Définition et objectif

Le but d'un rapport SOC 3 est de fournir une version plus concise et de haut niveau d'un rapport SOC 2 Type II. SOC 3 est destiné à la consommation publique et peut être publié sur le site web de l'organisation ou distribué librement d'une autre manière aux clients et prospects pour démontrer leur engagement en matière de sécurité des données.

Bien qu'un rapport SOC 3 contienne une opinion sur l'efficacité opérationnelle des contrôles, il n'inclut pas de description détaillée des tests de contrôle réalisés par l'auditeur de services et des résultats de ces tests. C'est ce qui le rend approprié pour un public général qui n'a pas besoin ou les connaissances nécessaires pour utiliser efficacement un rapport SOC 2.

Organe directeur

SOC 3 fait partie d'une suite de services créés et maintenus par l'American Institute of Certified Public Accountants (AICPA). L'AICPA fournit des directives sur la conduite des rapports SOC 3, ce qui doit être inclus et les critères contre lesquels les contrôles sont évalués.

Dernière mise à jour

SOC 3 a été publié en 2010 sous la déclaration sur les normes pour les missions d'attestation (SSAE 16). La dernière mise à jour majeure du SOC 3 a eu lieu en 2016, avec l'introduction du SSAE 18, qui a remplacé le SSAE 16.

Les documents relatifs au SOC 3 ont également été mis à jour ces dernières années. Notamment, l'AICPA a publié des critères révisés des services de confiance en 2017 (qui sont le cadre contre lequel une évaluation SOC 2 et 3 est effectuée) et des points de focalisation révisés pour ces critères en 2022, ce qui a affecté l'opinion de l'auditeur de services dans les rapports SOC 2 et 3.

S'applique à

Les rapports SOC 3 peuvent s'appliquer aux organisations de services dans diverses industries qui traitent et stockent des données clients. Ils peuvent être particulièrement utiles aux organisations de services qui fournissent des services directement aux consommateurs (B2C) ou aux entreprises et aux consommateurs (B2B2C) qui doivent fournir aux prospects et aux clients une assurance de leurs contrôles relatifs à la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée.

Contrôles et exigences

Un rapport SOC 3 évalue la conception et l'efficacité opérationnelle des contrôles nécessaires pour répondre aux critères applicables des services de confiance (TSC). Les cinq TSC sont la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. La sécurité est le seul TSC obligatoire.

Les critères des services de confiance ne prescrivent pas de contrôles spécifiques pour une organisation. Les contrôles qu'une organisation de services met en place dépendent des risques qui peuvent les empêcher de respecter leurs engagements de service et leurs exigences système, du nombre de TSC inclus dans leur audit et de la complexité de leur infrastructure et de leur organisation. Ils couvrent généralement les domaines suivants:

• Sécurité de l'information
• Contrôles d'accès logique et physique
• Opérations système
• Gestion du changement
• Atténuation des risques

Veuillez consulter le site web de l'AICPA pour des ressources officielles relatives aux contrôles et aux exigences SOC 3.

Type, fréquence et durée de l'audit

• Type d'audit : Pour obtenir un rapport SOC 3, les organisations doivent subir un audit par un CPA, qui implique des tests rigoureux des contrôles de l'organisation pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la confidentialité.
• Fréquence des audits : Les examens SOC 3 sont souvent réalisés annuellement pour fournir une assurance continue aux parties prenantes.
• Durée de l'audit : La durée d'un audit SOC 3 peut varier en fonction de la portée de l'audit et de la complexité de l'infrastructure et des opérations de l'organisation de services. Elle varie généralement de quelques semaines à quelques mois.