SOC 2 Type II — audytowane kontrole operacyjne
Roczny raport SOC 2 Type II obejmuje Security, Availability i Confidentiality dla klientów w Polsce.
Trust Service Criteria w zakresie
Security (obowiązkowe) + Availability + Confidentiality. Privacy jako oddzielny zakres na żądanie. Każde TSC ma zdefiniowane cele kontrolne — audytor testuje projekt i operacyjną skuteczność w okresie.
Type II vs Type I
Type II testuje kontrole w okresie (zazwyczaj 12 miesięcy) — nie tylko w punkcie w czasie. To jest to, o co pyta procurement enterprise. Robimy Type II z 12-miesięcznym pokryciem; bridge letter pokrywa lukę do kolejnego raportu.
Kadencja raportowania i dostęp
Nowy raport publikowany rocznie, zastępowany gdy nadszedł nowy. Bridge letter co kwartał pokrywa ciągłość do kolejnego audytu. Oba udostępniane pod NDA prospektom i klientom.
Polska — lokalne znaczenie
Polscy enterprise buyers (banki, ubezpieczyciele, sektor publiczny) coraz częściej proszą o SOC 2 jako część kwestionariuszy dostawców. Wyprzedzamy kwestionariusz — raport udostępniany z pierwszym NDA. Zespół sprzedaży w Warszawie przeszkolony w słownictwie SOC 2.
FAQ
Type II czy Type I?
Type II — pokrywa okres. Type I jest point-in-time, mniej użyteczny dla ciągłego zaufania.
Nazwa audytora?
Afiliacja Big-4 — nazwa ujawniana pod NDA. Niezależność potwierdzana rocznie.
Sub-service organizations?
Dostawcy chmury i centrów danych są sub-service organizations — zarządzani metodą inclusive z carve-out ich kontroli.
Findings / wyjątki?
Raport ujawnia wszelkie znalezione wyjątki. Odpowiadamy na każdy management response w raporcie.
Privacy w zakresie?
Privacy TSC dostępne na żądanie — dodaje pokrycie kontroli zgodne z RODO.