Quand et où SOC 2 est-il né ?

Pour comprendre l'objectif de SOC 2, il est important de savoir comment le cadre a vu le jour.

Quand les audits SOC ont-ils commencé ?

Les racines de SOC 2 remontent au début des années 1970. C'est à ce moment-là que l'American Institute of Certified Public Accountants, qui a créé SOC 2, a publié la Déclaration des normes d'audit (SAS) 1.

Le document SAS 1 définissait officiellement le rôle et les responsabilités d'un auditeur indépendant.

Des décennies passèrent, et de nouvelles SAS furent créées, jusqu'à la SAS 70 en 1992.

Au début des années 1990, les experts-comptables utilisaient la SAS 70 pour déterminer l'efficacité des contrôles financiers internes d'une entreprise. Au fil du temps, la SAS 70 est devenue un moyen de rendre compte de la manière dont les entreprises traitaient la sécurité de l'information en général.

Au cours des 20 années suivantes, les entreprises ont commencé à externaliser des services tels que le traitement des salaires et l'informatique en nuage. Et ces services pouvaient affecter les rapports financiers ou la sécurité des données.

En conséquence, il est devenu nécessaire pour les entreprises de valider leur niveau de sécurité, idéalement par l'intermédiaire d'un tiers de confiance.

Quand a commencé SOC 2 ?

En avril 2010, l'AICPA a annoncé une nouvelle norme d'audit : la Déclaration sur les normes pour les missions d'attestation (SSAE 16).

Sous SSAE 16, l'AICPA a publié trois nouveaux rapports. Cela a donné lieu aux Service Organization Controls (SOC) et au très populaire SOC 2 :

  • SOC 1 : Contrôles internes pour les états financiers et les rapports
  • SOC 2 : Contrôles internes pour les cinq Critères des services de confiance. (Il s'agit de la sécurité, la confidentialité, l'intégrité du traitement, la confidentialité et la disponibilité des données des clients)
  • SOC 3 : Résultats de SOC 2, adaptés pour un public large

En mai 2017, l'AICPA a remplacé SSAE 16 par SSAE 18 pour mettre à jour et simplifier certains aspects déroutants de SSAE 16.

SSAE 18 est maintenant utilisé pour tous les rapports SOC 1, SOC 2 et SOC 3.