Qu'est-ce qu'un rapport SOC 3® et en avez-vous besoin ? [+ Exemple]
Une étude menée par l'ISACA a révélé que plus d'un consommateur sur trois aux États-Unis, au Royaume-Uni, en Australie et en Inde a eu ses informations personnelles volées par des cybercriminels.
La prévalence de la cybercriminalité a considérablement affecté la confiance des consommateurs dans la capacité des organisations à protéger leurs données. En conséquence, 69% des consommateurs interrogés ont déclaré qu'ils pensent que les entreprises devraient être évaluées de manière indépendante sur leurs pratiques de sécurité des données et que les scores devraient être partagés avec le public.
Une façon pour votre organisation de répondre à cette attente et de gagner la confiance des consommateurs est d'obtenir un SOC 3®. SOC 3 signifie Service Organizational Control 3 Report.
Nous allons maintenant expliquer ce qu'est ce rapport et comment il diffère d'un rapport SOC 2®.
Qu'est-ce qu'un rapport SOC 3® ?
Comme un rapport SOC 2, un rapport SOC 3 traite des contrôles pertinents pour les Critères des Services de Confiance (TSC) : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Cependant, il s'agit d'une version plus concise et de haut niveau d'un rapport SOC 2 Type II destinée à être consommée par le public.
Parce qu'il ne fournit pas d'informations confidentielles ou autant de détails qu'un rapport SOC 2, un rapport SOC 3 peut être rendu public et est souvent utilisé comme matériel de marketing.
Regardons de plus près la différence entre les rapports SOC 3 et SOC 2 ci-dessous.
Rapport SOC 3 vs SOC 2
Les conformités SOC 3 et SOC 2 impliquent toutes deux un audit CPA et des tests rigoureux des contrôles de sécurité d'une organisation pour évaluer s'ils répondent aux normes SSAE 18, comme défini par l'AICPA.
Si le CPA certifie que les contrôles mis en place sont conçus et fonctionnent correctement, il émettra alors un rapport SOC 2 et/ou SOC 3. L'organisation peut ensuite utiliser le rapport comme validation par un tiers qu'elle entreprend toutes les meilleures pratiques de sécurité pour les prestataires de services chargés de la gestion des données clientes.
La principale différence entre les rapports SOC 3 et SOC 2 réside dans la manière exacte dont les organisations peuvent les utiliser. Alors que les organisations peuvent publier leur rapport SOC 3 sur leur site Web ou le distribuer librement à leurs clients et prospects, elles ne peuvent pas faire de même avec les rapports SOC 2.
Les rapports SOC 2 contiennent des informations confidentielles sur le système et les contrôles de l'organisation ainsi que des informations détaillées sur les tests, procédures et résultats de l'auditeur et ne peuvent donc pas être rendus publics. La plupart des organisations ne partagent ces rapports qu'avec les clients et prospects qui en font la demande et acceptent de signer un accord de confidentialité (NDA).
Ci-dessous un aperçu de haut niveau des différences entre les rapports SOC 3 et SOC 2.
| SOC 3 | SOC 2 | |
| Reporting type | Type II reports only | Type I and II reports available |
| Report contents | Includes the auditor’s opinion and management assertion only | Include detailed descriptions of the system and auditor’s control tests, test procedures, and/or test results in addition to the auditor’s opinion and management assertion |
| Report use | Can be freely distributed or posted on an organization’s website | Typically shared only with customers and prospects under an NDA |
Quand devrais-je envisager d'obtenir un SOC 3® ?
Si vous êtes une organisation de services qui fournit des services directement aux consommateurs (B2C) ou aux entreprises et aux consommateurs (B2B2C), alors vous devriez envisager d'obtenir un rapport SOC 3.
Comme un rapport SOC 3 ne contient pas de description du système, il constitue une alternative similaire mais plus courte au SOC 2, plus susceptible d'être comprise par le grand public.
Vous pouvez donc utiliser ce rapport à des fins commerciales ou le rendre librement accessible aux clients et prospects pour les rassurer sur l'efficacité de vos contrôles relatifs à tout TSC applicable et créer de la confiance - sans qu'ils aient besoin d'avoir une connaissance suffisante du système ou de signer un NDA.
Puis-je obtenir un SOC 3® au lieu d'un SOC 2® ?
Plutôt que de n'obtenir qu'un rapport SOC 3, vous devriez envisager d'obtenir un rapport SOC 2 et un rapport SOC 3 en complément.
Bien qu'un rapport SOC 3 puisse être extrêmement bénéfique lorsqu'un prospect envisage de travailler avec une organisation de services, il ne fournira probablement pas suffisamment de détails pour satisfaire les clients ou les auditeurs.
De plus, la portée et le niveau de test des examens SOC 2 et SOC 3 sont généralement les mêmes.
Pour ces raisons, vous pouvez demander à l'auditeur de délivrer les rapports SOC 2 et SOC 3 à la fin de l'examen. Le SOC 2 répondra aux besoins des clients existants, tandis que le SOC 3 répondra aux besoins d'un ensemble plus large de consommateurs intéressés à en savoir plus sur votre organisation.
Le guide ultime du SOC 2®
Découvrez tout ce que vous devez savoir pour obtenir rapidement la conformité SOC 2.
Quels sont les contenus d'un rapport SOC 3® ?
Un rapport SOC 3 ne contient que deux éléments. Ceux-ci sont décrits ci-dessous.
1. Déclaration de la direction
La déclaration de la direction est une lettre de la direction de l'organisation de services affirmant qu'elle croit que les contrôles du rapport étaient efficaces pendant toute la période de déclaration.
En relation avec la déclaration, la direction décrira également les limites du système et les principaux engagements et exigences de service de l'organisation. Généralement incluses en tant que pièces jointes ou section distincte dans le rapport, ces informations permettent aux utilisateurs du rapport de comprendre la portée de l'examen SOC 3 et comment la direction a évalué l'efficacité des contrôles en fonction du TSC applicable.
2. Avis de l'auditeur
L'avis de l'auditeur est une lettre de l'auditeur. Dans cette lettre, l'auditeur résumera brièvement l'examen SOC, y compris la portée et la période de l'audit, et donnera son avis final sur la véracité de la déclaration de la direction basée sur le TSC applicable.
Exemple de rapport SOC 3®
Grammarly a rendu l'un de ses rapports SOC 3 librement disponible en ligne. Ce rapport, décrit ci-dessous, atteste des contrôles de Grammarly concernant la sécurité, la disponibilité, la confidentialité et la vie privée pour la période du 1er avril 2021 au 31 mars 2022. Jetons un coup d'œil de plus près ci-dessous.
Section I : Déclaration de la direction
Dans la première section, la direction de Grammarly affirme ses responsabilités et que ses contrôles de sécurité étaient efficaces tout au long de la période de rapport. Cela prend une page.
Section II : Avis de l'auditeur
Vient ensuite la lettre d'avis de l'auditeur, qui déclare que les contrôles de Grammarly relatifs aux TSC applicables (sécurité, disponibilité, confidentialité et vie privée) étaient efficaces tout au long de la période de test. Elle décrit également brièvement la portée de l'audit, les responsabilités de la direction, leurs responsabilités en tant que cabinet d'audit et les limitations inhérentes aux contrôles ainsi qu'à l'audit.
Cela prend deux pages et est signé par le cabinet d'audit.
Pièce jointe A : Description des limites du système et des principaux engagements de service et exigences du système
La première pièce jointe est un résumé des limites du système de Grammarly, y compris des informations générales sur l'entreprise, un aperçu du produit, la structure organisationnelle de l'entreprise, une liste des logiciels et services de support, et plus encore. C'est la section la plus longue, totalisant 16 pages.
Pièce jointe B : Description des principaux engagements de service et exigences du système de l'organisation
La pièce jointe suivante détaille les principaux engagements de service et les exigences système de Grammarly. Ceux-ci incluent la sécurité des produits, la disponibilité du système, la sécurité et la confidentialité des données, et les engagements de protection de la vie privée envers les entités utilisatrices.
Liste de contrôle d'auto-évaluation SOC 2®
Utilisez cette liste de contrôle étape par étape pour évaluer votre préparation à l'audit SOC 2 et SOC 3.
Étape 2 : Remplir les responsabilités de la direction.
Pour préparer un examen SOC 3, la direction doit remplir les responsabilités suivantes :
- Définir le périmètre de l'examen
- Décrire les engagements de service principaux envers les entités utilisatrices
- Décrire les exigences du système nécessaires pour faire fonctionner le système
- Identifier et analyser les risques pouvant empêcher l'organisation de respecter ses engagements de service ou les exigences du système
- Concevoir, mettre en œuvre, surveiller et documenter des contrôles efficaces pour atteindre les engagements de service et les exigences du système de l'organisation en fonction des TSC applicables
Étape 3 : Choisissez votre auditeur.
Enfin, vous devrez choisir votre auditeur. L'évaluer en fonction de son accréditation, de son expérience, de son processus et de sa réputation peut vous aider à en choisir un qui répond à vos besoins.
L'auditeur passera de quelques semaines à plusieurs mois à travailler avec votre équipe avant de produire un rapport SOC 3. Si l'auditeur estime que la déclaration de la direction a été correctement formulée en fonction des TSC applicables, félicitations ! Vous pouvez maintenant publier votre rapport SOC 3 sur votre site Web ou le distribuer d'une autre manière.
Comment Secureframe peut vous aider à obtenir un rapport SOC 3®
Secureframe peut non seulement vous aider à décider si votre entreprise a besoin d'un rapport SOC 3, mais nous pouvons également vous aider à l'obtenir plus rapidement.
Nous économisons des centaines d'heures et des milliers de dollars aux équipes en rédigeant des politiques de sécurité, en collectant des preuves, en engageant des consultants en sécurité et en réalisant des évaluations de préparation. Et parce que Secureframe surveille en permanence votre infrastructure et vous alerte des vulnérabilités, vous pourrez obtenir et maintenir plus facilement et plus rapidement votre conformité SOC 3.
Demandez une démonstration pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir un rapport SOC 3.
FAQ
Qu'est-ce qu'un rapport SOC 3 ?
Un rapport SOC 3 est un rapport public des contrôles internes relatifs aux critères de services de confiance (TSC) : sécurité, disponibilité, intégrité du traitement, confidentialité et/ou vie privée. Pour en obtenir un, les organisations doivent subir un audit CPA et des tests rigoureux de leurs contrôles pour évaluer s'ils respectent les normes SSAE 18, telles que définies par l'AICPA.
Quelle est la différence entre les rapports SOC 2 et SOC 3 ?
Les rapports SOC 2 et SOC 3 traitent des contrôles relatifs à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et/ou à la vie privée. La principale différence est que les rapports SOC 3 ne fournissent pas d'informations confidentielles ni autant de détails que les rapports SOC 2, ils peuvent donc être publiés publiquement. Les rapports SOC 2 sont généralement partagés uniquement avec les clients et les prospects qui en font la demande et acceptent de signer une entente de non-divulgation (NDA).
Le SOC 3 est-il meilleur que le SOC 2 ?
SOC 3 n'est pas intrinsèquement meilleur que SOC 2, mais il est meilleur à des fins de marketing. Puisqu'il s'agit d'une alternative similaire mais plus courte au SOC 2, il est plus susceptible d'être compris par le grand public. Il ne contient pas non plus de descriptions détaillées des tests de contrôle du système et de l'auditeur, des procédures de test, et/ou des résultats des tests, de sorte qu'il peut également être distribué ou publié sur le site Web d'une organisation. Cela fait de SOC 3 le choix idéal pour une organisation de services qui fournit des services directement aux consommateurs (B2C) ou aux entreprises et aux consommateurs (B2B2C).
Comment obtenir un rapport SOC 3®
Un rapport SOC 3 est généré par un audit SOC effectué par un CPA ou une organisation accréditée par l'AICPA. Voici les étapes à suivre pour en obtenir un.
Étape 1 : Déterminer le rapport SOC dont vous avez besoin.
Avant de faire appel à un auditeur, votre première étape est de décider exactement quel type de rapport SOC vous avez besoin.
Pour un rapport SOC 3, les responsabilités de la direction sont sensiblement les mêmes que celles pour un rapport SOC 2. La seule différence est que la direction n'a pas besoin de préparer une description du système.
Cependant, puisque les procédures réalisées dans un examen SOC 2 sont sensiblement les mêmes que celles réalisées dans un examen SOC 3, vous pouvez demander à l'auditeur de délivrer les deux rapports à la fin de l'examen. Cela nécessitera que la direction prépare une déclaration de la direction, y compris la divulgation des limites du système et des principaux engagements de service de l'organisation ainsi que de ses exigences système, en plus d'une description du système.
Si vous décidez de poursuivre un rapport SOC 2 et SOC 3, vous pouvez utiliser notre liste de contrôle d'auto-évaluation SOC 2 pour évaluer votre préparation à l'examen.