízení informační bezpečnosti (ISMS). Často požadovaný v B2B.
- Bezpečnostní audit — co to je a jaké typy existujíKontrola bezpečnostního stavu organizace třetí stranou. Různé typy podle hloubky a cíle.
- GDPR — ochrana osobních údajůEvropské pravidlo, jak smí firmy nakládat s osobními údaji.
Najdeš chybu nebo máš dotaz? Napiš nám.