⏱ 4 min. lezen SOC compliance SOC1 SOC2

SOC-compliance: wat is het verschil tussen SOC 1 en SOC 2?

SOC 1 en SOC 2 worden vaak door elkaar gehaald. Dit artikel legt in het kort uit wat elk rapport beoordeelt, en verwijst naar de uitgebreide boeken voor de technische diepgang.

"SOC-compliance" is een verzamelterm voor een familie van auditstandaarden van de AICPA. De twee bekendste — SOC 1 en SOC 2 — worden vaak door elkaar gehaald, terwijl ze een wezenlijk ander doel dienen.

SOC 1: gericht op financiële verslaggeving

SOC 1 beoordeelt Internal Control over Financial Reporting (ICFR): de controles bij een serviceorganisatie die van invloed zijn op de juistheid van de financiële verslaggeving van haar klanten. Dit is vooral relevant voor platformen die betalingen, facturering, payroll of andere financiële transacties verwerken. Het primaire publiek is de accountant van de klant, die dit rapport gebruikt bij de eigen jaarrekeningcontrole.

SOC 2: gericht op vertrouwen in brede zin

SOC 2 toetst tegen de Trust Services Criteria: Security (verplicht), en optioneel Availability, Processing Integrity, Confidentiality en Privacy. Dit rapport is relevant voor vrijwel elke SaaS- of platformdienst, ongeacht of er financiële transacties bij komen kijken, en wordt breed gebruikt door klanten en partners als bewijs van zorgvuldige beveiliging.

SOC 1 Internal Control over Financial Reporting (ICFR) Publiek: financial-statement auditors van de klant SOC 2 Trust Services Criteria (Security, Availability, ...) Publiek: klanten, partners, bredere stakeholders Gedeeld fundament IT General Controls: toegang, wijzigingsbeheer, operations, back-up

Eén technisch fundament, twee rapporten

Het belangrijkste inzicht voor platformteams: beide steunen op dezelfde IT General Controls — toegangsbeheer, wijzigingsbeheer, computer operations en back-up/herstel. Wat SOC 1 onderscheidt, is de aanvullende nadruk op applicatiecontroles (juistheid van financiële verwerking) en segregation of duties (functiescheiding). Een organisatie die beide rapporten nodig heeft, hoeft dit fundament dus niet dubbel op te bouwen.

Examentip: Twijfel je welk rapport relevant is: vraag je af of het platform financiële transacties verwerkt die de jaarrekening van een klant raken (dan is SOC 1 relevant) of dat het vooral gaat om algemene beveiliging en beschikbaarheid (dan is SOC 2 het uitgangspunt). Vaak is allebei nodig.

Verder lezen

Dit artikel is bewust kort gehouden. Voor de volledige technische uitwerking — inclusief concrete RBAC-, NetworkPolicy- en GitOps-voorbeelden, platformvergelijkingen tussen OpenShift, Kubernetes en NKP, en uitgewerkte praktijkcasussen — verwijzen we naar de twee uitgebreide boeken in de Kennisbank: