Welk voordeel bieden SOC-audits in IT outsourcing?

Het American Institute of Certified Public Accountants (AICPA) heeft hiervoor SOC-assurance rapportages in het leven geroepen. De rapportages bieden inzicht in de controlestructuur en dragen bij aan het voorkomen en tijdig herstellen van fouten.

SOC (Service Organisation Control) rapportages richten zich op IT service organisaties en kennen drie vormen:

• SOC 1 (ook wel ISAE 3402, voorheen USA SAS 70): financiële verantwoording voor klanten en hun accountants.
• SOC 2 (ISAE 3000): verantwoording op het gebied van beveiliging, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid voor klanten en andere specifiek aangeduide partijen.
• SOC 3: audittechnisch gezien zijn SOC 2 en SOC 3 gelijk. Het verschil is de rapportage en de verspreidingskring: de rapportage is beperkter en kan breed gepubliceerd.

In de SOC 2 rapportage wordt niet alleen gekeken naar het beveiligingsniveau van toegepaste technologie, maar ook naar software, alle processen eromheen én de mensen die hiervan gebruikmaken. Het is een complexe aangelegenheid, waar iedereen binnen een service organisatie bij betrokken is en de gehele infrastructuur voor vele klanten en vele processen wordt doorgelicht. Een SOC-audit vergt dus veel van een IT-service provider.

Praktijkcase

Solvinity heeft diverse grote klanten binnen de overheid en financiële dienstverlening die hoge eisen stellen aan de beveiliging van hun data en waarvoor de Managed Infrastructure al langer voldeed aan de SOC 1 en 2 vereisten. Maar Solvinity wilde dit voor al zijn klanten en het volledige Solvinity private cloud beheerplatform. Dit is gelukt. Voor 2019 heeft Solvinity van KPMG de SOC 1 en SOC 2 assurantierapporten ontvangen en voldoet daarmee, als een van de weinige serviceproviders in Nederland, voor al zijn klanten aan de strengste audit eisen die internationaal op dit gebied worden gesteld.

Martin Maas, Teamleader Security & Compliance bij Solvinity: “De auditors hebben dagenlang de hele organisatie doorgelicht om te zien of de meer dan 100 controlepunten die we zelf hebben ingericht ook werkelijk worden nageleefd. We hebben meer dan 1200 documenten aangeleverd en honderden mails verstuurd. Dat de auditors uiteindelijk slechts enkele minimale aanbevelingen hebben gedaan, bevestigt dat security bij Solvinity door de hele organisatie wordt gedragen. En klanten hebben hiermee zwart op wit dat wij aan onze kant alles doen om onze diensten zo veilig mogelijk aan te bieden.”

Solvinity biedt zijn klanten een SOC 2 compliance assurance rapport, waarmee zij aan auditors kunnen aantonen dat alles op orde is. Hierdoor wordt de klant maximaal ontzorgd en is deze verzekerd van de betrouwbaarheid, veiligheid en kwaliteit van zijn IT-omgeving en de processen eromheen, zonder zelf te hoeven investeren in resources.