SOC, System and Organization Controls

System and Organization Controls (SOC) beinhalten validierte Prüfberichte, die durch das American Institute of Certified Public Accountants (AICPA) definiert wurden. Sie dienen Kunden von Unternehmen und Organisationen als Kontrollinstrumente, die wie Cloud-Services-Provider IT-Lösungen als Dienstleistung anbieten. Die Berichte konzentrieren sich auf Kontrollen von Wirtschaftsprüfungsgesellschaften in fünf Kategorien, den so genannten Trust Service Principles: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.

Der AICPA-Prüfungsstandard definiert mit Typ 1 und Typ 2 zwei Ebenen der Berichterstattung. Typ 1 beschreibt die Systeme eines Anbieters und stellt fest, ob die Gestaltung bestimmter Kontrollen den einschlägigen Vertrauensgrundsätzen entspricht. Typ 2 befasst sich mit der operativen Wirksamkeit der festgelegten Kontrollen über einen bestimmten Zeitraum (in der Regel neun bis zwölf Monate). Zudem gibt es drei Arten der Berichterstattung: SOC 1, SOC 2 und SOC 3. SOC 1 dient der internen Kontrolle der Finanzberichterstattung. SOC 2 und SOC 3 enthalten Kriterien für Vertrauensdienste. SOC 1 und SOC 2 sind für Fachleute in den betreffenden Bereichen vorgesehen während SOC-3-Berichte allgemein verständlich ausgelegt sind.