ISAE 3402 en SOC

Een Service Organization Control report is feitelijk hetzelfde als een ISAE 3402-rapport. Ook dit is wederom een vrij semantische discussie. De AICPA (ontwikkelaar SAS70-standaard) heeft bij de introductie van haar nieuwe standaard (SSAE16) tevens een nieuwe term geïntroduceerd voor rapportage over de interne controle van service organisaties; een service organization control report (SOC of SOCR). Deze term is geïntroduceerd omdat SAS70/SSAE16 feitelijk assurance standaarden zijn en een SSAE16 rapport of SAS70 rapport dus technisch gezien niet de juiste termen zijn. Feitelijk zou je een dergelijk rapport een SOC moeten noemen die gecontroleerd is conform de SSAE16-standaard.

ISAE 3402 kent deze term niet. In de markt wordt ook voornamelijk gesproken over een ISAE 3402 rapport en niet over een SOC die conform ISAE 3402 is gecontroleerd. Wanneer de ISAE 3402 en SSAE16 standaard vergeleken worden dan is een SOC1 rapport vergelijkbaar met wat wij een ISAE 3402 rapport noemen. Binnen SSAE16 worden ook type I en type 2 rapporten onderscheiden. De SSAE16 en ISAE 3402-standaard zijn voor een belangrijk deel overeenkomstig.

Een SOC2-rapport richt zich meer op de security-omgeving van een organisatie en een SOC3-rapport is vergelijkbaar met het oorspronkelijke Webtrust certificaat. SOC3 kent ook een daadwerkelijk certificaat (logo) wat op een website geplaatst kan worden.

Lees meer over SASconsult en ISAE 3402.