SOC 3

System and Organization Controls (SOC) 3-rapporten onderzoeksrapporten van onafhankelijke derde partijen die laten zien hoe organisaties voldoen aan belangrijke compliancecontroles en doelen.

SOC 3-rapporten zijn gebaseerd op de Auditing Standards Board van de bestaande Trust Services Criteria (TSC) van het American Institute of Certified Public Accountants (AICPA). Het doel van het rapport is om een publiekelijk toegankelijke versie van het SOC 2-attestrapport aan te bieden voor klanten die garanties nodig hebben over de controles van de serviceorganisatie die relevant zijn voor beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy, maar geen volledig SOC 2-rapport vereisen. SOC 3-rapporten kunnen met iedereen worden gedeeld, omdat ze rapporten voor algemeen gebruik zijn.

Een SOC 3-rapport bevat een schriftelijke bewering van het management van de serviceorganisatie met betrekking tot de effectiviteit van controle om verbintenissen te bereiken op basis van de toepasselijke criteria voor vertrouwensdiensten, evenals de beoordeling van de serviceauditor of de bewering van het management eerlijk is.

Zowel SOC 2- als SOC 3-rapporten zijn attestonderzoeken die worden uitgevoerd in overeenstemming met de SSAE 18 standaard, met name de secties AT-C 105 en 205, die door de AICPA worden beheerd. Het belangrijkste verschil is dat een SOC 2 een rapport voor beperkt gebruik is en een SOC 3 een openbaar rapport is.