Accueil Cadres réglementairesSOC 2 Type II

StandardsInternational (AICPA standard)En vigueur Continuously updated

SOC 2 Type II

SOC 2 Type II — System and Organization Controls

La norme de sécurité SaaS attendue par chaque acheteur entreprise

Effectuer une évaluation SOC 2 Type II ← Tous les cadres

Aperçu

SOC 2 Type II est un rapport d'audit qui évalue les contrôles internes d'une organisation de services sur la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. Pour les entreprises SaaS canadiennes vendant à des clients entreprise ou gouvernementaux, SOC 2 Type II est effectivement une exigence minimale. Il démontre 6 à 12 mois d'opération soutenue des contrôles.

Autorité

American Institute of CPAs (AICPA)

Territoire

International (AICPA standard)

Date d'entrée en vigueur

Continuously updated

Applicabilité

Qui doit se conformer à SOC 2 Type II?

SOC 2 est volontaire mais fonctionnellement requis pour toute entreprise SaaS vendant à des clients entreprise, des services financiers ou de santé américains ou canadiens. Les contrats gouvernementaux et l'approvisionnement des secteurs réglementés l'exigent de plus en plus.

Portée de la conformité

Votre organisation collecte des renseignements personnels

Vous exercez vos activités dans le territoire applicable

Des activités commerciales sont impliquées

Vous utilisez ou communiquez des données personnelles

Vous n'êtes pas certain que SOC 2 Type II s'applique? Effectuez une évaluation gratuite →

Obligations

Principales obligations en vertu de SOC 2 Type II

Critères des services de confiance — Sécurité

Mettez en œuvre les 9 Critères communs couvrant l'accès logique et physique, la gestion des changements, l'atténuation des risques et la gestion des incidents.

Contrôles d'accès

Appliquez le moindre privilège, l'AMF pour tous les systèmes, les révisions d'accès et le provisionnement/déprovisionnement automatisés.

Gestion des changements

Documentez et approuvez tous les changements aux systèmes de production. Tenez un journal des changements que les vérificateurs peuvent examiner.

Gestion des fournisseurs

Évaluez la posture de sécurité de vos fournisseurs tiers critiques et documentez le processus d'évaluation.

Réponse aux incidents

Ayez un plan de réponse aux incidents documenté et testé. Démontrez que vous pouvez détecter, répondre et vous rétablir des incidents de sécurité.

Surveillance et journalisation

Maintenez une surveillance continue et une conservation des journaux pour tous les systèmes critiques. Les vérificateurs examineront les preuves de surveillance active.

Application

Pénalités et application de la loi

Pénalité maximale

No regulatory penalties — loss of audit opinion, enterprise contract loss

Appliqué par : Licensed CPA firms conducting SOC 2 audits

Comment Canuckt vous protège des pénalités :

Analyse du chevauchement des contrôles SOC 2-LPRPDE montrant quels contrôles de sécurité satisfont simultanément aux obligations canadiennes de protection de la vie privée

Évaluation des écarts de préparation SOC 2 par rapport aux Critères de services de confiance AICPA avec feuille de route de remédiation prioritaire

Modèles de collecte de preuves pour les 9 Critères communs pour appuyer la préparation de votre audit SOC 2

Questionnaire de sécurité des fournisseurs aligné sur les critères de gestion des fournisseurs de SOC 2

Connexes

Cadres qui se recoupent souvent avec SOC 2 Type II

Standards

ISO 27001

The international gold standard for information security

Standards

ISO 27701

The privacy extension to ISO 27001 — mapping to PIPEDA and GDPR

Privacy

PIPEDA

Canada's federal private-sector privacy law

Effectuez une analyse des écarts SOC 2 Type II gratuitement

Répondez à 47 questions, obtenez un rapport d'écarts noté, et voyez exactement ce que vous devez faire pour vous conformer à SOC 2 Type II — en moins de 3 heures. Gratuit pour toujours.

Commencer l'évaluation gratuite

Sans carte de crédit

Résultats en quelques heures

Données hébergées au Canada